アカウント名:
パスワード:
公的機関の情報漏洩の抑止力は、漏洩の原因をつくった職員への刑事罰くらいしか無いようなきがする。そのくらい気を引き締めて業務にあたれ、生半可な知識と意識でシステムをいじるな、ってことで。
精神主義じゃどうともならんでしょう。仕組みで防がないと。
いやいや、精神主義ではどうにもならないのは同意するけど、これは、個人情報を取り扱う人に最低限のセキュリティ教育を受けさせろという話じゃない?読み書きを教えるのと大して変わらない。まさか、学校で読み書きを教えてもどうにもならないとか言わないよね。
> これは、個人情報を取り扱う人に最低限のセキュリティ教育を受けさせろという話じゃない?
今回の件がどうかはまだ分かりませんが、もしも標的型メールで狙われた場合、セキュリティ教育でどうにかなるレベルは越えてます。こんな感じ。http://www.npa.go.jp/keibi/biki7/231014shiryou.pdf [npa.go.jp]
標的型の場合、ウィルスも、アンチウィルスソフトをすり抜けると想定すべきだし、組織外の乗っ取られたユーザーから届いた場合だと、Received: ヘッダを目視確認したとしても正常な内容だし。
>今回の件がどうかはまだ分かりませんが、もしも標的型メールで狙われた場合、>セキュリティ教育でどうにかなるレベルは越えてます。
それ見てると、ここやどこかでIT教育とか精神論振りかざしてる人たちが職員だとしたら全滅でしょうね。
最低限のセキュリティ教育を受けていれば、外部とつながっている環境で、個人情報を閲覧したり、ローカルに保存するのはダメなんじゃないかって気付く"かも"しれないよ。
標的型なら、仕方ないでしょうね。誤解させたかもしれませんが、ミスをした人の責任を追及しろと言いたいわけではないですよ。機械や仕組みによる対策は重要でしょうね。さらに、セキュリティ教育も合わせて行った方がより確実だと思います。
そんな教育ムダだよ。扱う人数からいっても。
システム的に機微情報を扱う端末から大量にデータを抜けるようにしてる時点でアウト。それがインターネット経由で送信できる状態にあるのもアウト。仮にネットに出てったとしても、それを検出して止められないのもアウト。
どんなに手順をつくしても大量に外部に持ち出せないシステムにしないと。
例えば、あなたが指摘した問題点に、職員が誰一人として気づかなかったことに問題を感じませんか?教育とは、危機を察知する能力を身につけることでもあると思いますよ。職員の理解があれば、システム担当のフットワークも変わってくるでしょう。
メールの添付を開くとか使用者の程度が論外なのはそうなんだけれども、そもそもなんでその端末でメール確認作業なんかが出来る設計に構築されているのかという問題もありまして、そもそもメール受信が出来たり外付けUSBを勝手に刺したり出来ないように設計構築されていれば使う人如何に関わらず低減出来たリスクなわけで。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生unstable -- あるハッカー
マイナンバーもやられるだろうな (スコア:4, すばらしい洞察)
Re: (スコア:0)
公的機関の情報漏洩の抑止力は、漏洩の原因をつくった職員への刑事罰くらいしか無いようなきがする。
そのくらい気を引き締めて業務にあたれ、生半可な知識と意識でシステムをいじるな、ってことで。
Re: (スコア:5, すばらしい洞察)
精神主義じゃどうともならんでしょう。仕組みで防がないと。
Re:マイナンバーもやられるだろうな (スコア:0)
いやいや、精神主義ではどうにもならないのは同意するけど、
これは、個人情報を取り扱う人に最低限のセキュリティ教育を受けさせろという話じゃない?
読み書きを教えるのと大して変わらない。
まさか、学校で読み書きを教えてもどうにもならないとか言わないよね。
Re: (スコア:0)
> これは、個人情報を取り扱う人に最低限のセキュリティ教育を受けさせろという話じゃない?
今回の件がどうかはまだ分かりませんが、もしも標的型メールで狙われた場合、
セキュリティ教育でどうにかなるレベルは越えてます。
こんな感じ。
http://www.npa.go.jp/keibi/biki7/231014shiryou.pdf [npa.go.jp]
標的型の場合、ウィルスも、アンチウィルスソフトをすり抜けると想定すべきだし、
組織外の乗っ取られたユーザーから届いた場合だと、Received: ヘッダを目視確認
したとしても正常な内容だし。
Re:マイナンバーもやられるだろうな (スコア:1)
>今回の件がどうかはまだ分かりませんが、もしも標的型メールで狙われた場合、
>セキュリティ教育でどうにかなるレベルは越えてます。
それ見てると、ここやどこかでIT教育とか精神論振りかざしてる人たちが職員だとしたら全滅でしょうね。
Re:マイナンバーもやられるだろうな (スコア:1)
最低限のセキュリティ教育を受けていれば、
外部とつながっている環境で、個人情報を閲覧したり、ローカルに保存するのは
ダメなんじゃないかって気付く"かも"しれないよ。
Re: (スコア:0)
標的型なら、仕方ないでしょうね。
誤解させたかもしれませんが、ミスをした人の責任を追及しろと言いたいわけではないですよ。
機械や仕組みによる対策は重要でしょうね。
さらに、セキュリティ教育も合わせて行った方がより確実だと思います。
Re: (スコア:0)
そんな教育ムダだよ。扱う人数からいっても。
システム的に機微情報を扱う端末から大量にデータを抜けるようにしてる時点でアウト。
それがインターネット経由で送信できる状態にあるのもアウト。
仮にネットに出てったとしても、それを検出して止められないのもアウト。
どんなに手順をつくしても大量に外部に持ち出せないシステムにしないと。
Re: (スコア:0)
例えば、あなたが指摘した問題点に、
職員が誰一人として気づかなかったことに問題を感じませんか?
教育とは、危機を察知する能力を身につけることでもあると思いますよ。
職員の理解があれば、システム担当のフットワークも変わってくるでしょう。
Re: (スコア:0)
メールの添付を開くとか使用者の程度が論外なのはそうなんだけれども、
そもそもなんでその端末でメール確認作業なんかが出来る設計に構築されているのかという
問題もありまして、そもそもメール受信が出来たり外付けUSBを勝手に刺したり出来ないように
設計構築されていれば使う人如何に関わらず低減出来たリスクなわけで。