パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

日本年金機構から125万件の個人情報流出」記事へのコメント

  • たいていの人はそう思っているでしょう。
    • by Anonymous Coward

      公的機関の情報漏洩の抑止力は、漏洩の原因をつくった職員への刑事罰くらいしか無いようなきがする。
      そのくらい気を引き締めて業務にあたれ、生半可な知識と意識でシステムをいじるな、ってことで。

      • by Anonymous Coward on 2015年06月01日 18時08分 (#2823475)

        精神主義じゃどうともならんでしょう。仕組みで防がないと。

        親コメント
        • by Anonymous Coward on 2015年06月01日 20時31分 (#2823557)

          > 精神主義じゃどうともならんでしょう。仕組みで防がないと。

          マイナンバーの漏洩を防ぐ/漏洩しても使い道がないようにする仕組みとして、
          事業者ごとに、個人を示す識別番号の値を変えるって方法が、昔、
          http://takagi-hiromitsu.jp/diary/20040822.html [takagi-hiromitsu.jp]
          の末尾に示されていて、確かにこれは今なら技術的に可能だし、うまい手だなと
          思った記憶があるんですが、マイナンバーが、こういう仕組みを採用しなかった
          理由って何なんでしょう。

          親コメント
          • by Anonymous Coward

            お漏らししたとこが分かるから。

        • > 厚労大臣「日本年金機構への悪意を持った攻撃を防げなかったことは誠に遺憾だ。」

          (1) 職員がデータをオンラインにしてしまったのが流出
          (2) 職員がウイルスの入ったファイルを開封したのは拡散幇助

          ということを大臣が理解しないと、仕組みが作られようはずがない。
          やはりまず、精神が問題じゃないか?

          親コメント
        • by Anonymous Coward

          同意
          このニュースを見て「仮想デスクトップにしましょう」とか
          各種「ソリューション」を売り込むベンダーが数社現れるんじゃないかと思います
          採用されるかはともかく

          • by Anonymous Coward

            メール受信でウィルスにやられるような体制じゃ、
            どんなセキュリティ対策しても無駄ではなかろうか。

            精神論というより、最低限のIT知識持たずに「個人情報データ」を扱うなと言うんだよ。

            • by Anonymous Coward on 2015年06月01日 18時39分 (#2823498)

              >最低限のIT知識持たずに

              そういうのが精神論なんだよ、仕組み的に防ぐことが出来なければ
              必ず事故る。マーフィーの法則通りです。

              親コメント
              • by Anonymous Coward

                その通りです。フールプルーフが必要ですね。

              • by Anonymous Coward on 2015年06月01日 20時28分 (#2823554)

                バカをなめるな。
                奴らは我々が苦労して張り巡らせたバカ除けの、必ず斜め上を飛び越えていく。

                バカをなめるな。

                親コメント
              • by Anonymous Coward

                バカがどうこう以前に、職員が悪意を持って流出させるケースも十分考え得るからね。
                ベネッセしかり、実例の枚挙にいとまがない。
                悪意を持ってしても大量漏洩はできないくらい、防壁&記録を取る仕組みを作らないと。

                # この事件関連の2ch書き込みを読むと、馬鹿がえらい多かったことは実感できるけどさ。

              • by Anonymous Coward

                悪意など人間が関わると、結局精神論になってしまうんですよね。
                例えば、どんな完璧な物理的セキュリティでも、
                ある程度権限のある人が、面倒臭いからと迂回するような
                「例外的」運用を常態化させていると無力になる。
                仕組みはもちろん必要だけど、精神論も無視はできない。

              • 顧客情報を平文のままゲームサーバに公開してた馬鹿なネトゲ運営会社もありましたし、
                中小企業なんかではサーバシステムの管理パスワードを社内共通にして掲示板に貼ってるので誰でもいじれるような会社もありますからねぇ。
                今回の事件でもそうですが、そういう馬鹿な運用は駄目なんだということを理解させないと、どんなシステムも無駄になる。
                「悪意をもってなされたら~」とか言ってる人もいますが、それ以前の問題。まず悪意が無くても漏洩させ放題な会社の意識改革は必要でしょう。

                「教育なんて無駄だー」と唱える人間は、とにかくシステム屋の仕事が増えることこそ正義でそれ以外はどうでもいい人なのでは?

                --

                ψアレゲな事を真面目にやることこそアレゲだと思う。
                親コメント
            • by 90 (35300) on 2015年06月01日 20時44分 (#2823570) 日記

              最低限のIT知識とやらを定義してみなよ。たぶんあんたは添付を踏んで叩かれる側だよ。
              交通事故なんか死ぬと分かってても起こすときは起こして同乗者共々死ぬんだから、人間に何を期待してもダメなんだよ。
              だからそもそも添付をサーバで落とすとか、原理的に起こらないようにするわけ。

              親コメント
              • by Anonymous Coward

                また、極端な。
                車を例に上げていますけど、何のために免許があるのか考えてみては?
                最低限の知識で全てを完璧に防ぐことはできませんが、
                それを理由に最低限の知識が必要ないなどというのは極論です。

              • by Anonymous Coward

                「システムや運用規則を作る側のIT知識や安全意識が足りてない」
                という問題と
                「システムを利用するオペレータのIT知識や安全意識が足りてない」
                という問題は別物ですよね。

                #2823475や#2823481は確実に前者の意味で意見を述べているけれど、
                #2823473は前者の意味で書いてる可能性がありそうに見えるけど曖昧だし、
                #2823487は確実に後者の意味で考えててそりゃおかしいだろうと。

              • by Anonymous Coward

                そりゃそうなんだけど、
                どんな馬鹿でも情報漏洩しない仕組なんてものを考えるよりは、
                ある程度の教育と試験による情報取扱者の選別の方が現実的だよ。

              • by Anonymous Coward

                > また、極端な。
                > 車を例に上げていますけど、何のために免許があるのか考えてみては?

                免許を持っている人は事故らないんですね?

                > 最低限の知識で全てを完璧に防ぐことはできませんが、

                完璧に防ぐことはできなくても125万件くらいは流出するんですよ。

              • by Anonymous Coward

                あなたも極端ですね。
                私は免許の意味を考えてみてはと言ったのに、
                いつの間にか免許を持っている人は事故らないとか言い出すし。
                教育しても、事態は全く改善されないとでも言いたげだし。
                どうしてそんなに教育の効力を否定したいのか私にはわかりませんね。
                仕組み作りもやればいいし、教育もやればいいでしょ?何か不都合なの?

              • by Anonymous Coward

                横レスだけど、自動車は一人が事故っても本人が死ぬだけだけど、情報システムは一人が自己ると全員が死ぬから、たとえとして不適切。
                だから、免許を取っても全員事故らないとかいうレスがついちゃうんだと思う。

              • by Anonymous Coward

                セキュリティは道徳論じゃ解決しないから、機械的に制限をかけはじめたんですよ。

              • by Anonymous Coward

                そのとおりですが、最低限の知識って道徳論なんですか?
                誰もが閲覧できる共有フォルダに重要なデータは置かないとか、道徳論?
                まあ、セキュリティ教育とは別に組織の一員としての道徳教育は必要でしょうけどね。

        • by Anonymous Coward

          その仕組み作る段階で手を抜くかどうかの話でしょう。
          現状、自主的な安全意識にまかせている(精神主義)部分を、
          何らかの動機・圧力によって安全側に振って作業させようと。

          # 気合で乗り切れ系の精神論はクソだけど、それとはちょっと違う

        • by Anonymous Coward

          いやいや、精神主義ではどうにもならないのは同意するけど、
          これは、個人情報を取り扱う人に最低限のセキュリティ教育を受けさせろという話じゃない?
          読み書きを教えるのと大して変わらない。
          まさか、学校で読み書きを教えてもどうにもならないとか言わないよね。

          • by Anonymous Coward

            > これは、個人情報を取り扱う人に最低限のセキュリティ教育を受けさせろという話じゃない?

            今回の件がどうかはまだ分かりませんが、もしも標的型メールで狙われた場合、
            セキュリティ教育でどうにかなるレベルは越えてます。
            こんな感じ。
            http://www.npa.go.jp/keibi/biki7/231014shiryou.pdf [npa.go.jp]

            標的型の場合、ウィルスも、アンチウィルスソフトをすり抜けると想定すべきだし、
            組織外の乗っ取られたユーザーから届いた場合だと、Received: ヘッダを目視確認
            したとしても正常な内容だし。

            • >今回の件がどうかはまだ分かりませんが、もしも標的型メールで狙われた場合、
              >セキュリティ教育でどうにかなるレベルは越えてます。

              それ見てると、ここやどこかでIT教育とか精神論振りかざしてる人たちが職員だとしたら全滅でしょうね。

              親コメント
            • 最低限のセキュリティ教育を受けていれば、
              外部とつながっている環境で、個人情報を閲覧したり、ローカルに保存するのは
              ダメなんじゃないかって気付く"かも"しれないよ。

              親コメント
            • by Anonymous Coward

              標的型なら、仕方ないでしょうね。
              誤解させたかもしれませんが、ミスをした人の責任を追及しろと言いたいわけではないですよ。
              機械や仕組みによる対策は重要でしょうね。
              さらに、セキュリティ教育も合わせて行った方がより確実だと思います。

          • by Anonymous Coward

            そんな教育ムダだよ。扱う人数からいっても。

            システム的に機微情報を扱う端末から大量にデータを抜けるようにしてる時点でアウト。
            それがインターネット経由で送信できる状態にあるのもアウト。
            仮にネットに出てったとしても、それを検出して止められないのもアウト。

            どんなに手順をつくしても大量に外部に持ち出せないシステムにしないと。

            • by Anonymous Coward

              例えば、あなたが指摘した問題点に、
              職員が誰一人として気づかなかったことに問題を感じませんか?
              教育とは、危機を察知する能力を身につけることでもあると思いますよ。
              職員の理解があれば、システム担当のフットワークも変わってくるでしょう。

          • by Anonymous Coward

            メールの添付を開くとか使用者の程度が論外なのはそうなんだけれども、
            そもそもなんでその端末でメール確認作業なんかが出来る設計に構築されているのかという
            問題もありまして、そもそもメール受信が出来たり外付けUSBを勝手に刺したり出来ないように
            設計構築されていれば使う人如何に関わらず低減出来たリスクなわけで。

最初のバージョンは常に打ち捨てられる。

処理中...