アカウント名:
パスワード:
一人の職員から何百万物クエリーを受け付けるというのがそもそもおかしい気が。
まさか、職員なら短時間のうちに全データ取得可能になってたりしませんよね。
アクセスで保存して、共有フォルダに置いていました、とかね。。。ありそう。
ご名答
> 通常は基幹システムで管理する個人情報をファイル共有サーバーに移したところ、ウイルスに感染したパソコン経由で流出したという。http://itpro.nikkeibp.co.jp/atcl/news/15/060101820/ [nikkeibp.co.jp]
いかにも共有フォルダに移した直後に感染したような書き方だけどそういう(おそらく内規に違反した)運用が常態化していたと考えるべきなんでしょうな
年金機構のPDFの文書のほうではファイル共有サーバにコピーとか全く触れてないのね
う~ん。内規に違反しないと仕事が回らないような使いにくいシステムだったんだろうか。
私の所属も独法系列だけど、業務が多岐に渡り、データの利用目的が複雑に変化するから、システムから多量の個人データを抜き出してAccessを個別に組まないとお話にならない。
個人情報を分散して管理することになるので、セキュリティ的に不味いのは分かるが、限られた予算・人件費で目の前の業務をこなすためにやむなくそうせざるを得ない。
うちの組織の場合は、以下の点が問題な気がする。
・情報処理に詳しい人材が不足している。現場サイドで業務を理解し システムに落とし込める人がいない。・そもそも予算が無い。データ処理・セキュリティの高度化に対する理解が 薄いので必要な予算も下りない・情報部門がセキュリティ関係業務しかしないため、彼らだけで定めるルール だけが一人歩きする。その分の業務が煩雑になるが、それで業務の効率が 上昇することが無い。
情報処理に詳しい人材が不足している。現場サイドで業務を理解しシステムに落とし込める人がいない。そもそも予算が無い。データ処理・セキュリティの高度化に対する理解が薄いので必要な予算も下りない情報部門がセキュリティ関係業務しかしないため、彼らだけで定めるルールだけが一人歩きする。その分の業務が煩雑になるが、それで業務の効率が上昇することが無い。
なるほどなぁ。セキュリティ業界は「業務効率化(エクスペリエンスの改善)∝セキュリティ向上」ってのがトレンドなので今回の事件をきっかけに花開いてくれることを祈るばかりです。セキュリティの重要性はすでに広く認知されているので、あとは予算に落としこめる事例ができれば、…
個人情報を漏洩されるかもしれない人のことより、自分の仕事の効率が大事。そんな思いで勝手にデータぶっこ抜く人など解雇して、代わりに技術者を雇ってほしいなあ。
ウィルスに感染する前に、既にファイル共有サーバーに流出してたって事ですか。マスコミもこっちを重要な問題と扱っていないようだし、また同じ事を繰り返すんだろうな。
基幹システムへ不正アクセスしたのはウイルスでも第三者でもなくアホな職員だという・・・。
え、これまさかwindowsネットワークで管理してるとかじゃないですよね・・・
データのライフサイクル管理が必要になってくるのかな。共有ファイルは3日経ったらcronで強制的に消去させられるとか。あとはもっと金を払って、sharestage みたいなところを借りる?
ほんとコレ馬鹿がウィルスメール開封したくらいで流出するようじゃあこの職員がやらなくたっていずれ流出する
まあ開発者としては、こんなあらゆる自治体のPCで素人にも使えるようにして、なおかつ情報流出が絶対許されないシステムを開発する人に同情するが
もしエラい人の名を騙ったウイルスメールがばらまかれたのであれば、内部犯の可能性もありますね。普通に情報を盗んだ人が、出処をわからなくするためにバックドア入りウイルスをばらまいて、自分も感染を装った、とか。
夜のニュース(ZERO)でやってたけど、yahooからのメールを開いてウイルス感染感染者が出ても、周知しきれずに他も感染複数名感染して、1ヶ月近くたって全ネットワーク停止
感染経路もどうみても人災
普段通りのお役所仕事(手渡しでの書類申請でないと仕事しない)ならこんな流出は無かったんだろーなー
こういう切り方するやつって必ず適切な対案を出さないのはなんでだろう?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
数十件とか数百件とかなら分かるけど (スコア:4, 興味深い)
一人の職員から何百万物クエリーを受け付けるというのがそもそもおかしい気が。
まさか、職員なら短時間のうちに全データ取得可能になってたりしませんよね。
Re:数十件とか数百件とかなら分かるけど (スコア:2, すばらしい洞察)
アクセスで保存して、共有フォルダに置いていました、とかね。。。ありそう。
Re:数十件とか数百件とかなら分かるけど (スコア:5, 参考になる)
ご名答
> 通常は基幹システムで管理する個人情報をファイル共有サーバーに移したところ、ウイルスに感染したパソコン経由で流出したという。
http://itpro.nikkeibp.co.jp/atcl/news/15/060101820/ [nikkeibp.co.jp]
Re:数十件とか数百件とかなら分かるけど (スコア:2, すばらしい洞察)
いかにも共有フォルダに移した直後に感染したような書き方だけど
そういう(おそらく内規に違反した)運用が常態化していたと考えるべきなんでしょうな
年金機構のPDFの文書のほうではファイル共有サーバにコピーとか全く触れてないのね
Re:数十件とか数百件とかなら分かるけど (スコア:1)
う~ん。内規に違反しないと仕事が回らないような使いにくいシステムだったんだろうか。
Re:数十件とか数百件とかなら分かるけど (スコア:2, 参考になる)
私の所属も独法系列だけど、業務が多岐に渡り、データの利用目的が
複雑に変化するから、システムから多量の個人データを抜き出して
Accessを個別に組まないとお話にならない。
個人情報を分散して管理することになるので、セキュリティ的に不味いのは
分かるが、限られた予算・人件費で目の前の業務をこなすためにやむなく
そうせざるを得ない。
うちの組織の場合は、以下の点が問題な気がする。
・情報処理に詳しい人材が不足している。現場サイドで業務を理解し
システムに落とし込める人がいない。
・そもそも予算が無い。データ処理・セキュリティの高度化に対する理解が
薄いので必要な予算も下りない
・情報部門がセキュリティ関係業務しかしないため、彼らだけで定めるルール
だけが一人歩きする。その分の業務が煩雑になるが、それで業務の効率が
上昇することが無い。
Re:数十件とか数百件とかなら分かるけど (スコア:1)
なるほどなぁ。
セキュリティ業界は「業務効率化(エクスペリエンスの改善)∝セキュリティ向上」ってのがトレンドなので今回の事件をきっかけに花開いてくれることを祈るばかりです。
セキュリティの重要性はすでに広く認知されているので、あとは予算に落としこめる事例ができれば、…
Re: (スコア:0)
個人情報を漏洩されるかもしれない人のことより、自分の仕事の効率が大事。
そんな思いで勝手にデータぶっこ抜く人など解雇して、代わりに技術者を雇ってほしいなあ。
Re:数十件とか数百件とかなら分かるけど (スコア:1)
ウィルスに感染する前に、既にファイル共有サーバーに流出してたって事ですか。
マスコミもこっちを重要な問題と扱っていないようだし、また同じ事を繰り返すんだろうな。
Re:数十件とか数百件とかなら分かるけど (スコア:1)
Re:数十件とか数百件とかなら分かるけど (スコア:1)
基幹システムへ不正アクセスしたのはウイルスでも第三者でもなくアホな職員だという・・・。
Re: (スコア:0)
え、これまさかwindowsネットワークで管理してるとかじゃないですよね・・・
Re: (スコア:0)
データのライフサイクル管理が必要になってくるのかな。
共有ファイルは3日経ったらcronで強制的に消去させられるとか。
あとはもっと金を払って、sharestage みたいなところを借りる?
Re:数十件とか数百件とかなら分かるけど (スコア:1)
ほんとコレ
馬鹿がウィルスメール開封したくらいで流出するようじゃあ
この職員がやらなくたっていずれ流出する
まあ開発者としては、こんなあらゆる自治体のPCで素人にも使えるようにして、なおかつ情報流出が絶対許されないシステムを開発する人に同情するが
Re:数十件とか数百件とかなら分かるけど (スコア:1)
発信元にエラい人の名前をかたったメールを同時に職員全員に送ったとか、職員が必ず開かないといけないメール(給与明細とかね)に偽装したとかで、複数の職員が引っかかったのでは?
Re:数十件とか数百件とかなら分かるけど (スコア:2)
もしエラい人の名を騙ったウイルスメールがばらまかれたのであれば、内部犯の可能性もありますね。
普通に情報を盗んだ人が、出処をわからなくするためにバックドア入りウイルスをばらまいて、自分も感染を装った、とか。
Re:数十件とか数百件とかなら分かるけど (スコア:1)
役所の場合、職員全員を網羅した名簿が売店で売られていたりすることもあるし、そもそも管理職は公表されているのでやりやすいかと。
Re: (スコア:0)
夜のニュース(ZERO)でやってたけど、
yahooからのメールを開いてウイルス感染
感染者が出ても、周知しきれずに他も感染
複数名感染して、1ヶ月近くたって全ネットワーク停止
感染経路もどうみても人災
Re:数十件とか数百件とかなら分かるけど (スコア:1)
Re: (スコア:0)
普段通りのお役所仕事(手渡しでの書類申請でないと仕事しない)ならこんな流出は無かったんだろーなー
Re: (スコア:0)
こういう切り方するやつって必ず適切な対案を出さないのはなんでだろう?