パスワードを忘れた? アカウント作成

まるごとデータを消失した「ふくいナビ」、旧サーバにバックアップが発見される」記事へのコメント

  • by Anonymous Coward on 2020年11月21日 8時12分 (#3928273)

    バグなのか

    ここに返信
    • by NOBAX (21937) on 2020年11月21日 8時57分 (#3928297)

      とネタ元に書いてある
      つまり、ふくい産業支援センターの旧サーバーに少し前のデータが保存されていたということ

      • しかし、5年も前にサービスアウトした機器を残してた理由って何だろう?
        固定資産だったとしても、そんなに長く残しておく必要はないはずだけどな。
        別用途に流用してたなら、データは消されてそうな気がするし、保守も気になる。

        • by Anonymous Coward on 2020年11月21日 11時22分 (#3928372)

          役人AC
          国費が入ってる?
          公共事業の一部でやっていたりすると、
          処分制限期間があり、使えなくなっても、使えるようにして維持しなければならない。
          5年前のサーバー何て使えないよってのは分かる。その場合は、他の「モノ」を独自で調達して必要な機能を代替することで、本来の「機能」を使えるようにすることになろう(もっともらしい理由を作文せねばならないが)。そうしたとしても、最初に整備した「モノ」を捨ててはならない。

          会検(会計検査院が実施する実地検査)で見つかると、
          補助金返還が必要になる場合がある。
          補助金の場合、返すのがものすごく大変。この例では公財だが、大抵は県庁経由でくる。県で返還するには、県議会に議案を提出して議決されねばならない(作業として、マジあり得ない)。公財は県庁の天下りが入ってるだろうから、その方面の危機管理はできてると思うので、サービスアウトした機器であっても、大切に保管することでしょう。

          • 国費が入ってる?

            それは無い事は無いと思うけど、

            5年前のサーバー何て使えないよってのは分かる。

            5年前じゃないんだよね。
            旧サーバは、現行の5年間運用されてきたクラウドサービスの前の旧サービスに供されてた。
            この旧サービスがいつ開始されたかは調べきれてないけど、普通に考えれば、5年くらいは使われていたんじゃないかな。
            とすると、10年前のサーバって話になる。

            サーバは固定資産としては、6年間が耐用年数なので、公共事業もその程度の運用機関で計画するもんじゃないかな?

        • 読み違えてた。
          旧サーバはほぼそのまま残されていて、データバックアップ用に使われてたんだね。
          なんとなく動いてるみたいだし、とりあえず残しとくか、くらいで残されてたのかな。
          それはそれで機微情報の取り扱いとして問題があるよな。

        • by Anonymous Coward

          公務員「こんな事もあろうかと、旧サーバーを残しておいた」

      • by Anonymous Coward

        なるほど、クラウドのバックアップじゃなくて、クラウド移行前のバックアップなのね。
        クラウドの契約期間は知らんが年単位で前のものとは言え無いよりはマシってことか。

        • クラウドの契約期間は知らんが

          5年前にオンプレミス環境からクラウド環境に移行 [security-next.com]」とあるね。

        • by Anonymous Coward on 2020年11月21日 10時28分 (#3928349)

          いや、違いますよ、クラウド移行してからのバックアップです。
          https://www.security-next.com/120824/2 [security-next.com]

          「ふくいナビ」は、5年前にオンプレミス環境からクラウド環境に移行。その際に移行期にあるとして、保守運用事業者がそれまで利用していたオンプレミスへ、1週間ごとにクラウドの利用者データをバックアップするよう設定を行っていた。

          10月5日以降は、同センターにおいて実施された全館停電の影響でバックアップが行われていなかったが、旧システムや10月5日時点のデータを用いてシステムを復旧することが可能だという。

          この部分だけだと判らないですが、おそらくオンプレミスにバックアップをするよう設定をしていたので毎週クラウドのデータをバックアップされていた。しかし運用会社ではバックアップするように設定したことすら忘れられていて、調査していたらバックアップを発見したって話なのでは無いかと感じています。

          • by Anonymous Coward

            5年前のことなんて覚えてねーよ!

          • by Anonymous Coward

            普通だったら停電以降のバックアップが動いていないのは問題だが、逆に止まっていてよかったのかも。

            10月5日 バックアップ実行
            10月X日 停電で一週間毎のバックアップ処理停止
            10月12日? バックアップが実行される日だったが、停電の影響で実施されず?
            10月13日 クラウド契約終了でデータ削除?
            10月19日? もしバックアップが動いていたら、バックアップデータも喪失?差分や増分バックアップなら大丈夫だが・・・

            • by Anonymous Coward

              クラウドに繋がらなかった時に、空のデータでバックアップを上書きするようなシステムを組むバカがいたら出禁だわ。

              • by Anonymous Coward

                バックアップ先の空き容量が足りないので、まず過去のバックアップを削除します。
                という運用だったら死んでたかもね。

              • 普通は、十分な空き容量を準備して、新しいバックアップに成功したら、一番古いバックアップデータを削除する、という手順にするだろうね。
                一般的なバックアップソフトウェア・バックアップシステムを使えば、そう言うやり方が強制される。

                余程アホなエンジニアが自前で実装すれば別だけど。

            • by Anonymous Coward

              こう日付をながめてるとちょっと前に流行ってた「いやこれ小説や漫画だったら現実離れ過ぎて編集者にボツ食らってるだろ」(将棋界)みたいな感じがしてくる

              ・実は2015年10月5日のバックアップである。バックアップはずっと前から止まっていた
              とか
              ・実は契約に反して契約終了即削除が実施されていなくて容易に復元(というか継続利用)できる状態にあったので、正常に戻す言い訳を考えみた

              とかあるんじゃないか、ないか

            • by Anonymous Coward

              10月13日は契約更新(継続)手続きの完了した日ですよ。
              契約終了(とNECが誤認してた日)が10月31日でそこまでは契約有効だからデータは消されていない。
              気付いたのが11月2日なので、消去されたのは恐らく11月1日。
              むしろ10月最終週のバックアップがあった方がよかった。

          • by Anonymous Coward

            バックアップが止まっていたり、バックアップは無いって言った(=把握してない)り、運用がガバガバすぎる…

            • by Anonymous Coward

              バックアップを設定していた担当者が居なくなって、その際に引き継ぎ出来てなかったんだろうね。
              事故で亡くなるとか起きたときにちゃんと引き継ぎ出来る体制になってるか再確認しないと。

    • by Anonymous Coward

      プライバシー保護の観点から、バックアップは不要になったら確実に廃棄するはずですし、
      仕様だとしたら管理簿に残してるはずですから、いずれにしてもバグ(消し忘れ?)でしょうね。

      • 言いたいことは解るんだが。

        プライバシー保護

        プライバシー情報が入っていなければ消さなくていいのか、って言うとそんな話じゃないんだから、プライバシーを持ち出すのは正しくない。
        秘密保持とかそう言う話じゃね?

        管理簿

        「管理簿」て…
        そんな名前かどうかは別として、記録が残って無かった、とは言ってないよね。

        いずれにしてもバグ(消し忘れ?)でしょうね。

        実はこっそり公表しているより長くバックアップを保持していた、ってだけかもしれないよ。
        この「こっそり」は、今回は役に立ったわけだけど、それこそ秘密保持の点から見て褒められたものじゃない。
        だから、必死に探したら見つかりました、ってシナリオを書いた、とかね。

      • by Anonymous Coward

        失敗するとカプコンの情報流出みたいに、本来使用済みで破棄すべき個人情報が残っていてマズイことになる場合もあるからね。

        • by Anonymous Coward

          IT系でデータベースやサーバ管理とかしてる人間なら大体把握してるとは思うけど
          実際データってまず消さないよね。
          データベース上で消すにしても、削除フラグをたてるだけで論理的には残ってたりする。
          紙ベースはシュレッダーで抹消するのは割と普通だけどデータは結構残ってる。

          相当なレベルの機密データなら上から念入りなお達しが来るので消すけど
          ただ単にお決まりの契約で書いてただけ、程度だと残ってることが結構あると思うぞ。
          これはこの件やカプコンだけじゃなくて、世間一般的に。

          • とは言っても、サーバ自体を廃棄するときは、データも消えるよね。
            必要なデータはコピーするだろうけど。

            パブリッククラウドだと、削除後一定期間は取ってあるかもしれないけど、それ以降は別用途に転用されるだろうから、削除されるね。

          • by Anonymous Coward

            論理削除はアンチパターンだとあんなに言われているのに…。

            • by Anonymous Coward

              俺もそう思っていたんだが、某超重要システムでこれのおかげで助かったことがあるので今は削除フラグ推進派に鞍替えした

          • by Anonymous Coward

            論理的には残ってたりする。

            物理的にはじゃない

    • by Anonymous Coward

      ちゃんと消してないという非難と手違いで消しちゃったという非難のどっちを受けるかと考えて、後者へ対処することにしたってところかな。

      • by Anonymous Coward

        この様子では、不心得職員が使用済みストレージをネットオークションに出した可能性はあるかな?
        保管数に間違いはないか心配になる。
        HDDヤフオク事件あったよね。

        • 「可能性」って話なら、「ある」と言わざるを得ないけど、普通はそんなことにはならないよ。
          ストレージをサービスアウトするときは普通、磁気的・物理的に破壊するのが普通。
          破壊後の写真と証明書を出す産廃サービスなんてのもあるよ。
          どうしても心配なら、オンサイトで作業してもらって、それに立ち会えばいい。

          • by Anonymous Coward

            もっと言うならNECはJQAの顔にも泥をぬったけど、今後の情報セキュリティのお仕事は大丈夫かな。

            https://jpn.nec.com/event/171215isms/index.html [nec.com]
            ISMS(ISO27001)認証取得・事例セミナー(無料)

            知名度が高いからNECを選択する。ここなら堅い。間違いない。
            そんな顧客が多少なりとも居たんじゃないかな。
            無料セミナーでの釣果に影響しそう。

            • by Anonymous Coward

              今さらだけどな。
              情報流出ということではNECは実績豊富だし。
              プライバシーマークの中心的企業が漏らした事例とその後からも被害にあった人は残念だったね程度なのは予想出来るし。

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

処理中...