パスワードを忘れた? アカウント作成
3486 story

住基ネット業務連絡用Webページにおけるアクセス制限の実態 29

ストーリー by Oliver
ポカーン 部門より

k3c 曰く、 "仮運用初日からトラブル多発の住基ネットだが、毎日新聞の記事によると、地方自治情報センターと地方自治体職員などの連絡用Webページのアクセス制限に用いられているIDとパスワードが全関係者一律のものであったうえ、それが組織名から容易に推測可能で、更新作業も行われていないらしい(記事中の産業技術総合研究所・高木氏のコメントについては本人のフォローアップあり)。つまり現在も中身が覗かれかねない状況のままなのだろうか?なお、当該Webサイトに記載されている情報は「セキュリティーの根幹に関わるものは除いている」とのことだが、その後一般には公開しない方がいい情報が削除された。
そんな大人数がアクセスするWebサイトの情報を一般から秘匿したいなら、ID・パスワードはアクセス権限のある関係者一人ずつ別々にすべきだしそれ自体は特に困難なことではないはず。また、一定の期間で更新されない、しかも推測されやすいパスワードを使っていては、情報を一般に公開しているようなものだ。…一般には公開しない方がいい情報を削除したのなら、もういっそのことアクセス制限を廃止してはいかが?"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • こういったケースの場合、個別にパスワードを配布してどうなるというのでしょう?
    関係者は何千人もいるわけですから、どんなに頻繁にパスワードを変更しても絶対にどこかで漏れるはずです。

    パスワード云々じゃなくて、「秘密の連絡にWebを使うな!」と突っ込むべきじゃないのかと思うのですが、どうでしょうか?
    --

    -----
    Team Slashdot Japan [tripod.co.jp]に参加しよう。

    • 漏れた場合でも、どこから漏れたのかを容易に調査・特定できるということが、抑止力として働くのでは?
      --
      だが、いいこともあるぞ、外の天気は上々なんだ
      親コメント
      • はっきり書くと「誰が漏らしたか分かる」ですね。
        こんなこと当たり前ですよね。
        全員に同じものを配布するなら、「IDとパスワード」セットじゃなくて「ID」だけで充分だし。

        #別に内部に抑止力を働かせなくても、ユーザー教育で対応でき・・・ないのかな?
        親コメント
    • 10年ほど前ワタシが勤めていた会社は,給与明細にパスワード/IDを
      並記して ありましたけど.
      当然,個別パスワードで,給与支給毎に変わります.これって普通ですよね?
      会社の規模は,7000人ぐらいでしたが.

      利点は,給与明細を端末の前に貼っておく度胸のある奴は皆無であることかなぁ(笑)
      ダメな点は,給料日にしかパスワードが変わらないこと.
      月給制だと,ちょっと間隔が長過ぎますね.
      Post-itにメモして貼ってあった馬鹿は居たけど.そういうのは,見かけたら,
      誰でも剥がして捨てていいことになってました.
      でも,この問題とは,ちょっと違いますね.失礼しました.
      親コメント
      • >給与明細を端末の前に貼っておく度胸のある奴は皆無

        なんででしょうか?
        本気で理由がわかりません。
        みんな、他人に見られるの嫌なものなのでしょうか?
        親コメント
        • by Anonymous Coward on 2002年07月27日 13時00分 (#133988)
          >本気で理由がわかりません。
          >みんな、他人に見られるの嫌なものなのでしょうか?

          少なくとも住基ネット担当者の意識はあなたと同程度でしょう。
          親コメント
          • 意味がわかりません。
            自分の給与明細書を他人に見られるのがイヤかどうかという話です。

            ははぁ~ん、理解できないものに手を出すあなたは住基ネット担当者様でつね。
            親コメント
            • >自分の給与明細書を他人に見られるのがイヤかどうかという話です。

              ええ、ですから個別IDとパスワードが入った給与明細の話ですよね?
              だからこそ、
              >給与明細を端末の前に貼っておく度胸のある奴は皆無
              なのだと思うのですが。 それがわからないのですよね?
              • ん~っと、もしそういう意味の文章だったら私の読み違えなのでごめんなさい。

                私は、
                >>利点は,給与明細を端末の前に貼っておく度胸のある奴は皆無
                という部分から、
                ID/パスワードを端末の前に貼るような奴でも、給与明細に記載すれば貼らない
                という意味にとりました。
                その部分が利点だと主張していると。
                もし私が、ID/パスワードを貼る奴ならば、給与明細だろうとなんだろうと貼ると思うので、
                なぜ給与明細だと貼らないんだろうなぁと疑問に思うわけで。

                つまり、給与明細って他人に見られたくないものなの?
                親コメント
              • なるほど、利点とされているからにはそういう事ですね。
                私が理解できていなかったようです。失礼しました。
              • なかなか盛り上がって下さって嬉しいです(笑)

                えと,給与所得者なら思い当たるかも知れませんが,
                給与明細(明細ですよ)には,所得控除や扶養控除,各種保険控除,
                人によっては自社持ち株所得,付け替え経費など,他人に知られてしまうと,
                けっこう気まずいプライバシのデータがテンコ盛りだったのですね.
                (その点,独身で,給与以外には何もない人はノンキです)

                また,その人の勤続年数/経験などは,社内の同僚なら周知ですので,
                そこから初任給を割り出すのも容易ですし,また,当然ながら,
                会社が現在自分に与えている評価の目安も容易に推測できます.
                そういうモノを衆人環視に置くことは,わりかしリスクが
                高いことは言うまでもないでしょう.

                #つまりは,給料の安い奴は立場が弱い.ってことです.

                それらのデリケートなデータと,パスワード/IDは,同じぐらいか,
                それ以上に重要なデータなんだよ.と,知らしめる上で,
                意義があったなぁと,ワタシは思うわけですね.
                親コメント
          • >少なくとも住基ネット担当者の意識はあなたと同程度でしょう。

            住基ネット担当者は給与明細を人に見られても平気ってこと?
            担当者に知り合いでもいるんですか?
    • こういったケースの場合、個別にパスワードを配布してどうなるというのでしょう?
      関係者は何千人もいるわけですから、どんなに頻繁にパスワードを変更しても絶対にどこかで漏れるはずです。

      少なくとも、責任の所在は統一ID/パスワードより分かりやすくなるはずです。
      あと、心理的な効果で漏らしにくくなるのでは?
      親コメント
  • 役所の感覚 (スコア:2, 興味深い)

    by kiyotan (3912) on 2002年07月26日 19時04分 (#133651) 日記
    ちょっと話は違いますが、今日の朝日の記事
    http://www.asahi.com/national/update/0726/016.html
    を見ても、役所のセキュリティに関する感覚って
    そんなもんなのかなぁって感じがしますね。
    だいたい、
    「ログを保存するシステム導入に費用がかかる」
    って理由でログすら保存しないんですからねぇ。
    #てゆーか、全体としてログを残そうって話は
    #全然ないってことなんですねよね?つまり。
    --
    Kiyotan
    • by Anonymous Coward on 2002年07月27日 0時04分 (#133779)
      ログに限らず「安全」のように数字で説明しにくいものについては予算はつきに
      くいですね。で、予算がついたらついたで、何事もなかった場合「税金の無駄遣
      い」と叩かれる。
      だから現場は、予算がつかない間は「誰か死んで実績つくってくれー(嘘」と思
      うし、予算がついた後は「小さくていいから実績(事件)つくってくれー」と密か
      に思う。
      予算を要求しても獲得できず、でも事件が起これば真っ先につるし上げられる現
      場のひとはすごく胃が痛みます。まあ「自分が担当の間は何も起きないでくれ」
      程度の悩みなんですが。

      「ログを保存するシステム導入に費用がかかる」というのは「必要性はわかって
      いるけど予算がつかないんだよぅ」という現場の声のようにも聞こえるなぁ。
      親コメント
      • by Anonymous Coward
        そうなんですよ。上は市町村合併進めるため交付税をどんどん減らして 来てるくせにこんな維持管理だけで馬鹿にならないシステムを押し付ける。 ひどいところは置き場さえ確保できずにラックを廊下に設置した役場も あるといいます。 わざわざ貴重な税金を使って国民を危険に晒すシステムとは誰のためな のでしょう。
    • 大きな自治体ですらこのありさまですから、小さな自治体になると言うまでもなく、漏れ漏れなんでしょうね。
      怖いです。
      親コメント
    • by Anonymous Coward
      それより気になるのは、 「特別なソフトを導入しないとログが消えちゃう」 という訳判らん一文。。。
      • by tomatsu (2545) on 2002年07月27日 5時14分 (#133886)
        GUIなり何なりで、彼らが操作(or理解)出来る方法で設定を変えられるソフトが必要、という事では?
        #(使う人にとって)理解出来ぬ不可解な物など、在っても役に立つものか! とね。
        親コメント
    • by Anonymous Coward
      有名人は、格好のターゲットになりそう。好奇心から住所や入籍・離婚等を調べられて職場のネタにされそうな気がする。日本全国の公務員が、調べることができるなんてたまらないだろうな。
  • by Anonymous Coward on 2002年07月27日 5時14分 (#133885)
    タレコミの 一般には公開しない方がいい情報が削除 [mainichi.co.jp] の記事の別バージョン 地方自治情報センター 一部重要情報をサイトから削除 [mainichi.co.jp] が出ています。差分:
    < 自治体への連絡用ホームページで重要情報が外部者にも容易に閲覧できる状態になっていたことを認め、
    > ホームページで秘密保持が望ましい重要情報が外部者にも容易に閲覧できる状態になっていたことを認め、

    < 同ページは、住基ネットの運用やセキュリティー管理についての情報が掲載されていた。
    > 同ページでは、秘密保持の必要のない情報を提供することを原則とし、ID・パスワードの再設定は行わないとしている
    • 秘密保持の必要のない情報なのにアクセス制限するというのは、どういうことか?

      公的機関でこういうことが許されるの?
      情報公開請求すれば公開されるのだろうか。。。
  • by Anonymous Coward on 2002年07月27日 1時28分 (#133837)
    住民基本台帳漏洩ネットワーク
    アレゲだ。
  • by Anonymous Coward on 2002年07月27日 3時18分 (#133872)
    自治省のそのバカなシステムを作ってるバカな役人は誰なんですか。
    煽りでもなんでもなく、真面目に吊るしたいぞそいつ。
    • by Anonymous Coward
      自治省→総務省の勘違いですかね。

       それはともかく、前任者の時までに仕様がまとまって、入札して、ハードもソフトも業者もほとんど決まっちゃって今に至り、今の担当者は限られた環境で努力(落札業者に無理を言うようなこと)してる可能性が大。いわゆる先送りのツケを払わされる貧乏くじを引かされてるんじゃないですかね。そのうえセキュリティの意識が低いときている。
       こういった大プロジェクトにかぎらず、先送り体質の温
  • by Anonymous Coward on 2002年07月27日 11時16分 (#133947)
    > もういっそのことアクセス制限を廃止してはいかが?

    そもそも、現行で施行されている「戸籍」「住民票」だって、特に本人請求していることの証明がなくても請求できてしまうのだから、それらの情報をいっそのこと自由に開示できるようにしてしまえばいいと思う。

    # 何度か「戸籍謄本・抄本」(もちろん自分の)を郵送で請求したことがあるけど、一度として断られたことはないし・・・。「住民票」請求だって、窓口で運転免許証などの開示を求められたことがまったくないっす。
    # もちろん、公に出来ない情報が記載されていないことが大前提なんだけど・・・。

    問題なのは、その「誰でも手に入れられる」情報に、どこまで「信頼」を置くのかってことじゃないのかなぁ。認印(三文判)なんかもそうだけど、そろそろ「本人認証システム」そのものの見直しが必要なんじゃなぁい?
    • この程度の意識しかもてていない人がやっているから問題。

      家族構成とか収入とかが赤の他人につつぬけになっても気にしないのかな。

      それと、一人の情報だけでは価値無くても、多数になるマーケティングやらなんやらの貴重な資料。なぜ名簿が売れるのか、考えたことありますか?
typodupeerror

※ただしPHPを除く -- あるAdmin

読み込み中...