アカウント名:
パスワード:
センシティブな個人情報を含んでいる多数のファイルが、保護がないままの地方自治体ネットワークの上にアクセス可能な状態で存在した。(報告書p.16) オフィスで働く人々と、特にシステム・セキュリティを提供している業者は、セキュリティとプライバシー問題に敏感ではない。サーバーは適切に保守されてはいなかったし、パスワードの選択(多くが既定パスワードあるいは容易に推測できるパスワードを用いていた)は無責任であり、そしてセキュリティに関する注意の完全な欠如を示していた。(p.17) メディアは、住基ネットシステム全体の脆弱性に焦点をあてず、インターネットからの侵入実験の失敗にのみ焦点をあてていた。彼らはセキュリティ監査のポイントを間違えており、ただ総務省と長野県の対立関係をあおり続けているだけである。しかし事実は、中央の住基ネットシステムが直接的には侵入されなかったとしても、住基ネットシステム全体に脆弱性があることが見つかったということである。(p.18)
報道がどうあろうと、有意性については問題ないということなんですよ。
それはそれで別の問題だろうね。
あらま、前の段を読んでない子だね、この子は...
理解できていないみたいですね。読み直してはいかがですか?
なにもかも一緒くたにしか考えられないという自白ですね。
理解できなかったと正直に言ったほうがいいですよ。
いえいえ、自覚しているらしいので、あとは自助努力で
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
普通のやつらの下を行け -- バッドノウハウ専門家
まともな業者はいないのか? (スコア:5, 参考になる)
自治体内部のセキュリティレベルは、大体において予測される程度でしかなかったようだ。
なぜ、特に「業者」は「敏感」でないのだろう?(デフォールトな意味での自治体職員には期待できない…例外もあるだろうけど) YBBの事件も生々しいが(ちょっと前まで、窓口担当者が大量に閲覧できる状態だったという)、まともな「業者」はいないのだろうか? まともなセキュリティの専門家はいないのか?(いや、いるはずだ) 現場の自治体職員を適切に指導する人材はいないのか?(足りないのか?) 経営者(あるいは責任者たる上司)のマネージメント(あるいはガバナンス)に問題があるという事なのか? コストを渋っているだけなのか?
Re:まともな業者はいないのか? (スコア:2, 興味深い)
真の要求仕様に含まれていないから。
今後、個人情報保護に対する価値が高まり、ついでに、第三者機関からの監査が入るようになれば、要求仕様に含まれるようになるし、業者も気を使うだろう。
-- Buy It When You Found It --
Re:まともな業者はいないのか? (スコア:2, 興味深い)
開け閉めが面倒だと人は鍵をかけなくなる。
本当に堅牢なセキュリティは、使用者にその存在を
感じさせてはいけないのではなかろうか。
で、それが難しいから苦労してると。
# 馬鹿を侮るな。奴等はどんな堅牢なシステムでも
我々の想像を絶する操作でクラッシュさせる。
Re:まともな業者はいないのか? (スコア:1)
引渡し後は、ユーザが意識して管理すべき事柄です。
パスワードを設定・変更すべき機器のリストを渡す必要はありますが
今回はおそらくリストさえない、初期設定パスワードのままということだと思います。
啓蒙すべきは業者の問題ですが、実施すべきはユーザーの問題です。
>デフォールトな意味での自治体職員には期待できない
などというのは、甘やかしすぎです。
業者の初期設定が、ボロボロだったというのは十分想像出来ますが。
Re:まともな業者はいないのか? (スコア:1, 参考になる)
今回のテストになぞらえて言うと、地方自治体のネッ
トの構築なり、ポリシーの作成なりを行う業者に、いつ
啓蒙の契機があるのでしょう。おそらく、入札があろう
となかろうと、提案のときが主な機会ですよね。そのと
き、相手の役人も、まずは予算が念頭に来ることが予想
されますから、それを覆すだけの説得力が業者に求めら
れ、またセキュリティに高い関心を持った役人が、その
提案の場に居合わせる幸運(?)を願うほかない、とい
うことになりましょうか。
ところで住基ネット推進の立場の方で、この調査に対
しシニカルに、警戒感を顕わにしておられる方をスラド
でも見受けますが、”少なくとも結果報告の文面は”住
基ネットの存在価値を一気に否定するものではなく、こ
れを叩き台に、より全体として安全なネットにするよう
議論を喚起しているものであるわけですから、この提案
に冷静な応答を行っていただきたく思います。”所詮は
イデオロギー対立”と言わんばかりの腹の探りあいなら、
公共の言論空間のゴミを増やすだけに思えます。
Re:まともな業者はいないのか? (スコア:1)
実際には、自治体の環境構築(開発)した会社には、
テストデータとして、「本物」のデータが使われたりします。
#これは私自身が、ある県の開発(下請け)に携わった時の話。
#注:本物のデータは開発終了後削除しました。
# (あっても無駄なデータベース領域となるので邪魔で・・(^^;; )
また、身内に役所勤務の者が居るので聞いたところ、
自治体の電算は実は外部委託されていて、結局データは
”委託先”にあると言う事です。
#全ての自治体がそうなのかは判りませんが・・。
結局、かかわる人間のモラルがセキュリティと言う「もの」
に対して「高いウェイト」をしめているのが現状ですね。
取引契約や社則で漏洩に関する罰則を設けた所で、
良くて解雇・罰金程度ですよね。
でも今の世は「簡単」に破産が出来ちゃう時代なので、
それがどの程度有効なのか疑問です。
漏洩に関する刑事罰を法的に用意すれば、かかわる人間の
モラルも向上するのかも知れません。
#今はそのモラルが無いので漏洩してしまっていると言う点から・・・。
Re:まともな業者はいないのか? (スコア:0)
住基ネットシステムは中央にしかありません。
自治体にあるのは旧来からある住民基本台帳システムです。
違うものをごっちゃにしても仕方ないのでは?
Re:まともな業者はいないのか? (スコア:0)
じゃあ、どうやって市役所から検索できるのか?
素人が読むと・・・ (スコア:0)
つまり脆弱なセキュリティの長野県を住基ネットに繋いでいるのは問題?長野県はこんなことを公表するためにお金払ったの?
ってなりそうです。
Re:素人が読むと・・・ (スコア:2, 参考になる)
システムとして捉えるならば、接続されてセンシティブなデータを
やりとりする先についても考えないとね。自治体のセキュリティ
レベルをあげるということ、そのコストや準備状況もふまえて導入
しないとね。
>長野県はこんなことを公表するためにお金払ったの?
それで何か問題なのだろうか?どういった所にどういった問題が
あるかを見つけ出すためにお金を出すのが悪いことなのだろうか?
>ってなりそうです。
それで、この調べるということにちゃんとお金を払ったことは、
そこで指摘された問題点を克服するかそもそもやめちゃうかと
いう判断材料にするにしても、何も問題はないと思いますよ。
Re:素人が読むと・・・ (スコア:0)
第三者評価にもあるように、この一連の話は「長野県(田中知事)vs総務省(国)」の対立枠で報道されてきたわけです。そうした報道を見てきた人には、ある意味「国が安全だと言っていた住基ネットに脆弱性がある」ということを期待していた向きもあるわけです。自治体のネットワークが脆弱であるという結果を期待していたわけではないでしょう。
Re:素人が読むと・・・ (スコア:1)
報道がどうあろうと、有意性については問題ないということなんですよ。
>自治体のネットワークが脆弱であるという結果を期待していたわけではないでしょう。
それは誰が期待しているのかな?
>けれども、逆に各自治体がこのような調査に消極的になる恐れがあるようにも思うのです。
それはそれで別の問題だろうね。今回、長野県が行った調査は金を出した
意味があり、その結果をモデルとして他もチェックするとかね。そういった
使い方が出来ない方に、大事な情報を預けるなんてことは、利便と引き換え
にしても止めたいなら、止めることが出来る様に動かないとね。
Re:素人が読むと・・・ (スコア:0)
そんなこと話題にしてないですよ。
そりゃそうでしょう、あなたにとっては。
#と書くと、馬鹿なACと言われるのでしょう。
Re:素人が読むと・・・ (スコア:1)
あらま、前の段を読んでない子だね、この子は...
>そりゃそうでしょう、あなたにとっては。
なにもかも一緒くたにしか考えられないという自白ですね。
>と書くと、馬鹿なACと言われるのでしょう。
いえいえ、自覚しているらしいので、あとは自助努力で
馬鹿から立ち直れるといいね>ACちゃん
Re:素人が読むと・・・ (スコア:0)
理解できていないみたいですね。読み直してはいかがですか?
理解できなかったと正直に言ったほうがいいですよ。
Re:素人が読むと・・・ (スコア:1)
という文字列が読めない哀れなACちゃんですね。
ま、嘘をついてまで、理解出来ていたふりをしても、
すぐにばれちゃうのが、低能なACちゃんらしいね。
>治療を受けるのをお勧めします。
あらま、ACちゃんで病院はいっぱいでは?入りきら
ないから、/.なんか入り浸っては、馬鹿を晒すという
ことですね。
Re:素人が読むと・・・ (スコア:0)
国、自治体、企業、消費者団体、etc.が行った調査(例えば環境アセスメント)の結果が
信用できないものであっては本来ならないのですが、すでに信用に値していません。
なぜでしょうか。
期待した結果以外は受け付けようとしな
Re:素人が読むと・・・ (スコア:0)