アカウント名:
パスワード:
年金情報“流出” 不審メールの内容入手日本テレビ系(NNN) 6月3日(水)5時29分配信http://headlines.yahoo.co.jp/videonews/nnn?a=20150603-00000008-nnn-soci [yahoo.co.jp]この動画によると、添付ファイルの拡張子はlzh。
UNLHA32.DLLの開発停止、作者がLHA書庫の使用中止を呼びかけるhttp://security.srad.jp/story/10/06/07/0335205/ [security.srad.jp]
モノがどうかというより、送信元を知らないメールをなぜ開けるのか。
セミナー参加にしても、そういうことは普段からメーリングリストなどで回すものだ。突然知らない人から来て、本物だとしても、見る必要はあるまいに。
この人ら、メールでATMで金振り込めって書いてあったら振り込むんかい。
そういう話じゃないでしょうに。不特定多数からの問い合わせがあるところで、送信元が分からないメールがどれだけ来るとお考えなのでしょうか。
メールのやりとりと、年金情報の管理を同じネットワークでやっていたことこそが問題なのではないかと。ヒューマンエラーはある程度起こりうる物として仕組みを設計しないと、何度でもこういう事故は起こると思いますよ。
別系統に分けるだけの予算があるのかとかが問題になる悪寒…今回の漏洩の一番の原因の個人情報を共有フォルダに保存したことも、本来は禁止されていたことで、やむを得ない場合はパスワードをつけることなってたはずが、実際には守られていない。仕組みを作っても、お偉いさんの意識が変わらないと、また骨抜きになるのを繰り返しそうだ。
だから、本来禁止されていたって言うのをできちゃうのがおかしいんですって。禁止っていうルールだけだと絶対に守られないのなんてわかりきっているのだから、実際にできなくする「仕組み」が必要。
『実際にできなくする「仕組み」』などというものは、結局はその組織を運営する人間の意識を改革しない限り維持できない。教育なしに厳正なシステム維持など不可能。
教育といっても分かってない「偉い人」いや「エラいだけで分かってない人」の意識改革が必要だから、もうこれは組織の問題。こういう組織を作った上位組織(厚労省)の問題でもあるから、単なる教育の問題じゃなかろう。
こういうのはいくら意識や教育といってもダメで法令で縛るしかないんじゃないだろうか。「お偉いさん」なら法で強制されれば守るだろう。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds
LZH書庫は開いちゃダメ (スコア:1)
年金情報“流出” 不審メールの内容入手
日本テレビ系(NNN) 6月3日(水)5時29分配信
http://headlines.yahoo.co.jp/videonews/nnn?a=20150603-00000008-nnn-soci [yahoo.co.jp]
この動画によると、添付ファイルの拡張子はlzh。
UNLHA32.DLLの開発停止、作者がLHA書庫の使用中止を呼びかける
http://security.srad.jp/story/10/06/07/0335205/ [security.srad.jp]
Re: (スコア:0)
モノがどうかというより、
送信元を知らないメールをなぜ開けるのか。
セミナー参加にしても、そういうことは普段からメーリングリストなどで回すものだ。
突然知らない人から来て、本物だとしても、見る必要はあるまいに。
この人ら、メールでATMで金振り込めって書いてあったら振り込むんかい。
Re: (スコア:1)
そういう話じゃないでしょうに。
不特定多数からの問い合わせがあるところで、送信元が分からないメールがどれだけ来るとお考えなのでしょうか。
メールのやりとりと、年金情報の管理を同じネットワークでやっていたことこそが問題なのではないかと。
ヒューマンエラーはある程度起こりうる物として仕組みを設計しないと、何度でもこういう事故は起こると思いますよ。
Re: (スコア:0)
別系統に分けるだけの予算があるのかとかが問題になる悪寒…
今回の漏洩の一番の原因の個人情報を共有フォルダに保存したことも、
本来は禁止されていたことで、やむを得ない場合はパスワードをつけることなってたはずが、
実際には守られていない。
仕組みを作っても、お偉いさんの意識が変わらないと、また骨抜きになるのを繰り返しそうだ。
Re: (スコア:0)
だから、本来禁止されていたって言うのをできちゃうのがおかしいんですって。
禁止っていうルールだけだと絶対に守られないのなんてわかりきっているのだから、
実際にできなくする「仕組み」が必要。
Re: (スコア:0)
『実際にできなくする「仕組み」』などというものは、
結局はその組織を運営する人間の意識を改革しない限り維持できない。
教育なしに厳正なシステム維持など不可能。
Re: (スコア:0)
教育といっても分かってない「偉い人」いや「エラいだけで分かってない人」の意識改革が必要だから、もうこれは組織の問題。こういう組織を作った上位組織(厚労省)の問題でもあるから、単なる教育の問題じゃなかろう。
こういうのはいくら意識や教育といってもダメで法令で縛るしかないんじゃないだろうか。
「お偉いさん」なら法で強制されれば守るだろう。
Re:LZH書庫は開いちゃダメ (スコア:1)
・セキュリティの最高責任者には「お偉いさん」を指定(日本年金機能の場合は理事長?)
・セキュリティの最高責任者はセキュリティ問題発生時に責任を負う
とすれば良いと思う。