アカウント名:
パスワード:
以下、一例にすぎませんが、住基ネット対応の 自治体向け総合行政情報システム『e-TASKシリーズ』 [tkc.co.jp]は、 次のような「特長 [tkc.co.jp]」をうたっています。
WebブラウザやJavaといった「IP(インターネット・プロトコル)技術」を用いた最新システムです。グループウェアや文書管理などを使用しているクライアントならブラウザで住基照会でき、また、庁内ネットワークに接続されていればインターネット・サービスをそのまま利用できます。
さらに、このシリーズの中心ともいうべき 『e―TASK住基マスター』 [tkc.co.jp]は、 ベンダー広報誌 [tkc.co.jp]によれば
住基ネット対応に加えて、Webブラウザによる照会機能、郵便局・支所等への証明書のFAX送信機能、帳票の簡単印刷機能など、メニューがさらに充実しました。
ということです。 全体イメージは、カタログ [tkc.co.jp]を みればわかると思います。
もしこのシステムにXSS脆弱性があったら、 あるいはうっかり悪意のActiveXコントロールをダウンロードしたら、 どうなるか、ということです。
総務省が安全だと言い張る「住基ネット」の範囲外の 庁内LANの住民情報を扱うセグメントから、 インターネット上のWebコンテンツ閲覧を全市町村にわたって禁じるルールがあるわけではないらしい(だからこそ、 「インターネット・サービスの利用可」が特長になる)ので、 あとは各市町村次第。
TSUTAYAに関しては、入会時の約款にはっきり「個人情報を売る」と書いてあったと思うが?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie
あまり心配する必要は・・・・ (スコア:0)
このシステム、多分、外部からのアクセスはさせなくて、役所の人間しか触らないと思います。
だからこけようが何しようが、根本的には困るのは役所の打ち込みする人だけでしょう。多分システム復旧もリセットでやったりすると思う。
外部に公開、なんて絶対考えていないと思うのですが。
役所の人間が腐敗していたりする可能性はありますが、それはシステムのタコさとは関係ないハナシでありましょう。こっちの方が危険度は高いと思いますけどね。
だもんで、こんな「アマい(アマチュアの意)」システムになっているんだと思うんですよ。
逆に「国家にプライバシーを良いように弄られる」ほど「ちゃんとした」機能が入るのに、まともに頑張っても20年はかかると思いますね、いや、マジで。
システム設計の稚拙さや、国会の審議のスピードを見るに、単にある種の官庁のセクションと特定の業者がおいしそうな公共事業に唾をつける為に頑張った、位の意味しかないと思いますが。
実際、いまありとあらゆる官庁のセクションで、「ネットワークを作れー」と自治体に補助金を出しているんですけど、出す側、受ける側、みんな知識がないんで、奇絶、怪絶、また壮絶!な風味でございますです。
確かVPN (スコア:1)
政府の公式発表では「専用線」と謳ってるそうなのですが、「VPN」のことを「専用線」と称しているとかで....つまり通常のインターネット回線に接続されます。
ちゃんとファイヤーウォールやゲートウェイで保護されていればいいんですが、WindowsのVPNサーバーが素のまま接続される可能性も....。
Re:確かVPN (スコア:2, 参考になる)
ですから、インターネットにサーバが素のまま接続されるわけではありません。
足回りにどんな回線を利用するのかは知りませんが、たとえADSLとかを使ったとしても、そんな間抜けな状態にはならないと思いますが。
Re:確かVPN (スコア:0)
お役所の LAN (スコア:0)
その LAN は、外部に繋がっているのでは?
Re:お役所の LAN (スコア:1, 興味深い)
それはそれとして。
この間、自治体ネットワークの状態を聞いたところ、3本(事務系、防災系、会計系)のネットワークを作れ、という事で補助金がでている、つー、ハナシで、なんとあなた、そのネットワークって相互接続、とか、一本化とかのハナシが一切無いと。
一本化するときにイニチアシブをどっちが取るか、ってのがまとまらなかったんでしょうなぁ。
更にe-Japan(失笑)構想の元、そのほかのセクションからもバンバンLANシステムのハナシが持ち上がるんじゃないかと。
結局、利権のお題目以上にはならないんじゃないかと小一時間・・・
Re:お役所の LAN (スコア:1, 興味深い)
Re:お役所の LAN (スコア:0)
逆に共用するところは、以前からネットワーク構築に熱心でセキュリティ関係にもいろいろ頑張ってるところが多いです。
まあ、「多い」だけでそうじゃないところもあるし、頑張ってるからといって穴がないわけではないですが。
Re:お役所の LAN (スコア:0)
飛んでくとは思えないんですけど。VPN製品売りやすそうだしね。
Re:お役所の LAN (スコア:0)
当然、国の方から閲覧や修正が出来るようになっているはずで、
全国規模のネットワークになるはずです。
んで、そのどこからか、一般の人も入れるんですよ。きっと・・・
Re:あまり心配する必要は・・・・ (スコア:0)
役所の人間が誰でもお気軽に触れるのは心配です。
ごそっとコピーしたりしないだろうか?
DBもMS製かな?
Re:あまり心配する必要は・・・・ (スコア:0)
Re:あまり心配する必要は・・・・ (スコア:0)
住基ネット基本法が国会を通らないと、罰則は現時点では
無いらしいですね。
しかし、ばれたらその時点でどっちにしろ罰せられると
思いますが。
Re:あまり心配する必要は・・・・ (スコア:1)
>住基ネット基本法
個人情報保護法案では?
#関連法案とは言われるけど、
こないだの自衛隊の名簿のときにこれがないから罰則できなかったとか、言ってた気がするんで。
#青少年有害環境規制とか、人権保護とか、今回の新しい法案は
#謳い文句は良いけど、中身はかなり嫌いです
Re:あまり心配する必要は・・・・ (スコア:0)
罰則もそのなかにあるから個人情報保護法とかに公務員の罰則を入れなかったと、公明党かどっかの人が言い訳してましたけど。
Re:あまり心配する必要は・・・・ (スコア:1)
この守秘義務というのは外部の人間に情報を漏らすのを禁じるものでして、例の自衛隊の事件のように「問題のあると思われる情報を公務員が集める」ことに対する罰則が無いのが問題だったりします。
うじゃうじゃ
Re:あまり心配する必要は・・・・ (スコア:0)
結局、あれは何が問題だったんですか?
外部の人間に情報が漏れたことが問題なだけと思うのですが。
Re:あまり心配する必要は・・・・ (スコア:0)
「成績には影響しないから自由にしてよろしい」といいつつ
実際には採点の対象だったということでしょう。
Re:あまり心配する必要は・・・・ (スコア:1)
>外部の人間に情報が漏れたことが問題なだけと思うのですが。
まったく違います。
防衛庁が情報公開請求者の身元調査を行い、リストを作成していた [mainichi.co.jp]のです。
これは事実上の思想調査で、防衛庁にはそのような情報を集める権限はありませんし職務の範囲からも逸脱しているので問題になったわけです。
情報収集していた事実が明らかになっただけで、問題のリストの内容そのものが外部に漏れたわけではありません。
うじゃうじゃ
Re:あまり心配する必要は・・・・ (スコア:0)
>防衛庁にはそのような情報を集める権限
そんな権限、どこかにあるんですか?
>情報収集していた事実が明らかになった
それが「漏れた」というんですけど。
Re:あまり心配する必要は・・・・ (スコア:1)
>そんな権限、どこかにあるんですか?
しりません。公安とかならあるのかも
>>情報収集していた事実が明らかになった
>それが「漏れた」というんですけど。
だからわざわざ「リストの内容が漏れたわけではない」と書いたんですが。
リスト作成の事実を秘密にしろと上司から指示があったわけではないよね?
あったとしても職分外なので法的有効性があるか疑問だけど。
うじゃうじゃ
Re:あまり心配する必要は・・・・ (スコア:0)
要はリストを作ったことが問題なのか、リストを作っていることがばれたことが問題なのかということです。
リスト作成してることが漏れなければ、何も問題になってないのではないですか?
思想信条を区分情報として使うのは、一般企業でもお役所でもやってることでしょ?
Re:あまり心配する必要は・・・・ (スコア:1)
だから私は最初から「リストを作っていることがばれたこと」を理由に処分する根拠が無いといっているのですが…
法的根拠のない理由で処分をすれば、それはそれで問題になります。
>リスト作成してることが漏れなければ、何も問題になってないのではないですか?
少なくとも建前上は「ばれなければ問題はなかった」と言うわけにはいかないですよね。
>思想信条を区分情報として使うのは、一般企業でもお役所でもやってることでしょ?
やってるとは思いますが、あまり公言するわけにはいきませんよね。
情報の入手方法が不正なものでなければリストを作ること自体は違法なこととはいえませんが、その目的については疑われます。
そして防衛庁の場合は一般の役所や企業以上にそのようなリストを本来の職務で利用する機会は無いはずで、そのあたりが問題になったのではないかと思います。
うじゃうじゃ
Re:あまり心配する必要は・・・・ (スコア:0)
Re:あまり心配する必要は・・・・ (スコア:0)
>ごそっとコピーしたりしないだろうか?
あるんじゃないですか<この態度はどうか。
でもそれはネットがあろうがなかろうが関係ないハナシで。
元からある危険性ですよね、それは。
>DBもMS製かな?
Re:あまり心配する必要は・・・・ (スコア:0)
>あるんじゃないですか<この態度はどうか。
>でもそれはネットがあろうがなかろうが関係ないハナシで。
>元からある危険性ですよね、それは。
ですね。
しかし、ネットでつながったら小さな役場でも、
全国民のデータが取れたりするんじゃないかと。
一人1Mbyteとして、130Gbyte?
外部に取り出せない量じゃないですよね(苦笑)
そんなに単純じゃないでしょうが。
>下手すると、(小規模な役場だと)Accessだったりする
Re:あまり心配する必要は・・・・ (スコア:2)
> 外部に取り出せない量じゃないですよね(苦笑)
130TByte じゃないでしょうか。。。
[udon]
Re:あまり心配する必要は・・・・ (スコア:0)
それはない
小さいとこでも、オフコンだろ
Re:あまり心配する必要は・・・・ (スコア:0)
根幹はしらないけど、TSUTAYAの店舗サーバーってWindowsNT3.51~4.0なんだしね。会員の住所氏名年齢はおろか、ビデオの貸し借りデータまで入ってるよ。ハックされて大騒ぎになったっていうハナシはあまり聞かないね。
運用次第でしょうな。
Re:あまり心配する必要は・・・・ (スコア:1)
TSUTAYA のサーバーってインターネットに
つながってるんでしょうか?つながってないのであれば、
ハックの意味がいまいち謎ですが、外部からの侵入・情報の抜き取り・改竄を
意味しているのであれば、何もなくて当然だとは思いますが。
住基の場合は、末端の市町村でうっかり住基ネットに
アクセスできるコンピュータをインターネットにつなげてそうで恐い。
Kiyotan
受動的攻撃の具体的危険性 (スコア:3, 参考になる)
以下、一例にすぎませんが、住基ネット対応の 自治体向け総合行政情報システム『e-TASKシリーズ』 [tkc.co.jp]は、 次のような「特長 [tkc.co.jp]」をうたっています。
さらに、このシリーズの中心ともいうべき 『e―TASK住基マスター』 [tkc.co.jp]は、 ベンダー広報誌 [tkc.co.jp]によれば
ということです。 全体イメージは、カタログ [tkc.co.jp]を みればわかると思います。
もしこのシステムにXSS脆弱性があったら、 あるいはうっかり悪意のActiveXコントロールをダウンロードしたら、 どうなるか、ということです。
総務省が安全だと言い張る「住基ネット」の範囲外の 庁内LANの住民情報を扱うセグメントから、 インターネット上のWebコンテンツ閲覧を全市町村にわたって禁じるルールがあるわけではないらしい(だからこそ、 「インターネット・サービスの利用可」が特長になる)ので、 あとは各市町村次第。
Re:受動的攻撃の具体的危険性 (スコア:1)
まぁ、仮にネットワークの分離に対して違反があった場合の
罰則規定を設けて、さらに情報教育を徹底しても
数居る地方公務員の中に1人や2人、「自分一人のパソコンくらい
インターネットに接続しても大丈夫だよね」と考えるやつは
確実に居るでしょう。
#問い詰めた後に出てくる、理由は、田舎だから大丈夫だと思った、
#とか、こっそりやれば気付かれないと思ったとかだろうなぁ。
##そーゆーのを情報教育を徹底したとは言わないと
##ツッコミが入りそうですが、世の中にはどんなに言っても
##自分の都合のよいよう拡大解釈する人間が一定数存在すると
##僕は思ってます。
と、ここまで書いてて思ったんだが、
政治家や官僚のみなさまは
結局税金無駄使い同様、
単純に、住基の情報もあんまり大事じゃない
と思ってるというだけのことなんだろうか?
#国家情報の機密を守るためと称して
#公務員と議員の情報は別系統だったら笑うな。
結局、わかっててやってるのかわかってなくて
やってるのかよくわからなくなってきたな。
Kiyotan
Re:受動的攻撃の具体的危険性 (スコア:0)
Re:あまり心配する必要は・・・・ (スコア:1)
> アクセスできるコンピュータをインターネットにつなげてそうで恐い。
こういう「うっかりつなげてしまう」というような可能性も含めて
「運用次第」という話をしているのでは?
Re:あまり心配する必要は・・・・ (スコア:0)
「便利だろー、家からYah○○BB使ってリモートで残業出来るんだよー。」
うう、光景が目に浮かびゅ:泣。
Re:あまり心配する必要は・・・・ (スコア:0)
Re:あまり心配する必要は・・・・ (スコア:0)
自分でつなぐほど働き者のお役人はいません!!
Re:あまり心配する必要は・・・・ (スコア:0)
末端の作業員が帰りにこっそり迂回するLANケーブルをつないで、
リモートメンテナンス出来るようにします。
Re:あまり心配する必要は・・・・ (スコア:0)
都市伝説である事を期待するが。
Re:あまり心配する必要は・・・・ (スコア:0)
TSUTAYAに関しては、入会時の約款にはっきり「個人情報を売る」と書いてあったと思うが?
Re:あまり心配する必要は・・・・ (スコア:0)
ウイルスによる漏洩 (スコア:0)