総務省:「電子政府に100%の安全はなく、やむを得ない」 191
ストーリー by Oliver
努力を放棄するな 部門より
努力を放棄するな 部門より
Anonymous Coward曰く、"毎日新聞のこの記事と次の記事によると、11月1日の情報処理学会コンピュータセキュリティ研究会主催のシンポジウムで、産業技術総合研究所の高木浩光氏のグループが政府認証基盤の総務省システムのセキュリティーの欠陥を指摘する論文を発表したとのこと。スラドで3月に出た話のまんまのようだ。 これに対する総務省大臣官房の反論が凄い。「通信途中で改ざんされる可能性が不可能とは言いきれないが、インターネットに100%の安全はなく、やむをえない」だそうだ。おいおい何のための公開鍵認証だよ?と小一時間問い詰めたいところ。 なお、高木氏らの論文と発表スライドが彼らのサイトにあった。"
絶句… (スコア:2, すばらしい洞察)
100%に近づけようとするもんだろ…
そもそも
「やむを得ない状態で運用しなきゃならんほど急ぐものじゃない」
…とっとと責任取って 中止して欲しいですな
おいら的にはシステムよりも人的要因が一番危険だと思うのだが…
Re:絶句… (スコア:1)
う-む。そうですね。
Re:絶句… (スコア:1)
ISO 17799なり何なりとってほしい。
文系役人は本当に役立たずだな…。
タレこみにもあるリンク先にある役人のコメント (スコア:1)
つまり政府の見解としては
という事なんでしょうかね... 人的要因というより国的要因にも思えてきた...
# お願いだから住基のお買い物ポイント [srad.jp]みたいなのを考えないでくれ...
政府関係者の無知にはあきれるかも (スコア:2, すばらしい洞察)
と堂々と言ってのける総務省官房企画課だね。
自前の認証局で発行した証明書でSSLを使用するだけでも、途中改ざんの危険は減るのに。ダウンロード時にブラウザの警告は出るけど、証明書をブラウザにインストールしようという人なら、そのサイトのことを始めから信頼してるでしょう? 警告が出るのが嫌なら、ブラウザベンダーに政府のルート証明書を最初からインストールしてくれるように、交渉すればいいんだよな。
より安全にする方法はいくつも指摘されてるのに、政府のメンツを丸出しにしたり、被害の可能性を矮小化するコメントを聞くと、ほんと情けなくなりますよ。
Re:政府関係者の無知にはあきれるかも (スコア:2, 参考になる)
オフトピですが省庁ごとに認証局を作ったのは認証局長というポストを作るためだったとか。
Re:政府関係者の無知にはあきれるかも (スコア:1, 興味深い)
ああ。なんてこった。
第三者機関だからいいんじゃないか・・・
それとも、政府サイト用の認証機関を作る気なのか?んで、100%の安全は無いのでそこがクラックされても致し方ない?もうほんと勘弁して下さい。
Re:政府関係者の無知にはあきれるかも (スコア:1)
電子申請等で、SSLを使うときに、府省認証局の電子証明書を使うケースがあると聞いていますです。
written by こうふう
Re:政府関係者の無知にはあきれるかも (スコア:1)
この認証局はアブな過ぎです。
証明書、フィンガープリントをHTTPで送ってもねぇ。
# この前、情報セキュリティ概論のレポートでネタにしました。
PCにECC Registeredメモリの利用を推奨します。
Re:鯖管の勤務時間ていったい... (スコア:1)
ひょっとして、公務員が全員が全員、9-17だと思ってます?
Re:鯖管の勤務時間ていったい... (スコア:1)
Re:政府関係者の無知にはあきれるかも (スコア:1)
written by こうふう
そこまで言うならねぇ (スコア:1, おもしろおかしい)
やっぱ国の機関が信頼して使えるプロダクトは「官製」でなくちゃね。ほんと、ほんと。
不参加自治体の対応 (スコア:1)
参加しないのが決まったということになるのかな?
Re:不参加自治体の対応 (スコア:2, 参考になる)
「『住民票コードがヤミ金融に流れているらしいが』と、国会議員が予算委員会で質問」
なんで、この話題の中でそれを持ち出すのは、間違い。
Re:不参加自治体の対応 (スコア:2, 参考になる)
住基ネットと霞ヶ関WANとLG-WAN(以上、政府関連機関専用ネット)と、今回の民間にも開放される部分は、別に分けたほうがよいでしょうね。
# ちなみに、住基ネットとLG-WANは、仕組みが異なる別ネットワーク
いつか、住基ネット等だけだったはずのデータが、民間向けネットにも乗せようとする動きがあるかもしれませんが、そのときには国会か内閣を通ることでしょう。
そのときに、反対する国民がみんなで政権を叩き潰せばよいでしょう。
忘れてなければの話なので、今、感じている危機感を覚えておきましょうね>All
Re:不参加自治体の対応 (スコア:1)
つーか,電子政府ってのは「行政手続きをネット経由で行うもの」と認識してたのだが・・・
開発者もその姿勢でいいのかな (スコア:1)
かなり楽な仕事になりそうですよね。
「ま、インターネット使ってるんですから、100%安全なんてありえませんよ」って。
こういうときこそAC発言、受注側のコメント募集!
Re:開発者もその姿勢でいいのかな (スコア:1, おもしろおかしい)
サーバ構築の仕事するときに、telnetは公開しないのに、ftpは公開してくれっていう客が多いです。 多分、telnetを公開しなければ安全は保たれたと考えているんでしょう。
私がどうするか? 「本当にいいんですね?」と聞いて、大抵はそのままftp開いちゃってますね。 他のプロトコル勧めても、ftp以外の方法を覚える気がないっていう客がほとんどですから。
# そんなときは妙な罪の意識を感じる……
Re:開発者もその姿勢でいいのかな (スコア:1)
総務省のメンツ丸潰れ? (スコア:1, 興味深い)
ま、高木氏としては安全な電子政府を実現するより自分の名を上げるのが目的なんだから目的は達せられたって所じゃないかな?
相手を叩きのめしても決して安全は得られないし、むしろ相手の対応を硬化させてより事態を深刻化させるだけ。
特に役人なんて縦割りを超えた所から叩かれれば反発するのは当たり前の事で、叩く前にそういう事を知らなかったとしたら、あまりにも社会性が無さすぎ。
まぁ、脆弱性を指摘する側が相手を人間と思ってない輩の集まりだからそういう事に気付きもしなかったんだろうけどね。
総務省にこういうコメントをさせちゃったというのは、そりゃ総務省もダメダメだけど、セキュリティ専門家の大失点だね。
Re:総務省のメンツ丸潰れ? (スコア:2, 参考になる)
科学や技術の世界では当り前のやり方なんだけど、他の世界では反発をうけることが多いのは AC 氏の言う通りです。根回しとかが重視されるのはそういうことなのでしょうが、これに迎合するのは悪しき慣習 [*1] の生き残るだけなので行うべきではありません。
と、私は思うのですけど、世の中思考方法の訓練ができてない人が多くてなかなか難しいです。の
Re:総務省のメンツ丸潰れ? (スコア:1)
そゆこと書くときには、一緒に「じゃあ専門家たちがどう動いたらもう少しマシな方に展開していくのか」という代案も出してもらえると話がしやすいなぁ。
# 自分じゃ代案が思いつかないのでIDで。
Re:総務省のメンツ丸潰れ? (スコア:1)
官僚や政治家のふるまいを変えようとロビイングしようと思えば、
正面から正論だけ吐いてれば何とかなる、というのは幼稚すぎますな。
それぞれ「動機」があって動いているわけですから。
だからと言って正論吐く人間がいなくてもいいという話でもない。
高木氏の目的が「自分の名を上げる」ことなのかどうかは知らないけど、
それでもやりようはあるんじゃないですかね。
技術屋が官僚をバカにして、官僚が技術屋をバカにする、という構図を
なんとかしない限り、誰を批判しようが何も変わらんと思いますが。
Re:総務省のメンツ丸潰れ? (スコア:2, 参考になる)
特に元郵政省だった総合通信基盤局(元電気通信管理局)、情報通信政策局関連とかには高木氏のような象牙の塔に篭った頭でっかちではなく実務に精通した人も多くいます。
ですから、元郵政、特に電気通信畑では官僚が技術屋(技官とか)をバカにするとか無視するとかはあまりありません。
電気通信畑を通り過ぎるだけの上級職の一部には、そういう傾向も多少ありますが、そういう人は在籍期間が短く、実際の政策案の作成等は行いませんから影響は(あまり)ありません。
だったらなぜ今回総務省がこういう状況になっちゃったのかという事になるのですが、元総務庁系からの圧力で方針が曲がってしまったのではないでしょうか?
e-govに付いては直接知りませんので全くの憶測ですが。
総務省内では元総務庁系は技術的には全く裏付けがありませんが、かなりの力を持っています。 ですから、ただでさえ郵便事業などで立場の弱い元郵政系、しかもその一部局である電気通信系の、本当に技術を持った人の意見が通らなかったとしても不思議ではありません。
ちょっとググッてみると、今回コメントを寄せている阿向泰二郎という人は社会保険庁関連の部署にもいた [mhlw.go.jp]ようで、郵政系ではないようですし。
もう一度書いておきますが、これはあくまでも憶測です。ですが、いかにもありそうなストーリーです。
e-gov立ち上げ時に元郵政系から「民間のSSL証明をつかうべき」という意見をリジェクトしていたとすれば(あくまでも仮定です)、一旦却下した意見を、別省庁の、しかも外郭機関の人間に再度指摘されれば、このような拒絶反応が起きたとしても不思議ではありません。
三度書いておきますが、あくまでも私の憶測です。
# ヤバげなのでAC
Re:総務省のメンツ丸潰れ? (スコア:1, すばらしい洞察)
技術屋は官僚を馬鹿にしていますが、官僚は技術屋を無視している、という構図が一番問題です。技術屋が馬鹿にするときには、官僚がやっていることをある程度見て、それを自分の専門の見地(それは往々にして狭い視点かも知れませんが)から批判・馬鹿にしますが、官僚はそういう技術屋のやっていることにほとんど注意を払いません。(中には払う人もいますが、出世の階段を昇る主流派ではないことがおおい。)
そもそも、このような先端技術にかかわる話を、国が主導してやっているにもかかわらず、せっかくの国の研究機関に全く相談せずにやっていることが問題なのでは?
Re:総務省のメンツ丸潰れ? (スコア:2, 参考になる)
確かに。
> 官僚はそういう技術屋のやっていることにほとんど注意を払いません。
注意を払わないってのは、結局注意を払ったところで理解できない、とか、
官僚側にメリットがないからですよね。
技術者でない者が技術を理解できないことは必ずしも批判されることではなくて、
でもdecision makingする立場の人間に正しい判断をしてもらいたいと思うなら、
それなりの「理解してもらうための努力」ってのは必要だと思いますけどねぇ。
Re:総務省のメンツ丸潰れ? (スコア:1)
たぶん、私のモデレートが反映されていたのだと思います。
>>ま、高木氏としては安全な電子政府を実現するより自分の名を上げるのが
>>目的なんだから目的は達せられたって所じゃないかな?
>>まぁ、脆弱性を指摘する側が相手を人間と思ってない輩の集まりだからそういう事に気付きもしなかったんだろうけどね。
という部分に対して、「フレームのもと」と評価しました。
こういう中傷がなくても、議論はできるでしょう。
Re:総務省のメンツ丸潰れ? (スコア:1)
> どうにかしようとか、自分の名をあげようなんて
> 思ってなくて、単に事実を言っただけでは?>高木氏
当人の思惑なんて他人には理解できるわけないし、
人によって見方は違うんだから、それを議論することは無駄。
> それともアレかな。事実であったとしても
> 脆弱性やら問題点やらを口にすると、
> これからは叩かれるのかな。
誰がそんなこと言いました?
> 「正論」なんていえるほど「論」はなく、
> ただ、現状の箇条書きに過ぎないかと。
世の中を変えたいと考えるなら、その行為に本当に実効性があるのかを
考えるべき、という議論をしているのでは?
Re:総務省のメンツ丸潰れ? (スコア:2, 参考になる)
よーく分かった (スコア:1, 余計なもの)
そんなこと誰しもが思っていること。
良く分かった。電子政府だとかそんなもの必要でないからやめよう。どうせなら、役所の窓口の営業時間を土日に拡大するとか、一般の労働人達が帰宅するような時間帯(6時とか7時とか8時とか)まで延ばすとかしてくれ。それと、なかなかお役所にこれない人達のために無料送迎バスを走らせてくれ。さらに、なかなかお役所に来づらい身体障害者達のために、そういう人達の窓口作業を出張してやってくれる出張役人をつけてくれ。これで公務員が増えるから失業対策にもなるかもしれないぞ。もちろん、それらのお金は電子政府に費す予算からそっくり移してくるんだ。
なんでも確実性/信頼性をもとめる行政に、インターネットは全く不向きだよ。
// Give me chocolates!
100%安全とかって (スコア:1)
Re:100%安全とかって (スコア:1)
といった方がいらっしゃるのでしょうか.
何十年前の話ならともかく,原発を100%安全なんていうのは
今ではタブーに近いものがあると思いますが.
できればそのソースを教えていただきたく思います.
Re:100%安全とかって (スコア:1)
何十年、ってほど昔じゃないですよ。十年くらい前までは「○年の科学」とかの裏表紙に電力会社が宣伝で堂々と書いてましたし。
さすがに最近こういうことを言う人はいなくなったですね(まあ、官僚さん達や電力会社は実質的に同じような事を言っているような気もしますが)。そのあたりを中途半端にして書いたのは失敗でした。すいません。
Re:100%安全とかって (スコア:1, すばらしい洞察)
というか科学者の類が「100%~です」と公言するほうがどうかしてる。世の中100%な出来事は無きに等しい...人為的関与がある場合は特に。
Re:前言撤回 (スコア:1, おもしろおかしい)
Re:前言撤回 (スコア:1)
問題は実サービスですよね。でも何か素人が集まってやってるようにしか見えない。。。識者やISP技術者の協力は得ているんだろうか?
#「だから!遅すぎたと言っとるんだっ!!」
Re:前言撤回 (スコア:1)
結局姿勢の問題なんだけど、真摯に耳を傾けて実直に行動すればいいだけなのに、変な面子でそれができない組織(お役所)がたくさんあるみたいですな。
の
Re:前言撤回 (スコア:1)
やはり、現場レベルで頑張るしかないのではないかと。
トップの顔色をうかがってばかりでは、正義の味方にはなれない、って ことでしょうか。
#「絶対に大丈夫です!この私が保証します」
訳がわからんって愚痴ってたのに ...
Re:前言撤回 (スコア:1)
利用されていたのか?しかもグローバルIPアドレスの。
インターネットの通信が安全でないことと、住基ネット
が危険かどうかは別問題かと。最悪IPだったとしても
グローバルから遮断されていればいいわけで。
端末で操作する人間どものモラルに有効なセキュリ
ティー対策が無いことがよっぽど危険。
-- gonta --
"May Macintosh be with you"
Re:前言撤回 (スコア:1)
ご存知だと思いますが、ここだけ読んで勘違いする人がいるかもしれませんので、念のために一言だけ。
違います。
住基ネットの通信プロトコルはTCP/IPを使っていますがね。
Re:前言撤回 (スコア:1)
「前言撤回」
されて、システムのメンテナンスの上、必要…
とか、いい出しそうで怖い。
Re:前言撤回 (スコア:1)
お金の流れもよくなるなぁ
Re:100%でないとすると (スコア:2, 参考になる)
機械などでは、安全率、つまり予想される負荷に対して一定の係数(当然1以上)を掛けた値に耐えられるように設計します。それでも、H2ロケットの8号機のように、予想できない負荷がかかったりしてトラブルを引き起こす場合もある訳です。
同様にセキュリティの話も、まず多種多様な攻撃を予想して、二重三重の安全策を用意する、というのがこの手の重要な情報をやり取りするシステムを構築する上での大前提だと思うんです。その上で、未知のセキュリティホールを突かれて問題が発生した、というならまだ納得できるんですけど、初めから「絶対ということはないんだから、この程度でよかろう」という認識では困るんですよ。
「100%ではない」なんて台詞は、今打てるだけの手を打った上で言ってほしいですね。
Re:行動せよ (スコア:1)
煽りですか?
これを行ったのが高木氏らの論文だと思いますが。
必要なのは適切で効果的な行動なんでしょうけど、それは政治屋さんの専門でしょう。
技術屋は関与しなくていいといってるのではないですよ。
#「どんな方法でもいい」なんて魅力的な言葉を技術屋に向かっていうとは、それはそれで。
ご説ごもっとも (スコア:1)
Anonymous Cowardでなかったら、もっと説得力あったのに。
Re:ご説ごもっとも (スコア:1, すばらしい洞察)
かと言ってコテハンでもやっぱり説得力ゼロなんだけどね。
自分が行動を起こさないのに、
偉そうに人に指示する人って全般的に信用できません。
例え技術屋じゃなくても、
技術者を集めたりデモしたり、
やりかたはいくらでもあるでしょう。
#扇動家はいらないよ。
Re:ご説ごもっとも (スコア:1)
同意。
> 技術者を集めたりデモしたり、
でも、デモってほとんど効果ないっすよね。いや、シャレじゃなく。
70年代でもあるまいし。
世の中を変えたいなら、decision making する層へのアクセスパスを
持っていないとどうにもならんでしょう。
なんか、それを放棄したような人たちばっかりですがね、このスレは。
Re:行動せよ (スコア:1)
ってことで、OpenGovernmentでもつくりますか?
Re:行動せよ (スコア:1, おもしろおかしい)