長野県が住基ネット侵入実験を開始 86
ストーリー by yasu
どんどん検証して欲しい 部門より
どんどん検証して欲しい 部門より
takasuz曰く、"9/23付の信濃毎日新聞によると、以前、田中知事が表明した通り、 長野県が住基ネットへの侵入実験を開始した ようだ。最初の実験は下伊那郡阿智村において、インターネットに接続されていない庁内LANから村の住基ネットサーバに侵入を試みたりするもの。今後、県内に存在するとされている住基ネットとインターネットが接続されている市町村を含め、複数の自治体で実験をおこなうもようである。結果は第三者評価のうえ、公表される予定らしい。県は実験の時期・対象自治体名を公表しておらず、記事も「実験に参加している県関係者の話」として伝えている。"
ソーシャルハックを含む? (スコア:3, 参考になる)
内部のコンピュータのパスワードの書いたポストイットを見る」とか、
「口の軽そうな職員を見つけて、そこに侵入して踏み台にする」とか、
内部に入るためのソーシャルハッキングは行われないのだと思いますが、
仮に侵入を企てるとしたら、まずその辺からが一番楽だと思う。
情報が漏れるかもれないかを確認するのが目的なわけで、
各職員も十分にそのシステムに含まれているはず。
昔その筋のプロが居た (スコア:2, おもしろおかしい)
長野県よりも三重県 [google.co.jp]とか滋賀県 [google.co.jp]とかが得意そうだ。
長野にも (スコア:0)
ISO17799ですか (スコア:1)
Re:ISO17799ですか (スコア:2, 参考になる)
Re:ソーシャルハックを含む? (スコア:1)
「PCが同僚に使われてるので・・・」とか言ったらあっさり騙されそうですね。
//既に侵入されているに変造500円硬貨
Re:ソーシャルハックを含む? (スコア:1)
っていうかその筋の業者によればすでに公務員からの売り込み合戦激しいし
私自身が目撃した例だと神奈川県の某S市は市役所前のファミレスがその名所
お昼時前後とかでも情報の売買やってるのがいつも何組かいてなかなか楽しかった
他のところでもごく普通にある風景なんじゃないの?
テーブルの下での封筒のやりとり
昔から情報漏洩はどんなにがんばっても上級職の小僧に頭があがらない公務員のいい小遣い稼ぎなんだからさ
実験結果が一人歩きしないか心配。 (スコア:2, 参考になる)
この実験結果を正しく報道・評価してほしいです。
仮に、今回の実験で侵入に失敗しても
それは「今回の方法では侵入できなかった」だけであって
将来にわたってシステムが安全であることを確認したことには
ならないことを十分理解してほしいです。
中途半端な報道では、実験結果の白黒にかかわらず、
住基ネットのグレーなイメージを
無駄に増強させるだけで終わるような気がしてなりません。
Re:実験結果が一人歩きしないか心配。 (スコア:2, 参考になる)
>それは「今回の方法では侵入できなかった」だけであって
確かにその通りですが、もし失敗したらやっぱり安全だったと言われるでしょうな。
それに失敗したのにそんなこと言ったら言い訳っぽく聞こえるし。
やっぱ一般人の常識とコンピュータの常識はかけ離れているというか
#ちなみに俺としてはネットワークからの侵入より
#市の関係者とかが秘密をばらす可能性の方が大きいと思う
1を聞いて0を知れ!
Re:実験結果が一人歩きしないか心配。 (スコア:2, 興味深い)
#ちなみに俺としてはネットワークからの侵入より
#市の関係者とかが秘密をばらす可能性の方が大きいと思う
つか、今までも関係者が外部に漏らしてましたからね。(職員が個人情報を検索して外部に流す不祥事は珍しくないそうだし)
個人的には完全にクローズドなシステムでも、そういう人間たちが運営するシステムでは、ザルみたいなものだと思ってます。
もっとも、横浜みたいに接続しなきゃ安全て立場もアホらしいと思うんだけど(確か、あそこ、職員が漏らす不祥事なかったか?)
Re:実験結果が一人歩きしないか心配。 (スコア:0)
ないと…。
Re:実験結果が一人歩きしないか心配。 (スコア:1)
> #市の関係者とかが秘密をばらす可能性の方が大きいと思う
となると住基ネットにちょっとでも関わった人はタコ部屋に押し込んで,
死ぬまでそこから出さないってとこまでやらなきゃならなくなるのかな?
そのうち全日本国民がそこに押し込められて
ナウル [srad.jp]のようになるとか.
Re:実験結果が一人歩きしないか心配。 (スコア:2, 興味深い)
金融関係じゃ当たり前にやってることですが。
Re:実験結果が一人歩きしないか心配。 (スコア:2, すばらしい洞察)
最終的に、法治国家で人間の行動をしばるのは法によるしかない。
それがきちんと法整備される前に
住基ネットが稼動しようとしているのが問題なのだと思います。
Re:実験結果が一人歩きしないか心配。 (スコア:1)
ソーシャルハックが法で抑止できるほど簡単な問題でもないと思う
法でどうにかできるのは、事が終わった後の罰則くらいなもんでしょ?
Re:実験結果が一人歩きしないか心配。 (スコア:1)
罰則もないのであれば、よりいっそう困難だと思いますが。
Re:実験結果が一人歩きしないか心配。 (スコア:1)
Re:実験結果が一人歩きしないか心配。 (スコア:0)
> #市の関係者とかが秘密をばらす可能性の方が大きいと思う
どんなにセキュリティが強固なシステムでも
使っている人間がセキュリティホールになっていたら
意味ないですな
むしろ(暴言気味) (スコア:1)
「進入できてしまえば(長野県(むしろ知事)としては)大成功」
なわけで。
たとえ侵入に失敗しても、それこそ
「今回の方法では~」と言い訳することで、グレーなイメージは
払拭されない(長野県としてもさせたくない)でしょうし、
侵入に成功したならば、それこそ真っ黒、万々歳なわけです。
Re:むしろ(暴言気味) (スコア:1)
黒だと言うためにやっているので、
長野県的には侵入できなかったときは実験すらやってなかったことにして、
水面下で侵入成功するまで侵入実験を続けるのが正しいやりかたかも。
Re:実験結果が一人歩きしないか心配。 (スコア:0)
「ごく一部の人にとって」ですね。
ふつーの人にとっては、グレーも何も特別なイメージはありません。
Re:実験結果が一人歩きしないか心配。 (スコア:1)
ってこたぁ ふつーの人にとっては 住基ネットってのは真白か真黒なイメージしかないってこと?
少なくともマスコミに 流される人たちとかは真白ってイメージはないと思うんだけどなー
じゃぁ真黒っていうほど簡単ではないでしょ?
Re:実験結果が一人歩きしないか心配。 (スコア:0)
世の中に真白か真黒かグレーしかないのか?
「あなたは現代ユニコーンズについてグレーなイメージをお持ちですか?」と聞かれて、なんと答えるか楽しみです。
Re:実験結果が一人歩きしないか心配。 (スコア:1)
いや失敬 無関心ってのを忘れてました
でもこの実験結果からの話題なら 白黒グレーでもいいとは思うんだけど
で, 答えですが『現代ユニコーンズっていうやつは知りませんです』
Re:実験結果が一人歩きしないか心配。 (スコア:0)
結局一番信用できないのは (スコア:1, 興味深い)
今度は他県の住民基本台帳も入手可能になるわけで
関係者からの情報漏洩を防ぐ為の策は施されているのか心配。
# 新閣僚の麻生総務相の会見で、
# 「IT推進・・・FDによるデータの受け渡し・・・」
# って部分に極めて不安を抱いたのだが、総務省のシステムって
# 通信じゃなくてFD渡しなの?(まさか8インチ??)
# だとすれば、何処かのカード会社みたいにFDごと紛失しないようにして欲しいものだが・・・。
Re:結局一番信用できないのは (スコア:1, 興味深い)
「いままでは紙だったのがデータに置き換わるので、FD1枚でうんぬん」というのが発言主旨。
ネットワークはどこいったとか、何年前の話してんねんというのも含めて、
虎之助よりさらにダメなのが就任したっていうことが如実にわかる会見でした。
Re:結局一番信用できないのは (スコア:0)
Re:結局一番信用できないのは (スコア:1)
コンピュータやITの基本知識を自分できちんと消化していないのに法律作ってませんか?
そう見えて仕方ありません。
Re:結局一番信用できないのは (スコア:1)
-- 哀れな日本人専用(sorry Japanese only) --
Re:結局一番信用できないのは (スコア:1)
送り込まない。
ってのも含めて。
そういう、機能を既存の議員制民主主義(?)に付加できないかしら、、、
現実、巧く機能しているとは思えない。
使えないデータベースに意味はあるのでしょうか。 (スコア:1)
住民基本台帳カードの交付は全国と同時に始まっているのに、それを使う機会があっても使えないと言うのは逆な気がしませんか?>県職員さま
「住基ネットの利用に係る考え方について」 [nagano.jp]
Re:使えないデータベースに意味はあるのでしょうか。 (スコア:3, 参考になる)
石橋(というほど安全かどうかは不明ながら)を叩いてる最中は、その石橋を渡れない、ということです、たぶん。
Re:使えないデータベースに意味はあるのでしょうか。 (スコア:1, 参考になる)
住民票がいらなくなるという話だけど、これまで通り、
戸籍謄本または抄本の提出が必要なんだが、嬉しいか?
パスポート申請への住民基本台帳ネットワーク システムの利用開始について ~パスポート申請に住民票の写しの提出が不要となります~ [mofa.go.jp]
肝心なことは後ろのほうに書いてあるね。
Re:使えないデータベースに意味はあるのでしょうか。 (スコア:1)
確かに初回発給には戸籍謄本/抄本が必要=あまり便利にはなってないですが
切り替え発給や再発給の時は(本籍の変更が無ければ)
戸籍謄本/抄本は不要みたいですよ。
Re:使えないデータベースに意味はあるのでしょうか。 (スコア:1)
運転免許がない人(特にアレゲ業界は多そう)の場合、身分証明で困るのでパスポートを取るケースもあるし。(私もそうです)
Re:住基ネットカードって身分証明書になります? (スコア:1)
# すでに免許番号はコピーされているからまあいいか……
-- 哀れな日本人専用(sorry Japanese only) --
Re:住基ネットカードって身分証明書になります? (スコア:1)
でも、危険性が証明されても (スコア:1, 興味深い)
結局、住民基本台帳のようなプライバシーに関わる重要な情報をネットワークでやりとりして一元管理する。と言う、住基ネットの本質的な危険性は同じ訳で。
「より安全なシステムを作る為」と称する長野独自の利権構造が出来るだけで終わってしまうのではないかと危惧しているのですが…
そうとは限らない、かも。 (スコア:2, すばらしい洞察)
住基ネットに反対している人の多くは、セキュリティ云々以前に、
そもそも住民基本台帳を番号付け管理すること自体に反対しています。
(国民総背番号制だ! という論調)
長野県本人確認情報保護審議会 [nagano.jp]にも名を連ねている櫻井氏もその一人。
暴言かもしれませんが、
そう言う人たちにとって、個人情報保護云々とかセキュリティ云々とかは「より現実的な問題を突きつけるための」材料にすぎないわけで、
たとえ(仮定ですが)その辺がクリアになっていても、反対すると思われる人たちなんです。
ので、仮に切断が決まったら、代替案無視でその辺全く行われないんではないかなぁ、と推測してみたりもします。
#ダム問題で、その後代替案として出されていたものが、結局なかったことになっているように。
Re:でも、危険性が証明されても(オフトピ) (スコア:1, おもしろおかしい)
あやしい系の掲示板で「モデレート権が回ってきた。あるて。の書き込みをマイナスモデレートしてやった。すっきりした」(注:「あるて。」はArtane.の別ハンドルです)とか書いて威嚇する輩がいて、
確認すると実際にマイナスモデレートされていたりするので、その人にモデレート権が廻って来たのではないでしょうか?
誠に嘆かわしい事ですが。
白黒? (スコア:0)
阿智村の岡庭一雄村長はこれまで「本当に侵入できるかどうか、白黒をつけるべきだ」と、村のシステムを実験に提供する考えを表明。
ソーシャルハックも含め、完全な白なんてのはありえない。
限りなく白に近いグレー若しくは黒 といった表現が適切なのでは。
確かに行動自体は評価できるとは思うけど、ちょっとズレてるように思える。
Re:白黒? (スコア:1)
今回の実験は
黒だと言うことをはっきりさせたいために行った(行う)ものだと私は認識しています。
これで黒だと言うことを大々的に発表すれば、住基ネット廃止の機運を高めると共に、
某T氏の株がますます上がる、と言った感じではないでしょうか。
個人的には、廃止論者にはセキュリティ云々より番号付けそのものを嫌がっている人の方が多いのが、いまいち理解できないのですが……
#T氏嫌いなのでCoward
Re:白黒? (スコア:1, 興味深い)
「できればIT技術なんてない世界で一生おくりたかった」
風な役所のじいさまが、
それでも必死になって技術化の波に食らいついてるのを見ると
結構ぐっとくるところがあるんだよ。
彼らはそれでもこの手の技術を信用しようとしてる。
ところが肝心の、それを作る技術者たちが、彼らにぶーたれてるのを見ると、
この件に関して門外漢のおいらとしては「なんだかなあ」というのが正直ある。
まあ、このサイト覗くようになってずいぶんたったので、
そんな単純な話じゃないことは十分承知しているが、
普通の「技術者⇔クライアント」の関係なら、
技術者は、「心配するな!」と胸を張るべきところじゃないか。
侵入の危険については、今のWEB技術では保証できない。
セキュリティに注意して、経験ある管理者に任せて運用しても「完全な白なんてありえない」というのは、
技術者として「負け」だ。というのが世間一般の感じ方だろうに。
そういう人たちのコメントが載らないのはどういうことなんだろう。
#そもそも住基ネット自体反対だったのでAC
Re:白黒? (スコア:2, すばらしい洞察)
張れないシステムなのが問題なのじゃないかな。
#このシステムって言うのは、計算機システムだけじゃなくて、
#運用、建家をはじめとする設備も含む。
住基ネットといったクリティカルなシステム(だよね)を、国法で運用するなら、
それを設置する、システム(運用含む)を国法で整備する必要があると思う。
現状それが整備されていないのだから、整備するのが先でしょ。
・入室権限の資格
・端末室の構造の制限(少なくとも専用の部屋を設ける)
・ネットワーク環境の制限(自治体に任せない)
・違反の罰則強化
etc.
現実的でないのは、承知しているけれども、現実的でないことが前提の所へ、
現実的なシステムができるわけがない。
特に住基ネットには反対ではないけれど、
住基ネットは、まだ時期尚早だと思っている。
鍋太郎
Re:白黒? (スコア:1)
こういう運用にすると、住基カードを持った市民が住民票の発行を窓口で頼んだりすると、奥から出てきた職員が、
「では、住基カードの読み込みとパスワードの入力のため、お客様に端末操作をお願いしますので、別室へどうぞ」
と言って、人気の無い別室に連れ去られてしまう風景がよく見られるようになるかも。
・・・これはこれで、不気味。
Re:白黒? (スコア:1, すばらしい洞察)
「黒を白だといって運用をはじめてしまうこと」ではないかと。
世間一般の感じ方がどうあれ、のちに問題になったときの
言い訳にはなりません。世間がこう感じているから正しい、、
ていうわけではないでしょう?
事なかれ主義だというわけではなくて、適切な人が適切な
セキュリティを適用したシステムならば良いのですが、
少なくともこれまでの報道を見るに(インターネットにつなげてるつなげてない)、
とても「まともなセキュリティ」だとは思えない。
完全な白でないから叩いているわけではなく、
県民、国民の情報をまとめているという重要なDBだからこそ、
もっとセキュリティの程度をあげるべきだということを言いたいのでは。
Re:白黒? (スコア:1)
顧客側でもセキュリティを意識してる。
その意識と知識を埋めるのはプロの仕事でしょう。
でも、小さなところはどうだろう。
不便なところだと、出張費も上乗せされちゃうし、
誰が組んで運用してるんだろう?
何も指導もないまま、それぞれ自治体で組んでるから。
自分の住んでるところはタマタマ自社の顧客で、何か
ラッキーって思っちゃいましたよ。
Re:白黒? (スコア:1, 参考になる)
そのおっさんはそのことを知ってたエラい人なのですよ。きっと。
Re:事は技術や技術者の問題ではない (スコア:1, 興味深い)
変なかたちで飛び火しないことを祈ってました。
WEB技術の世界には一筋縄では行かない問題がある。
それを、漁師が「海をナメちゃいかん」と語るように
「単純なこっちゃねえ」とコメントする人たちの気持ちも
まあわかるのですが、
水揚げされた魚にのみ用がある問屋たち相手にそれを言うのは
いかがなものか。というのがこちらの論点でした。
問屋たちのそもそもの責任のなすりあいは、また別な問題。
「未開拓な分野なんだから長い目で見ろや」というのも、また別な問題。
海が時化たから大漁とはいかなかった。と漁師が問屋に語る時、
彼はどんな顔をしているか。という話です。
それでも、みなさんとても理性的な返事をくれたことに、正直驚いています。フレーム覚悟の捨て身コメントでしたから。
いろいろ参考になりました。