パスワードを忘れた? アカウント作成
Close
4089 story

住基ネット:ウイルス対策情報3カ月間更新なし 114

ストーリー by kazekiri
閉じているから安全? 部門より

taanii曰く、" 毎日新聞の記事 によると 「8月に稼働した住民基本台帳ネットワークシステム(住基ネット)で、 各市区町村が利用するコンピューターのウイルス対策ソフトの情報が 約3カ月も更新されていないことが、10日分かった。」 とのこと。 事前に懸念されていたとおり、いいかげんな運用がされていたようです。 毎日の記事では、森井昌克・徳島大学教授の 「閉じられたネットワークといっても、…(中略)…ウイルスが 持ち込まれない保証はない」 というコメントを載せていますが、全く同感です。 住基ネットの稼動が止められないなら、最低限ウイルス対策ソフトの 情報更新ぐらいはきちんとやってもらいたい。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

住基ネット:ウイルス対策情報3カ月間更新なし More

  • そもそも… (スコア:5, 参考になる)

    by Fortune (6210) on 2002年10月11日 12時40分 (#181760) 日記
    戸田夏生氏は
    2週間に1度は原則。更新がなかったのは、住基ネットという閉じたネットワークに脅威を与えるものはないと判断したため
    と、確実に判断できるほどの知識を持っているのか?

    過去の記事 [mainichi.co.jp]を参照すると
    住基ネットはインターネットとは異なり、閉じたネットワークで、毎日の更新は必要はない。影響が出そうなウイルスが出た場合は必要に応じて更新する
    という発言もあり、今考えるに元から2週間で更新するつもりは無かったようにも取れる。

    また、この記事 [mainichi.co.jp]では、
    提供情報は、セキュリティーの根幹にかかわるものは除いている。サイトは全自治体の職員を対象にしており、不便が生じないようにした
    と、セキュリティーより職員の便利さを優先して行動しているみたいで、さらに怖い。

    今回の一件も、セキュリティーより職員のことを考えて、更新をしなかったとか…。(-_-;)

  • 戸田夏生システム担当部長の言い分 (スコア:3, すばらしい洞察)

    by Anonymous Coward on 2002年10月11日 11時37分 (#181712)
    記事によると、戸田夏生・システム担当部長は、「住基ネットという閉じたネットワークに脅威を与えるものはないと判断したため」と言っているけど、それが本当なのなら、ウイルス対策ソフトは要らなかったことになるんじゃないの?

  • がんばれウィルス (スコア:2, すばらしい洞察)

    by sakamoto (8009) on 2002年10月11日 11時36分 (#181710) 日記
    情報さえ漏洩しなければ、逆にウィルスにやられてシステムダウン したり、全ての個人情報が全部消えてしまった方がいいのでは ないだろうか?
    # 役所もきっと同じ気持ちだと思う
    --
    -- 哀れな日本人専用(sorry Japanese only) --

  • 全国市区町村首長様へ (スコア:2, すばらしい洞察)

    by yk007 (5120) on 2002年10月11日 13時09分 (#181778)
    「ウイルス対策情報の更新は基本的なセキュリティー対策。今回のことで、住基ネットが十分な個人情報保護対策を取っていなかったのが明らかになった。不参加は正しい判断だったと、改めて確信した」(山田杉並区長)

    立ち上がる時が来ました。
    今こそ、住民に首長としての資質を再確認させるのです。

    そして、再選を重ね、国から表彰される・・・・と。
    //

  • 頭が・・・ (スコア:2, 参考になる)

    by tabito (11971) on 2002年10月11日 14時43分 (#181838)
    http://www.asahi.com/national/update/1011/018.html [asahi.com]
    頭がこんな考えなんだからしょうがないでしょう。

    問題が発生しなければ備える必要が無いということは、天災に備えるという考えが無いのと同じだと思うのですが・・・

    • Re:頭が・・・ (スコア:1)

      by wosam (9038) on 2002年10月11日 14時57分 (#181853)
      うわあ。もう笑うしかない。

      > 専用回線、閉じた回線で
      この言葉に踊らされてますね。情報そのものは物理デバイスに関係ない。

      > 一切ウイルスの不正侵入その他の状況もない。
      それは3ヶ月前の定義ファイルでチェックしてるからでしょ。
      この分ではアクセスログのチェックもどうだかしれない・・・。

      > 全く問題がないのにチマチマやるのがいいのか
      ちまちまメンテしてるから無事に稼動してるんですよ!
      シェア
      親コメント

  • 2週間に1度でも遅い (スコア:1, すばらしい洞察)

    by juggernaut (4461) on 2002年10月11日 11時35分 (#181709)
    感染して、且つ被害が出るまでこのままなんでしょうね。

    • Re:2週間に1度でも遅い (スコア:2, すばらしい洞察)

      by k3c (4386) on 2002年10月11日 12時07分 (#181736) ホームページ 日記
      それでウイルス定義ファイルの更新が義務付けられるようになって、作業が面倒くさいのでこっそりインターネットに接続して直接ベンダーからダウンロードしてこれるようにして、結果、感染被害が頻発する。

      …なんてことにならないといいんですけど…考えすぎか(笑)
      シェア
      親コメント

      • Re:2週間に1度でも遅い (スコア:1)

        by Un_Jour (11968) on 2002年10月11日 13時10分 (#181783)
        ・ウイルス定義ファイルの利用契約を結ぶのがいやじゃ
        ・ウイルス定義ファイルの利用契約用の予算なんてないもーん
        という状態だったりして
        --
        あんじゅーる、あんしえん
        --
        -- あんじゅーる、あんしえん
        シェア
        親コメント

    • Re:2週間に1度でも遅い (スコア:2, すばらしい洞察)

      by Anonymous Coward on 2002年10月11日 18時06分 (#181979)
      そして被害が出たら、民間ではどんなにありふれた経路・原因であっても
      「こんなことになるとは予想することは難しかった」
      とか
      「こんな経路での被害は想定していなかった」
      とかって、「おまえらアホか?」と突っ込みいれたくなるようなお決まりの言い訳をするんでしょう。
      シェア
      親コメント

  • 職務怠慢、だけですむ話? (スコア:1)

    by Anonymous Coward on 2002年10月11日 14時02分 (#181810)
    もし定義ファイルを更新しなかったことによりウイルスに感染されたとして、
    個人情報が削除されるだけなら(それでもすごい被害だけど)ともかく
    外部に漏れたりしたら、この戸田夏生・システム担当部長さんは
    どのような罰則を受けるんでしょうね?
    部長さんが直接に情報を漏らしたわけじゃないから
    住民基本台帳法の罰則規定には触れないだろうし。

    • Re:職務怠慢、だけですむ話? (スコア:2, 参考になる)

      by Technobose (6861) on 2002年10月11日 22時05分 (#182114) 日記
       職務怠慢とは、規則に定められた義務を故意に果たさなかった状態ですので、そもそも危険を認識できなければ適用できないかと・・・。
       全国民の権利に関わる重要なシステムを動かすなら、まず運用体制の整備、特にスタッフの育成から準備しないと行けないですよね。
       話は変わりますが、経済産業省で、情報システムの安全対策について、いろいろな基準を作成したり情報処理技術者の認定を行ったりしているのに、何で活用しないのか(守らないのか)、そのあたりの理由をとことん説明して欲しいですね。
      シェア
      親コメント

      • 無知は罪 (スコア:1)

        by kota128 (6016) on 2002年10月12日 1時10分 (#182203)
        なんですが、裁く規則はないんですね(TT)

        #危険を認識できないのは、職務怠慢だと思う・・・。
        #ちゃんと整備してないパトカーで事故を起こしたら罪になりそうなのに・・・。
        #お役所にはコンピュータ関係のこともこれぐらいの感覚で認識してもらいたい。
        シェア
        親コメント

  • 片山虎之助 総務大臣のお言葉 (スコア:1, 参考になる)

    by Anonymous Coward on 2002年10月11日 14時50分 (#181844)
    朝日新聞 住基ネット、ウイルス対策ソフトの情報3カ月更新せず [asahi.com]より永久保存。
    総務相は「専用回線、閉じた回線で、一切ウイルスの不正侵入その他の状況もない。全く問題がないのにチマチマやるのがいいのか」とも語った。
    動画像希望。

    • Re:片山虎之助 総務大臣のお言葉 (スコア:2, 参考になる)

      by yoz (6065) on 2002年10月11日 18時26分 (#182000)
      こういう間違った知識や考え方に基づく発言やらなんやらが
      大手を振って報道されちゃうたびに思うんですが。
      きちんとした反論をプレスに流したり、会見したりできる
      技術者や研究者の団体みたいなものがあるといいなあと。

      「団体」とかいうとうさん臭くなるなら、オープンソースで
      プレスリリース作って流しまくるコミュニティとか?
      シェア
      親コメント
      • >こういう間違った知識や考え方に基づく発言やらなんやらが
        >大手を振って報道されちゃうたびに思うんですが。
        >きちんとした反論をプレスに流したり、会見したりできる
        >技術者や研究者の団体みたいなものがあるといいなあと。

        やるなら、自分たち自身で情報発信しないとダメではないかなぁ・・・。

        穿ちすぎな意見だと自分でも思いますが、報道する側の理解力や知識が
        足りない場合が多いので、報道関係者に任せると、誤解やデマを
        さらに重ねてまき散らす可能性がありませんか?
        #報道されるたびに勝手に偏向や誤解が混入してしまう、と言うこと。
        #最終的に報道される文章や内容を作るのは、反論した本人じゃない
        #場合がほとんどでしょうからねぇ・・・。

        --
        ---- redbrick
        シェア
        親コメント

      • 毎日新聞サイトの報道から。 [mainichi.co.jp]

        また、コンピューター科学者でつくる米・有力NPO「CPSR」の日本支部代表、山根信二・岩手県立大学助手も「ウイルス情報の更新が必要かどうか、どういう基準で、だれが判断したのか、作業者や国民に説明されていないことが問題だ。説明責任を果たし、外部監査も入れないと、住基ネットが国家基盤として信頼を得ることはできない」と話している。

        CPSR日本支部の暫定ページ [iwate-pu.ac.jp]も、支部代表の山根さんのところにあります。 あと、CPSRは年次総会がつい最近あったんで、そのレポート(英文) [oreillynet.com]もあったりしますのでなんとなく感じがわかるかも。 なお、日本の会員はまだまだ少ないので大勢の参加をお待ちしています。

        シェア
        親コメント

    • Re:片山虎之助 総務大臣のお言葉 (スコア:2, すばらしい洞察)

      by fukapon (4131) on 2002年10月11日 19時26分 (#182036)

       ウィルスという「専門的かも知れない」ネタはさておいたとしても、国民のために「問題がなくても」さらなる素晴らしいサービスを目指し、「チマチマと小さな努力」を積み重ねるのは大切なことだよっ。

       なんて彼らが言うようになったら、世も末、っつーか、今の日本は存在しないんでしょうね :-)

      シェア
      親コメント
    • これ呆れて物も言えませんね。
      インフラ構築のネットワーク屋としては、「まったく問題がない」とまで言い張るそのネットワーク図を見てみたいですね。

      #ツッコミどころ満載だったりしたら嫌だなぁ
      シェア
      親コメント
      • つまらない書き方になりそうだけど

        >総務相は「専用回線、閉じた回線で、一切ウイルスの不正侵入その他の状況もない。全く問題がないのにチマチマやるのがいいのか」とも語った。

        たとえ外部から何かされなくても、内部の人間(そしてその創造物としてのソフト)が問題を起こすということが抜けてる時点でアウト。

        この考え方でいくなら、住基ネットはきっと
        ・定期的なバックアップ
        ・オペミス時のロールバック処理
        とかの機能もそのうち止めてしまうのでしょう。

        住基ネットそのものより、運営団体としての自治体(特に国)がとっても嫌だ...というのがほんとのところの人も多いと思う。
        # 最近の各市町村レベルの離反記事がとっても納得できる
        --
        M-FalconSky (暑いか寒い)
        シェア
        親コメント

        • Re:ヒューマンエラー (スコア:1)

          by UNiAzusa (9292) on 2002年10月11日 17時58分 (#181974) 日記
          たとえ外部から何かされなくても

          確かに。
          「敵」は何も外から来るだけではありませんから :)

          既知のウイルスであった場合、定義ファイルで対応されている場合は検知できますが、対応していないor新種のウイルスであった場合には必ずしも検知できるとは限りませんね。
          まさにいたちごっこなわけですが、「チマチマ」対応をしていく過程で安全性を高めていけるんじゃないかなぁ、と。

          #ウイルスに関心が集まっている中、OSやソフトウェアに対するセキュリティーはどうなの? みたいな
          #Bugやパッチの対応とかどうなのかなぁ
          シェア
          親コメント

      • Re:片山虎之助 総務大臣のお言葉 (スコア:1, 参考になる)

        by Anonymous Coward on 2002年10月11日 17時13分 (#181938)

        以前そっち関係で仕事してたので設計の一部を読んだことがありますが、どこから突っ込んでいいのかわからないくらいツッコミどころ満載でした。話によると設計者の能力不足というよりは現場の都合が採用されてるようですけども。

        あまり詳しく書くと規程違反だが勇気を持って書くAC

        シェア
        親コメント
    • 専用回線、閉じた回線で、一切ウイルスの不正侵入その他の状況もない

      なら、そもそもウィルス対策ソフトなんて必要ないのでは?
      シェア
      親コメント
      • ごめんなさい、既出でした。

        って、それだけじゃ、意味ないので。

        住基ネット、ウイルス情報更新は2週間ごと [mainichi.co.jp] をみると、「1日1回のウイルス情報更新が標準だ」とある。
        そんなに必要かなと思うけど、2週間に1回は少ないと思う。 どのくらいがいいのかと言われると困るけど。

        少し前に/.Jでも話題になったように、 ウィルス対策ソフトくらいでセキュリティが大丈夫といって欲しくないけど、
        最低でも努力している姿勢は見せて欲しいな。

        シェア
        親コメント

        • Re:片山虎之助 総務大臣のお言葉 (スコア:2, 参考になる)

          by argon (3541) on 2002年10月11日 17時05分 (#181930) 日記
          >2週間に1回は少ないと思う。どのくらいがいいのかと言われると困るけど。

          なにも手間をかけずとも、更新確認間隔を短くするか、
          更新サーバ側から broadcast できるようにするものではないかと。

          勤務先は社内の拠点から更新データを自動取得するようになってます。
          感染の速いものが出回ったときは、暫定パッチが何回もでてパターン
          ファイル番号が頻繁に変っていくこともあります。

          個人的には Norton AntiVirus を使ってますが、起動時および
          毎日という設定にしています。
          シェア
          親コメント

        • Re:片山虎之助 総務大臣のお言葉 (スコア:2, 興味深い)

          by USH (8040) on 2002年10月11日 18時02分 (#181977) 日記

          そんなに必要かなと思うけど、2週間に1回は少ないと思う。 どのくらいがいいのかと言われると困るけど。

          うちの会社はほぼリアルタイム(フィルタソフトのデータベースが更新されるとほぼすぐ)の更新のはずなんですが、それでもウィルスに入られたことがあります。
          で、その除去にはかなり手間かかってました。
          シェア
          親コメント
        • どういう間隔で更新が必要か、というより、必要なタイミングでなるべく早く行うのがよいと思います。

          つまり、対策ソフトの DB が更新されるごとに行えばよいわけです。今時のセキュリティ対応って大抵そうなってると思ったけど違うのかな。(警報メール駆動てことで :-)

          実際影響ないものはパスするので実際に行動するのは数ヵ月に一度くらいの頻度かな。正確には、ウイルス以前のセキュリティ勧告レベルでの対応の話なんですけどね。

          --
          シェア
          親コメント

  • 最大の穴は (スコア:1)

    by nyaonyao (7735) on 2002年10月11日 17時16分 (#181940)
    昔、社内からインターネットにアクセスなんてできなかったころ、FDからの感染で泣きを見た同僚がいました。
    ウィルスに感染していた顧客先のPCで使ったFDを、知らずに自分のPCに差し込んだんです。
    今は、インターネットやメール経由のウィルスが多いけど、昔は記憶媒体経由が多かったんだよね。

    でも、最大の穴が人間だという点だけは、今も昔も、多分将来的にも変わらないんだろうなぁ。
  • ・リムーバブルメディアを突っ込む前にウィルスチェックをする事
    ・リムーバブルメディアに書き込む前にウィルスチェックをする事

    これは書かれているのですがワクチンソフトを常に最新にしろとは書かれていませんでした。
    ファイアーウォールについては最新にしろと書かれていましたが。

    リムーバブルメディアについても「磁気記録」「磁気媒体」と書かれていて、お前CD-Rやメモリカード等の磁気でないモノは未チェックでいいんかと小一時間(以下略

  • 事実上の担当者不在 (スコア:1, すばらしい洞察)

    by Chaborin (5609) on 2002年10月11日 18時57分 (#182015)
    早い話が、対策の担当者がいなかったんでしょう。
    または、いたけれどルーチン化されてなかった。
    お役所は仕事を創造することができない所なので、
    全て上からの指示がないとうまくいかないです。
    今回も、誰もルーチンを考えなかったせいでこうなったことは確実。

    意地を張るようなバカなまねをしなければ、今回のごたごたを契機にして保守契約か担当をつけてやることになるでしょう。そうすれば少しはましになるはず。

  • そしていつの間にか (スコア:1)

    by Y.. (7829) on 2002年10月11日 19時36分 (#182038) 日記
    お買い物カードにもウィルス侵入…

    なんてことにならないように ウィルス対策ぐらいきっちりしてください
    # お買い物カードから進入もあるかな…
  • 「データは消えたが、外部には漏れなかった。だから問題ない」

    この人ならこう答えそうな気が今からしています。
  • 面倒なのが嫌なら、Windows や Mac 使わにゃいいのに。
typodupeerror

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds