パスワードを忘れた? アカウント作成
3493 story

自治体のセキュリティ意識に温度差 78

ストーリー by yourCat
寒暖差が激しい日本の気候 部門より

k3c曰く、 "先日住基ネットに接続しないと宣言した福島県矢祭町 (町長へのインタビュー記事あり) に続いて、東京都国分寺市は総務大臣に「個人情報保護法が成立するまで住基ネットの延期または凍結を」と要望書を提出、認められなければ住基ネットには参加しないと表明した。矢祭町も国分寺市も、個人情報を保護する法制の整備なしには住基ネットは導入すべきでないと主張している (7/1の国分寺市長へのインタビュー記事)。国分寺市は個人情報保護条例を独自に制定したり、以前にも住基ネット開始延期の要望書を提出するなど独自の取り組みを続けていた。
なお、正式運用の延期を求める要望書は佐賀市も提出している。"

プライバシー保護に、あくまでも法の担保を要求している。

otk曰く、 "asahi.comの記事ですが、71自治体にネットワークシステムの不正使用対策についてのアンケートをした結果、約2割の15自治体でアクセスログを残していないことがわかった、とのこと。その理由ですが、「ログを保存するシステム導入に費用がかかる」 (秋田市)、「照会できる情報の範囲を職員の業務内に制限している」(津市) などなど、意識の低さをモロに露呈しています。"

こちらは性善説に基づくお気楽ムードか。法的側面と技術的側面という違いはあるが、それにしても温度差が凄いな。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by k3c (4386) on 2002年07月27日 13時32分 (#133995) ホームページ 日記
    以下、毎日新聞ばっかりですが他の自治体の動きをまとめてみました。おまけ:住基ネットのウイルス情報更新は原則として2週間に1回 [mainichi.co.jp]…(呆)
  • 本当は (スコア:1, 興味深い)

    by Anonymous Coward on 2002年07月27日 11時34分 (#133951)
    住基ネットの開始延期は政府でも必要なこと、と思っているんだよ。すでに

    「第二のみずほ」

    なんて言われてるわけだし。

    でも、それを政府自身が言い出すのは、自分のやったことが正しくなかった、と自分自身で認めることになる。だから、どこかの自治体からわざと「反対意見」を出させて、「みんなが延期しろ、と言うからやったんだ」ということにしないとますいんだな。

    役人がよくやる「俺たちは間違ってない」という「無謬性への執着」は、それはそれはそれはそれはそれはそれはすごいもんですよ。「間違えたことを認める」というと、誰か仲間を血祭りにあげて「犠牲者」を仲間内から出さなきゃいけないでしょ。それに自分がなるのはもっともごめんこうむりたいわけさ。誰でもそうでしょ。

    もっとも、今の若造の役人どもに、そこまでのチエがあったのかな?という疑問は残らないこともないけどね。昔の役人はここいらへん、とってもうまかったよ。だから、こういった若造のチエの足りない役人にチエを授ける怪しいコンサルタントとかが霞ヶ関周辺でウロウロしているんだよね。これがまたいいカネになるんだな。

    がんばってね。
    チエの足りない役人さん。

    天下り先はもうこれからはそうそう簡単にはないと思うから、将来の保証なんかできないけどね。

    まぁ、そういうことではないかと。
    • Re:本当は (スコア:1, おもしろおかしい)

      by Anonymous Coward on 2002年07月27日 12時13分 (#133967)
      まあ、「第二のみずほ」なんだろうけど、住基ネットってまともに動かなくても実害はないんでしょう。
      って、そういうことになりそうだな~
      親コメント
      • by otk (8452) on 2002年07月27日 12時45分 (#133980) ホームページ 日記
        >住基ネットってまともに動かなくても実害はないんでしょう。
        「税金の無駄遣い」は?
        親コメント
        • Re:本当は (スコア:1, 参考になる)

          by Anonymous Coward on 2002年07月27日 16時58分 (#134057)
          実は、住基ネットやらないほうが「税金の無駄遣い」なんだけどね

          IT化で、企業の経理・事務部門の人員が大幅に減った

          おれが消防の頃は、銀行にだって凄くたくさん職員いたのに、
          IT化とATM化で、中学校の頃には職員数が凄く減っていた

          スーパーのレジも、IT化で、金額入力がほとんどいらなくなり、
          「ピッ」ってやるだけでよくなったから人が減った

          こんどは、自治体でも、IT化による人員減らしやる時期だとおもうけどね
          親コメント
        • by Anonymous Coward
          >>住基ネットってまともに動かなくても実害はないんでしょう。
          >「税金の無駄遣い」は?

          そんなことを気にしている政治家がどの程度いるのやら...。
      • by shiba (273) on 2002年07月27日 12時52分 (#133985) ホームページ
        >住基ネットってまともに動かなくても実害はないんでしょう。

        動かない事で直接の影響は少なそうだが,
        個人情報が流出したりすると大変です.
        親コメント
        • by naka64 (4590) on 2002年07月27日 14時29分 (#134011) 日記
          住基ネットサイドが「原則公衆ネットに存在を見せない」と意地張っている以上、個人情報漏洩のケースとしては「漏らすところは住基ネットなくったって漏らす」としか言えないようなケースしか考えつかないな…。
          親コメント
          • by Yuji_Ogawa (4745) on 2002年07月27日 18時47分 (#134092) ホームページ
             でも、「過失で」漏らす、あるいはそう言い逃れられる状況で漏らす
            確率がグンと高まるような気がするんですが。わかってる人間から見た
            場合には全然過失の範疇でなくてもね。
            親コメント
            • by naka64 (4590) on 2002年07月27日 22時16分 (#134151) 日記
              住基ネットが存在せずとも自前で作った他人のプライバシーにからむデータをだだ漏らしにするでしょう、というのが#134011 [srad.jp]の落ちのつもりだったんだけど…。

              他市町村のデータを抜き出して自前のファイルにしまい込む輩が出ると問題ですが、そんなことする必然性がある業務というのが思い当たらないんですよねぇ…。
              親コメント
              •  あ、つまり私が言いたかったのは、勝手にまとめたプライバシー情報
                を同じようにだだ漏れにしたとして、それが紙媒体や「フロッピー」で
                のことだったら「不手際」とか「不適切な措置」とかで一応責任が追求
                されることがありそうだけど、「ネットワーク」が構築されていた場合
                には「過失」あるいは「不可抗力」で済まされちゃうんじゃないか、と。
                 明らかな不手際を「ハッキングされた」と言い張る連中と同じように。
                親コメント
              • by naka64 (4590) on 2002年07月28日 5時20分 (#134300) 日記
                今時、住基ネットとは別のPCネット環境持ってない自治体はほとんどなかろうし、公衆網につながっているのはそっちでしょう。
                だから、住基ネットがなくったって、「ネットでお漏らし」は変わらないと思いますぅ(笑)。
                親コメント
              • by imo (5135) on 2002年07月28日 11時00分 (#134360)
                >今時、住基ネットとは別のPCネット環境持ってない自治体はほとんどなかろうし

                うなるほどあります。
                嘘だと思うなら、現調回りしてごらんなさい。 ^^;
                親コメント
    • by G7 (3009) on 2002年07月27日 23時44分 (#134197)
      >「間違えたことを認める」というと、誰か仲間を血祭りにあげて「犠牲者」を仲間内から出さなきゃいけないでしょ。

      間違いを認める際に、血祭りの生贄を「(事実上)出さないとならない」って点が
      既にその集団の因循姑息さ(古臭い駄目っぷり)を示す指標だったりするよね。
      少なくとも優秀なHacker(Crackerじゃないよ)の集まりは、そんなものは無いし。

      #Hackerに任せられない仕事、というものは、もとより効率なんか良くないしなあ…

      >それに自分がなるのはもっともごめんこうむりたいわけさ。誰でもそうでしょ。

      というわけで、「誰でも」というよりも「そういうボロい連中が」だと思う。
      親コメント
  • 郵便貯金を全国オンライン化する時には、こういう問題は発生しなかったのでしょうか。
    小さな特定郵便局に置いてある端末でどれだけの操作ができるのか知りませんが、例えば
     特定の口座番号を自由に入力し、残高を調べる
     一定以上の残高がある人の住所、連絡先を印刷する
     他人の貯金を、自分の口座へ着服する
    というようなことはできないのでしょうか。

    たまに不正が起きて事件になっている時もありますが、そんなに頻繁に事件が起きているようにも見えません。
    それは何故なのでしょうか。
     1 元々現金を取り扱う職員だったのでモラルが高かった
     2 端末が厳重に管理され、一職員が操作できることには制限がある
     3 インターネットとは無縁の専用線網で構築され、端末も専用である。
    もっと他にも理由があるかもしれません。もし上記のようなことが郵貯システムの安全性を確保しているなら、住基ネットも同じような構造にすることはできなかったのでしょうか。
    でも、郵貯オンラインのようなシステムは古い感じがして、コストがとても高くつくような気がします。

    住基ネットの場合、
     1 モラルの高い自治体職員を雇用する
     2 端末に適当なアクセス制限があり、一職員の操作権限にも制限がある
     3 インターネットで接続するにしても、暗号化を行い、パケットフィルタリングを行う
    ということがちゃんとできれば、郵貯システム程度には安全なシステムが作れると思うのですが、これが無理だったということでしょうか。
    郵便局のセキュリティは1枚岩だったけど、自治体は各自てんでにバラバラの意識しか持っていないというのが不幸の始まりですね。
    • 郵便局に口座開くときには、知らせるのはせいぜい住所と名前くらいですよね。それと預けるお金。

      今はともかく当時は、住所と名前を教えることにそれほどプライバシー意識はなかったでしょうから、たとえ局員にばれても気にならない。当然、口座の不正操作が行われたら問題でしょうし、そういう事件はあったんでは無いでしょうか。ただ、郵便局に口座持っている人は、ある程度の頻度で通帳持って記帳しにいくので、不正があったことにユーザが気づきやすい。なので、扱う人間にはそれなりにプレッシャーがかかるので、責任感は維持しやすい。

      住基ネットの問題は、不正があった(情報が漏洩した)ことにユーザが直接気づく手段がないこと。また、気づいてもその責任を追求する手段がほぼないこと。責任が問われないなら、いくらモラルを求めても、それを維持するのはむつかしい。
      親コメント
    • 住基ネットを郵貯オンラインに・・・
      このアイデアを、郵政「命」の政治家に、「もっと早く」タレこんでおけば、
      官営郵政存続の根拠として利用してくれそうでしたね。
      電話一本で住民票とっておいてくれるなんて
      お勝手サービスしてくれそう。(よし悪しはご自由にご判断を)
      --
      Copyright (c) 2001-2014 Parsley, All rights reserved.
      親コメント
  • by cougar (8772) on 2002年07月28日 10時47分 (#134354)
    仮に堅牢なシステムになったとしても、職員のモラルがこんなもの [mainichi.co.jp]じゃ
    なんの意味もないのでは?
    • by shivandragon (10040) on 2002年07月29日 13時41分 (#135119)
      そういえば、安室奈美恵の離婚のタレコミ元ってお役人だったという噂。。。
      キムタク、工藤静香の結婚の時もそんな噂を聞いた覚えがあります。

       #本当かどうかは知りません。信憑性を高めるための創作の可能性もあります。
      親コメント
  • by USH (8040) on 2002年07月28日 15時50分 (#134509) 日記
    今日(7/28)の朝日新聞の「オピニオン」のページ(残念ながら、オンライン
    では見つからず)に、ジャーナリストの櫻井よしこ氏と総務相の片山虎之助氏
    の対談が載っています。櫻井氏はさすがに良く勉強されていて、まあまあ的を
    得た質問してますが、それに対する大臣の返答の、論点のわかっていなささ、
    おそろしいばかり。まあ、お役人の説明をうのみにして喋ってるだけなんでしょ
    うが、担当大臣なら、ちったあ勉強してほしいもんです。(東大法学部卒だそ
    うなので、お勉強はできる(た?)のでしょう、きっと。)

    以下、気になった主なやり取りの要約です。(かっこ内は私の勝手なコメント)

            桜井:今の日本ではセキュリティの専門家が不足していて、住基ネットの
                        安全性をチェックするのに最低でも半年かかるが。
            片山:事前に書類審査などすれば、チェックすべき自治体の数を減らせる。

                    (複雑に絡み合っている計算機セキュリティを書類審査程度で洗い出
                        せるできると思ってるのが怖い)

            櫻井:自治体には専任のオペレータもおらず、技術的にも侵入を完全に防げる
                        わけではない。
            片山:(専任オペレータの話は完全に無視して)侵入されれば、それを防ぐ
                          技術もかならず開発されるはずだ。

                    (防ぐ技術は後追いでしかないことはわかっているんかいな。それに
                        その技術を使いこなすためには、専門知識を十分に持っている
                        オペレータが十分な数必要なことも。)
  • by minz (3213) on 2002年07月28日 23時52分 (#134790) ホームページ 日記
    一企業の情報セキュリティポリシーを策定するのでさえ、
    「罰則による規則の実効性の担保」を求めるのがあたりまえだっつうに、
    やりませんかそうですか…。

    BS7799/ISMS あたりはもちろん、CONCT あたりに示されているような、

    システムとその運用の要件に求められている要件の厳しさを
    守れるモノとヒトがあってこそ、セキュリティを維持できるものだ、と知って欲しいっす。
    --
    みんつ
    • by USH (8040) on 2002年07月29日 4時39分 (#134930) 日記
      お役人には、違法か、そうでないかだけが問題のようです。

      毎日新聞の記事
      [mainichi.co.jp]の最後の段落にありますが、(法律に書かれた)住基ネットの開始日を守ることが最優先。セキュリティの確保されていない入力は、それをしばる法律が無いのでOKのようです。
      親コメント
  • by k3c (4386) on 2002年07月30日 12時57分 (#135812) ホームページ 日記
    福島県矢祭町への転入を希望 [mainichi.co.jp]するヒトもいるようです。矢祭町はすでに独自条例制定後の参加 [mainichi.co.jp]に路線変更しているので、転入しても無駄足になる可能性が大ですが。

    というか、それ以前に、既に現住所の住民票が住基ネットに登録されているので手遅れではないかと。
  • by Anonymous Coward on 2002年07月27日 11時34分 (#133952)
    このシステムを提案・納入したアホベンダーを晒し上げてください。
    どこの、何て業者ですか?
    • なんとなくFかHで始まるところと思ってしまう私は色眼鏡持ちかしら?
      だって、Nは最近役所方面で元気ないし、TやIはもっとマトモな提案しそうだし。
      • ピンポ~ン♪ (スコア:1, 参考になる)

        by Anonymous Coward on 2002年07月27日 14時57分 (#134015)
        なんとなくFかHで始まるところと思ってしまう私は色眼鏡持ちかしら?
        Hです。
        おかげで、周辺機器の組み込みCPUは全部H製です。

        #やばいのでAC
        親コメント
      • >「ログを保存するシステム導入に費用がかかる」

        こんなの、今時の Linux厨 だって(インストール前に)分かるぞ。

        指摘されて初めて「あっログの保存用ストレージがないYO」「じゃ/dev/null行きにしとくか」って?

        #どういう設計をしたんだ・・・他にもこんなオチがありそうでコワイ
  • by Anonymous Coward on 2002年07月27日 12時00分 (#133961)
    >「ログを保存するシステム導入に費用がかかる」 (秋田市)

    ログ保存のためのシステム導入にかけるカネって、不正侵入によって被る損害(信頼も含めて)に比べたら微々たるもんだと思うんだけどなあ。今、新規システム導入を担当しているどこかのお役所さんは、裁判の時などに物証として提出できるよう、ちゃんと目的を持ってログ保存システム導入を要求していて、予算にしっかり組み入れてるぞ。

    ただ、そのお役所さんも「24時間365日安定稼働するシステムを」と言ってくる・・・。あのさ、高々数千万の予算ではメンテ時はシステム落とさざるを得ないんだけど。銀行並みの信頼性が欲しいなら、国家予算に匹敵する額を出してもらわないとねえ。

    やっぱお役人はセキュリティとコストに対する意識が低いのか。
    • 意識が低いというより (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2002年07月27日 12時51分 (#133982)
      無知なんだと思う。そして前例と改正された法律によってでしか
      動かない機構、大物政治家の圧力があっさり通る体質。

      セキュリティで分からなければ、防火対策に例えると分かりやす
      い。建物を造るとき法律がなければまっ先に予算を削られるだろ
      うものが、消火栓、煙探知機などの防火設備。そしてそれらの設
      備をつけたとしても、消防訓練、避難訓練ができていなければ、
      いざという時被害が広がる。

      そんなのは当たり前と思うのは、我々に多少なりとも防火に対す
      る知識と意識があるからだ。

      で、住基ネットを運用する役人は、意識と知識と責任の所在を明
      確にしているの?
      親コメント
    • >「24時間365日安定稼働するシステムを」
      24時間365日安定して情報を漏らし続けるシステムなのかも…

      #やはり事前に絶対に漏れないことを証明してもらわないと…
      親コメント
    • > 不正侵入によって被る損害(信頼も含めて)に比べたら微々たるもん

      ・経済的損害.....行政は民間と違って商売じゃないんだから売上が減ったり利益が減ったりという考え方はそもそも必要ない。

      ・信頼の損害.....行政への信頼はそもそも公権力である事によって自明に成立するのであって、個々の施策によって影響されない。

      なんて考えてるんじゃないですか?。
      親コメント
    • >「ログを保存するシステム導入に費用がかかる」 (秋田市)
      税金で導入して責任を持ってシステム運用すべきお役所が
      2ちゃんねると同じレベルの開き直りとはなさけない・・・

      ログの提出を求められたときに「無いものは無い」で押し通すつもりでしょうか?
typodupeerror

アレゲは一日にしてならず -- アレゲ見習い

読み込み中...