アカウント名:
パスワード:
住基ネットの利用形態と、一般のインターネットユーザーの利用形態は著しく 異なるはずだから(はずというのが弱いところではあるが)、 一般のインターネットユーザーにとってのセキュリティホールが、住基ネット では全く問題にならない場合は当然あるはず。 単純に Windows で発見されたセキュリティホールの数を数えているだけでは、 「家の中でも靴をはかなければ危険」とか言っているのと同じようなものである。
「住基ネットのセキュリティホール」という話題だったらマトモだと思うのだが、 「住基ネットで使われているパソコンが持つ 一般ユーザにとってのセキュリティホール」では話がずれている。
ということで、論点は セキュリティホールの修正は本当に必要ないのか? パッチ適用前の動作試験は必要か、また必要ならどうあるべきか? そもそもパッチ適用をはじめとするOSの運用管理の責任はどこにあるのか? …ということになるのではないかと思います。
で、最初の「セキュリティホール」に関しては、既に説明したように一般ユーザー と住基ネットでセキュリティの定義が異なるので「住基ネットのセキュリティ ホール」は絶対に修正しなければなりませんが、一般ユーザーに対する セキュリティホールがそれに該当するかは個別の問題です。
また、動作確認は絶対に必要でしょう。特に Microsoft 社のパッチは 当てると動作しなくなるという前例がいくつもあります。
また、住基ネットの運用管理の責任は監督官庁というだけで、特に個別の 責任を誰がとるかは決まってないのではないでしょうか? 裁判を起こすなら国相手になるでしょう。
もちろん、この場合の「10のセキュリティホール」が全て ネットワーク経由のアクセスにおける脆弱性ならば別ですが。
んじゃ、ヒマ潰しに(笑)確認してみましょう :-)
仮にSP3までの修正が当たってると仮定するとここの [microsoft.com]5 から 13、それにMS02-064 [microsoft.com]の合計10個あたりがあやしそうです。 住基ネットのサーバーの構成なんてまったくわかりませんが、本当に即座に対応しないとヤバめなものってどのぐらいあるんでしょう? 仮にSMBをまったく使わないシステムで最初から余計なサービス等を動かしてないならMS02-045 [microsoft.com]を後回しにしてもいいでしょうし、PPTPを使ってない(サービスを有効にしてない)のならMS02-063 [microsoft.com]も気にしないでいいでしょう。
・・・なんか話がそれてしまったので元に戻すと、上で挙げた10個の問題が毎日新聞に書かれてる10個前後の問題だとすれば全てネットワークがらみのものと考えて問題ないと思います。もちろん現在の住基のサーバーの構成から考えてサービスを止めてでもすぐに対応しなければならないものと直接影響はないので後回しにしてもいいものが混在してるような気はしますが・・・。
# 個人的にはこの 10 個の hotfix を全て当てないとマズいような # サーバーを最初から構築してたとしたらそっちのほうが問題のよな # 気がする。「今すぐ当てる必要がない事をちゃんと確認・検証した # ので適用は SP4 まで待つ」というのならそれほど大きな問題だとは # 思わないし。
## もちろん実際にそこまで検証してるのかは私には全くわかりません :-)
住基ネットの本稼働は8月5日です。 Windows2000SP3のリリースはその後です。 従って、使われているWindowsは SP2かそれ以前のものです。 「修正」がSP3である可能性は、検証のことを考えれば ありえないと考えていいでしょう。 8月にhotfix 1つあたっていたとして、 それ以前の hotfix がどれだけあてられているか、という問題もあります。
ネットワークにつながっていないからといって、 ノーパスワード、ノーセキュリティのコンピュータから 悪意ある人物がデータを盗んだり改ざんしたりする 可能性がなくなるわけではないでしょう。
昔のウィルスはよくフロッピー経由でバイナリに寄生したり したものだが・・・。あとマクロウィルスだと文書ファイルに くっついてたりしますよね。
既存住基システムと住基ネットの末端サーバとなる 各市町村設置のコミュニケーションサーバの間のデータ交換は firewallを介したネットワーク接続によるのが基本とされていますが、 ここをネットワークで接続せずにMOによってオフラインでデータを 交換するという方式もあり、 一部の自治体がネットワークセキュリティについて万全を期すために 採用しているむね、すでに報道されています。
ちゅうかさ, コンピュータシステムのセキュリティうんぬんを言う前に, もっと広義のシステムセキュリティポリシーを設定しなきゃ評価も計画も立てようがないじゃない. それを後追いで個人情報保護法を審議しているんだから, セキュリティの評価に値しないのは自明でしょう.
これは住基ネットに限らず言えることだけど, まずは何のデータを誰から守るかを決めること. これが明確に定義されないかぎり, どんなコンピュータ・ネットワークシステムであってもセキュリティの面からは玩具にすぎないです.
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
毎日新聞のミスリード? (スコア:2, 興味深い)
住基ネットの利用形態と、一般のインターネットユーザーの利用形態は著しく 異なるはずだから(はずというのが弱いところではあるが)、 一般のインターネットユーザーにとってのセキュリティホールが、住基ネット では全く問題にならない場合は当然あるはず。 単純に Windows で発見されたセキュリティホールの数を数えているだけでは、 「家の中でも靴をはかなければ危険」とか言っているのと同じようなものである。
「住基ネットのセキュリティホール」という話題だったらマトモだと思うのだが、 「住基ネットで使われているパソコンが持つ 一般ユーザにとってのセキュリティホール」では話がずれている。
-- 哀れな日本人専用(sorry Japanese only) --
それ以前に (スコア:2, 興味深い)
「住基ネットはインターネットに接続していないので、いわゆるセキュリティホールの修正は必要ない」
「システムの安定性を改善するパッチは必要なので、動作試験をしてから適用する方針」
…と読めます。
ということで、論点は
・セキュリティホールの修正は本当に必要ないのか?
・パッチ適用前の動作試験は必要か、また必要ならどうあるべきか?
・そもそもパッチ適用をはじめとするOSの運用管理の責任はどこにあるのか?
…ということになるのではないかと思います。
Re:それ以前に (スコア:1)
で、最初の「セキュリティホール」に関しては、既に説明したように一般ユーザー と住基ネットでセキュリティの定義が異なるので「住基ネットのセキュリティ ホール」は絶対に修正しなければなりませんが、一般ユーザーに対する セキュリティホールがそれに該当するかは個別の問題です。
また、動作確認は絶対に必要でしょう。特に Microsoft 社のパッチは 当てると動作しなくなるという前例がいくつもあります。
また、住基ネットの運用管理の責任は監督官庁というだけで、特に個別の 責任を誰がとるかは決まってないのではないでしょうか? 裁判を起こすなら国相手になるでしょう。
-- 哀れな日本人専用(sorry Japanese only) --
狭義の技術面だけでなく… (スコア:1)
しかし、もともとの MAINICHI Interactive 記事にあたってみますと、
むしろ運用技術や責任の所在といったものを含めての問題提起では
ないかと思われます。
また(不勉強で申し訳ないのですが)、住基ネットの端末の使われ方
によっては、管理者以外の(悪意のある)担当者による対話的使用が
もたらす情報流出が問題となるかもしれません。
(別の方が指摘されていたMS02-064の件です)
うまい言葉がみつからなかったのですが、ある方(*1)は「人的セキュ
リティーホール」とおっしゃっていました。この表現がしっくりくるかも
しれません。
毎日新聞のミスリードというよりも、/.へのトピック化に際して論点の
ずれが生じたのではではないかと思います。(が、このあたりについ
ては、コメントを保留いたします。)
# 風邪気味で駄文度が高くなっていますことをお許しください。
(*1)
参照:
バーチャルネットハッカーっ娘 沙耶16歳 2002年11月 7日 ♪3 [c-moon.jp]
--
Regards, Regards (Slashdot.jp 無粋部)
Re:狭義の技術面だけでなく… (スコア:0)
参考文献(?)引かなくても、日常的に使われつつある単語だと思いますよ、人的セキュリティーホールって。
Re:毎日新聞のミスリード? (スコア:1, 興味深い)
はOKとしても、
>一切ネットワークを使用せず、個人で使用するようなコンピュータにはセキュリティ上の問題は発生しないと言っていい。
は語弊がありすぎるかと。
ネットワークにつながっていないからといって、
ノーパスワード、ノーセキュリティのコンピュータから
悪意ある人物がデータを盗んだり改ざんしたりする
可能性がなくなるわけではないでしょう。
もちろん、この場合の「10のセキュリティホール」が全て
ネットワーク経由のアクセスにおける脆弱性ならば別ですが。
別にそうとは書いていないような。
Re:毎日新聞のミスリード? (スコア:2, 参考になる)
んじゃ、ヒマ潰しに(笑)確認してみましょう :-)
仮にSP3までの修正が当たってると仮定するとここの [microsoft.com]5 から 13、それにMS02-064 [microsoft.com]の合計10個あたりがあやしそうです。 住基ネットのサーバーの構成なんてまったくわかりませんが、本当に即座に対応しないとヤバめなものってどのぐらいあるんでしょう? 仮にSMBをまったく使わないシステムで最初から余計なサービス等を動かしてないならMS02-045 [microsoft.com]を後回しにしてもいいでしょうし、PPTPを使ってない(サービスを有効にしてない)のならMS02-063 [microsoft.com]も気にしないでいいでしょう。
・・・なんか話がそれてしまったので元に戻すと、上で挙げた10個の問題が毎日新聞に書かれてる10個前後の問題だとすれば全てネットワークがらみのものと考えて問題ないと思います。もちろん現在の住基のサーバーの構成から考えてサービスを止めてでもすぐに対応しなければならないものと直接影響はないので後回しにしてもいいものが混在してるような気はしますが・・・。
# 個人的にはこの 10 個の hotfix を全て当てないとマズいような
# サーバーを最初から構築してたとしたらそっちのほうが問題のよな
# 気がする。「今すぐ当てる必要がない事をちゃんと確認・検証した
# ので適用は SP4 まで待つ」というのならそれほど大きな問題だとは
# 思わないし。
## もちろん実際にそこまで検証してるのかは私には全くわかりません :-)
そもそも「10個」なのか? (スコア:1)
住基ネットの本稼働は8月5日です。 Windows2000SP3のリリースはその後です。 従って、使われているWindowsは SP2かそれ以前のものです。 「修正」がSP3である可能性は、検証のことを考えれば ありえないと考えていいでしょう。 8月にhotfix 1つあたっていたとして、 それ以前の hotfix がどれだけあてられているか、という問題もあります。
Re:そもそも「10個」なのか? (スコア:0)
件名にこのように記述して「10個」という数に対して問題提起をしているようで
すが、本文にはなぜその数字が疑わしいのか理由が記述されていません。
というより個数に関して直接触れていませんね。
なにをおっしゃりたいのか理解できません。
# 実はもっと多いと言いたいのでしょうか? 少ないと言いたいのでしょうか?
# 実は何個だと言いたいのでしょうか?
# そしてそれはなぜ?
> 住基ネットの本稼働は8月5日です。 Windows2000SP3のリリースはその後です。
> 従って、使われているWindowsは SP2かそれ以前のものです。「修正」がSP3で
Re:毎日新聞のミスリード? (スコア:1)
# まじないをすれば財布をすられなくなるわけでなし
-- 哀れな日本人専用(sorry Japanese only) --
Re:毎日新聞のミスリード? (スコア:1)
> コンピュータには セキュリティ上の問題は発生しないと言って
> いい。
そうかなあ?
昔のウィルスはよくフロッピー経由でバイナリに寄生したり
したものだが・・・。あとマクロウィルスだと文書ファイルに
くっついてたりしますよね。(確かにメールなどのインター
ネット経由での情報漏洩はそのPCを通しては起こりようが
ないが、それだけで安心するのは少し考えが甘い感じがする)。
(´д`;)
Re:毎日新聞のミスリード? (スコア:1)
# 住基ネットってフロッピーでバイナリを交換したり文書ファイルを交換して 運用されているんですか?
-- 哀れな日本人専用(sorry Japanese only) --
Re:毎日新聞のミスリード? (スコア:1)
既存住基システムと住基ネットの末端サーバとなる 各市町村設置のコミュニケーションサーバの間のデータ交換は firewallを介したネットワーク接続によるのが基本とされていますが、 ここをネットワークで接続せずにMOによってオフラインでデータを 交換するという方式もあり、 一部の自治体がネットワークセキュリティについて万全を期すために 採用しているむね、すでに報道されています。
Re:毎日新聞のミスリード? (スコア:1)
# 最近こういうのの新種って開発されているんだろうか……
-- 哀れな日本人専用(sorry Japanese only) --
続:世紀末PC救世主伝説 (スコア:0, 余計なもの)
某政府管理用ネットワ-クはウイルスの炎に包まれた。
政府は荒れ株価は暴落し、あらゆる個人情報が削除したかにみえた。
しかし個人情報は削除していなかった。
金がすべてを支配する法の世の中で、
金なき下、中流階層は苦悶の声を上げていた。
Re:毎日新聞のミスリード? (スコア:1)
ええ、住基ネットワーク内部でさえも、著しく。:)
みんつ
何が問題か区分できないのが問題 (スコア:1)
ちゅうかさ, コンピュータシステムのセキュリティうんぬんを言う前に, もっと広義のシステムセキュリティポリシーを設定しなきゃ評価も計画も立てようがないじゃない. それを後追いで個人情報保護法を審議しているんだから, セキュリティの評価に値しないのは自明でしょう.
これは住基ネットに限らず言えることだけど, まずは何のデータを誰から守るかを決めること. これが明確に定義されないかぎり, どんなコンピュータ・ネットワークシステムであってもセキュリティの面からは玩具にすぎないです.
Re:何が問題か区分できないのが問題 (スコア:1)
-- 哀れな日本人専用(sorry Japanese only) --