アカウント名:
パスワード:
普通なら、既存の登録内容があるなら、それを表示させて「編集」なり「修正」なりのボタンを配置して、それで修正させるようにすると思うんだけど、そういう物もなく、ただただ、何度も申請操作が出来るの?
そんなクソ仕様でよく開発を請け負ったな。普通なら開発開始前に「その仕様だと問題あるよ」と客に伝えるのも開発者の義務だと思うんだけど。
Internetからアクセス可能なところに個人番号をキーとするデータが保持されていたらアウトじゃねーの?※ちなみにあの申請、途中で「ここまでの内容を保存する」を選択するとその内容が記載されたPDFが出てきます
「個人番号(又は個人番号と紐づいた識別子)をキーとするデータが保持されていたらアウト」というルールは無いのではないでしょうか。マイナポータルを通じて本人の様々の情報を確認できるようにすることは今も行われていて、今後も拡大していく方向でしょう。
マイナポータル あなたの情報を確認する [myna.go.jp]
地方公共団体における情報セキュリティポリシーに関するガイドライン(PDF) [soumu.go.jp]P108 図表15「三層の構えによる自治体情報システム例」
マイナンバー系はインターネット系とはこれだけ厳重に隔離することが求められていますインターネット側のWebサーバを経由した程度でDBにアクセスできるようじゃアウトです※ご提示の「あなたの情報を確認する」も役所への申請の中継機能であって何らかのデータを引いているわけではないです
だから最終的には目視確認 [togetter.com]なんて事態が起きるわけで
現状のマイナポータルは、マイナンバーを扱うシステムに求められているセキュリティ基準を満たしていない、という指摘でしょうか。その指摘が当たっているかは私にはわかりませんが。
この話の要点は、「電子証明書でログインして入力した個人情報を、サーバに保存し、別の機会に同じ方法でログインして当該個人情報を読み出す」というところだと思うので、既存行政システムのDBへのアクセスが求められているわけではないと思うのです。
「あなたの情報を確認する」で得られた個人情報をマイナポータル上に保存し、閲覧することが許されて、給付金申請で入力した個人情報をマイナポータル上に保存し、閲覧することが許されないとする理由はないだろうと。急ごしらえだからそこまで作れなかった、ならわかりますが、「アウト」と言われると、違うのではないかと。
データを格納しているDB自体は外部からアクセスできないように別ネットワークにして保護するなんて、今時やってないところの方が珍しい気がする。
Webサーバは外部に公開するとして、RDBはプライベートネットワーク側に置くとか初歩の段階でやってる対策じゃね?、そもそも、Webで使うポート以外のアクセスは禁止するなんてやってない方がおかしくない?
データダイオード使ってたら胸熱ですなぁ。(無いだろうけども。。)
当たり前を期待するな当たり前のことを当たり前にやっていたのなら、そもそもこんなクソ仕様になっていない
当たり前のことをやってないのは民間の方が多いと思うぞ。
そもそも住基の部分は物理的に切り離されてる。だからインターネットで申請受けたデータを別のところへ持って行ってはじめてデータのチェックができる。当然申請時に候補を表示したりとかできないしデータのチェックもできない。入力フォーム内で完結するバリデーションだけ実施できる。
大昔のオンライン端末やCICSのようなものが(使われて)なかった頃のシステムと同じ構造をしてるわけ。時間切ってデータ集めてバッチ処理してサマリとエラーリスト出して各部署に配って回る。今だって手動でxlsx配って集めてやってる人いくらでもいるけどそれと同じ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds
そんなクソ仕様でよく開発を請け負ったな (スコア:1)
普通なら、既存の登録内容があるなら、それを表示させて「編集」なり「修正」なりのボタンを配置して、それで修正させるようにすると思うんだけど、そういう物もなく、ただただ、何度も申請操作が出来るの?
そんなクソ仕様でよく開発を請け負ったな。普通なら開発開始前に「その仕様だと問題あるよ」と客に伝えるのも開発者の義務だと思うんだけど。
Re:そんなクソ仕様でよく開発を請け負ったな (スコア:0)
Internetからアクセス可能なところに個人番号をキーとするデータが保持されていたらアウトじゃねーの?
※ちなみにあの申請、途中で「ここまでの内容を保存する」を選択するとその内容が記載されたPDFが出てきます
Re:そんなクソ仕様でよく開発を請け負ったな (スコア:2)
「個人番号(又は個人番号と紐づいた識別子)をキーとするデータが保持されていたらアウト」というルールは無いのではないでしょうか。
マイナポータルを通じて本人の様々の情報を確認できるようにすることは今も行われていて、今後も拡大していく方向でしょう。
マイナポータル あなたの情報を確認する [myna.go.jp]
Re: (スコア:0)
地方公共団体における情報セキュリティポリシーに関するガイドライン(PDF) [soumu.go.jp]
P108 図表15「三層の構えによる自治体情報システム例」
マイナンバー系はインターネット系とはこれだけ厳重に隔離することが求められています
インターネット側のWebサーバを経由した程度でDBにアクセスできるようじゃアウトです
※ご提示の「あなたの情報を確認する」も役所への申請の中継機能であって何らかのデータを引いているわけではないです
だから最終的には目視確認 [togetter.com]なんて事態が起きるわけで
Re:そんなクソ仕様でよく開発を請け負ったな (スコア:2)
現状のマイナポータルは、マイナンバーを扱うシステムに求められているセキュリティ基準を満たしていない、という指摘でしょうか。
その指摘が当たっているかは私にはわかりませんが。
この話の要点は、「電子証明書でログインして入力した個人情報を、サーバに保存し、別の機会に同じ方法でログインして当該個人情報を読み出す」というところだと思うので、既存行政システムのDBへのアクセスが求められているわけではないと思うのです。
「あなたの情報を確認する」で得られた個人情報をマイナポータル上に保存し、閲覧することが許されて、給付金申請で入力した個人情報をマイナポータル上に保存し、閲覧することが許されないとする理由はないだろうと。
急ごしらえだからそこまで作れなかった、ならわかりますが、「アウト」と言われると、違うのではないかと。
Re:そんなクソ仕様でよく開発を請け負ったな (スコア:1)
データを格納しているDB自体は外部からアクセスできないように別ネットワークにして保護するなんて、今時やってないところの方が珍しい気がする。
Webサーバは外部に公開するとして、RDBはプライベートネットワーク側に置くとか初歩の段階でやってる対策じゃね?、そもそも、Webで使うポート以外のアクセスは禁止するなんてやってない方がおかしくない?
Re: (スコア:0)
データダイオード使ってたら胸熱ですなぁ。(無いだろうけども。。)
Re: (スコア:0)
当たり前を期待するな
当たり前のことを当たり前にやっていたのなら、そもそもこんなクソ仕様になっていない
Re: (スコア:0)
当たり前のことをやってないのは民間の方が多いと思うぞ。
Re: (スコア:0)
そもそも住基の部分は物理的に切り離されてる。
だからインターネットで申請受けたデータを別のところへ持って行ってはじめてデータのチェックができる。
当然申請時に候補を表示したりとかできないしデータのチェックもできない。入力フォーム内で完結するバリデーションだけ実施できる。
大昔のオンライン端末やCICSのようなものが(使われて)なかった頃のシステムと同じ構造をしてるわけ。
時間切ってデータ集めてバッチ処理してサマリとエラーリスト出して各部署に配って回る。
今だって手動でxlsx配って集めてやってる人いくらでもいるけどそれと同じ。