パスワードを忘れた? アカウント作成
4235 story

総務省:「電子政府に100%の安全はなく、やむを得ない」 191

ストーリー by Oliver
努力を放棄するな 部門より

Anonymous Coward曰く、"毎日新聞のこの記事次の記事によると、11月1日の情報処理学会コンピュータセキュリティ研究会主催のシンポジウムで、産業技術総合研究所の高木浩光氏のグループが政府認証基盤の総務省システムのセキュリティーの欠陥を指摘する論文を発表したとのこと。スラドで3月に出た話のまんまのようだ。 これに対する総務省大臣官房の反論が凄い。「通信途中で改ざんされる可能性が不可能とは言いきれないが、インターネットに100%の安全はなく、やむをえない」だそうだ。おいおい何のための公開鍵認証だよ?と小一時間問い詰めたいところ。 なお、高木氏らの論文と発表スライドが彼らのサイトにあった。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 絶句… (スコア:2, すばらしい洞察)

    by Y.. (7829) on 2002年11月02日 3時33分 (#193752) 日記
    100%の安全はないのは 納得するが…
    100%に近づけようとするもんだろ…
    そもそも
    「やむを得ない状態で運用しなきゃならんほど急ぐものじゃない」
    …とっとと責任取って 中止して欲しいですな

    おいら的にはシステムよりも人的要因が一番危険だと思うのだが…
  • 問題なのは

    SSLの利用には、民間認証機関が発行するサーバー証明書が必要で、認証の根底に、政府認証基盤ではなく、民間認証機関を置くことになり問題だ

    と堂々と言ってのける総務省官房企画課だね。
    自前の認証局で発行した証明書でSSLを使用するだけでも、途中改ざんの危険は減るのに。ダウンロード時にブラウザの警告は出るけど、証明書をブラウザにインストールしようという人なら、そのサイトのことを始めから信頼してるでしょう? 警告が出るのが嫌なら、ブラウザベンダーに政府のルート証明書を最初からインストールしてくれるように、交渉すればいいんだよな。

    より安全にする方法はいくつも指摘されてるのに、政府のメンツを丸出しにしたり、被害の可能性を矮小化するコメントを聞くと、ほんと情けなくなりますよ。
    • 政府の認証機関は省庁ごとに設置して相互認証しているらしいです。他の省庁で認証されていれば証明されているということで、かなりの骨抜きになっているような…。

      オフトピですが省庁ごとに認証局を作ったのは認証局長というポストを作るためだったとか。
      親コメント
    • by Anonymous Coward on 2002年11月02日 5時11分 (#193793)

      ああ。なんてこった。

      第三者機関だからいいんじゃないか・・・

      それとも、政府サイト用の認証機関を作る気なのか?んで、100%の安全は無いのでそこがクラックされても致し方ない?もうほんと勘弁して下さい。

      親コメント
    • あれ? このページ [e-gov.go.jp]の「安全な通信を行うための証明書」って、てっきりSSLためのモノだとばかり思っていたが、違ったのか?
      --
      written by こうふう
      親コメント
    • そこまで言うならねぇ (スコア:1, おもしろおかしい)

      by Anonymous Coward on 2002年11月02日 15時44分 (#194007)
      ほら、あんたがたが使ってるそのOSとかハードも民間で作ったものだよ。どこにバックドアが仕掛けられてるかわかったもんじゃない。ましてや元は日本製でさえないものもたくさんあるよね。おお、そうだ、パソコンに入ってるウィルスチェックのためのセキュリティソフトも、日本製のものはほとんどないよね。これも本当にセキュリティ機能だけしか持ってないと思ってるの?ひょっとするとスパイウエアが入ってて、日々の業務記録が外国のどこかで取られてる可能性は否定できないと思うがなぁー。いやー、民間企業って、信用できないからねー。やっぱこういうものはすべて国営にしないとまずいな。あっ!忘れてたけど、インターネットそのものも、民間が育てたネットワークだよね。少なくとも絶対の信頼性を基礎に置く官庁としては、インターネットも日本規格でいかないと、これから大変なことになると思うな。いやー、すげー税収不足とか、関西での失業率8.9%とか、それはそれは大変な世の中だけど、まぁ、せいぜいがんばってくださいね。

      やっぱ国の機関が信頼して使えるプロダクトは「官製」でなくちゃね。ほんと、ほんと。
      親コメント
  • by argon (3541) on 2002年11月02日 3時03分 (#193739) 日記
    安全が確認されたら参加すると表明していた横浜市などは、
    参加しないのが決まったということになるのかな?
    • by yasiyasi (5450) on 2002年11月02日 14時59分 (#193984)
      その問いに対応するネタは、

      「『住民票コードがヤミ金融に流れているらしいが』と、国会議員が予算委員会で質問」

      なんで、この話題の中でそれを持ち出すのは、間違い。
      親コメント
  • 開発の発注元が、サービス提供先である国民に対して、「ま、そういう問題もあるんですよ」って表明するのはアリ(なのか)として、受注する側もそういう姿勢で納入したりしてオッケイなのかな。
    かなり楽な仕事になりそうですよね。
    「ま、インターネット使ってるんですから、100%安全なんてありえませんよ」って。

    こういうときこそAC発言、受注側のコメント募集!
    • by Anonymous Coward on 2002年11月02日 16時16分 (#194018)

      サーバ構築の仕事するときに、telnetは公開しないのに、ftpは公開してくれっていう客が多いです。 多分、telnetを公開しなければ安全は保たれたと考えているんでしょう。

      私がどうするか? 「本当にいいんですね?」と聞いて、大抵はそのままftp開いちゃってますね。 他のプロトコル勧めても、ftp以外の方法を覚える気がないっていう客がほとんどですから。

      # そんなときは妙な罪の意識を感じる……

      親コメント
  • by Anonymous Coward on 2002年11月02日 6時01分 (#193806)
    これって要するに、脆弱性を指摘する側が相手のメンツを丸潰れにするような叩き方をしたので、過剰に反応した結果じゃないかと思う。
    ま、高木氏としては安全な電子政府を実現するより自分の名を上げるのが目的なんだから目的は達せられたって所じゃないかな?

    相手を叩きのめしても決して安全は得られないし、むしろ相手の対応を硬化させてより事態を深刻化させるだけ。
    特に役人なんて縦割りを超えた所から叩かれれば反発するのは当たり前の事で、叩く前にそういう事を知らなかったとしたら、あまりにも社会性が無さすぎ。
    まぁ、脆弱性を指摘する側が相手を人間と思ってない輩の集まりだからそういう事に気付きもしなかったんだろうけどね。

    総務省にこういうコメントをさせちゃったというのは、そりゃ総務省もダメダメだけど、セキュリティ専門家の大失点だね。

    • by nobuhiro (5244) on 2002年11月02日 11時28分 (#193910) ホームページ
      高木氏の指摘は、論理的で対策法まで示す親切なものばかりですが、 古い慣習に頓着しない率直なものいいなので、人によっては叩きのめしているようにみえるのかな。

      科学や技術の世界では当り前のやり方なんだけど、他の世界では反発をうけることが多いのは AC 氏の言う通りです。根回しとかが重視されるのはそういうことなのでしょうが、これに迎合するのは悪しき慣習 [*1] の生き残るだけなので行うべきではありません。

      [*1] 根回しの外にいる人が著しく不利になる、など。
      と、私は思うのですけど、世の中思考方法の訓練ができてない人が多くてなかなか難しいです。
      --
      親コメント
    • > セキュリティ専門家の大失点

      そゆこと書くときには、一緒に「じゃあ専門家たちがどう動いたらもう少しマシな方に展開していくのか」という代案も出してもらえると話がしやすいなぁ。

      # 自分じゃ代案が思いつかないのでIDで。
      親コメント
    • by snaga (1064) on 2002年11月02日 13時43分 (#193962)
      なんでM1が「フレームのもと」なのかよく分かりませんが、
      官僚や政治家のふるまいを変えようとロビイングしようと思えば、
      正面から正論だけ吐いてれば何とかなる、というのは幼稚すぎますな。
      それぞれ「動機」があって動いているわけですから。

      だからと言って正論吐く人間がいなくてもいいという話でもない。

      高木氏の目的が「自分の名を上げる」ことなのかどうかは知らないけど、
      それでもやりようはあるんじゃないですかね。

      技術屋が官僚をバカにして、官僚が技術屋をバカにする、という構図を
      なんとかしない限り、誰を批判しようが何も変わらんと思いますが。
      親コメント
      • by Anonymous Coward on 2002年11月02日 18時58分 (#194066)
        技術屋が官僚をバカにして、官僚が技術屋をバカにする、という構図をなんとかしない限り、誰を批判しようが何も変わらんと思いますが。
        「技術屋」と「官僚」と2分していますが、総務省の中にも技術的な裏付けを持っている官僚や技官がたくさんいます。
        特に元郵政省だった総合通信基盤局(元電気通信管理局)、情報通信政策局関連とかには高木氏のような象牙の塔に篭った頭でっかちではなく実務に精通した人も多くいます。
        ですから、元郵政、特に電気通信畑では官僚が技術屋(技官とか)をバカにするとか無視するとかはあまりありません。
        電気通信畑を通り過ぎるだけの上級職の一部には、そういう傾向も多少ありますが、そういう人は在籍期間が短く、実際の政策案の作成等は行いませんから影響は(あまり)ありません。

        だったらなぜ今回総務省がこういう状況になっちゃったのかという事になるのですが、元総務庁系からの圧力で方針が曲がってしまったのではないでしょうか?
        e-govに付いては直接知りませんので全くの憶測ですが。
        総務省内では元総務庁系は技術的には全く裏付けがありませんが、かなりの力を持っています。 ですから、ただでさえ郵便事業などで立場の弱い元郵政系、しかもその一部局である電気通信系の、本当に技術を持った人の意見が通らなかったとしても不思議ではありません。
        ちょっとググッてみると、今回コメントを寄せている阿向泰二郎という人は社会保険庁関連の部署にもいた [mhlw.go.jp]ようで、郵政系ではないようですし。
        もう一度書いておきますが、これはあくまでも憶測です。ですが、いかにもありそうなストーリーです。
        e-gov立ち上げ時に元郵政系から「民間のSSL証明をつかうべき」という意見をリジェクトしていたとすれば(あくまでも仮定です)、一旦却下した意見を、別省庁の、しかも外郭機関の人間に再度指摘されれば、このような拒絶反応が起きたとしても不思議ではありません。

        三度書いておきますが、あくまでも私の憶測です。

        # ヤバげなのでAC

        親コメント
      • by Anonymous Coward on 2002年11月02日 14時11分 (#193973)

        技術屋が官僚をバカにして、官僚が技術屋をバカにする、という構図を
        なんとかしない限り、誰を批判しようが何も変わらんと思いますが。

        技術屋は官僚を馬鹿にしていますが、官僚は技術屋を無視している、という構図が一番問題です。技術屋が馬鹿にするときには、官僚がやっていることをある程度見て、それを自分の専門の見地(それは往々にして狭い視点かも知れませんが)から批判・馬鹿にしますが、官僚はそういう技術屋のやっていることにほとんど注意を払いません。(中には払う人もいますが、出世の階段を昇る主流派ではないことがおおい。)

        そもそも、このような先端技術にかかわる話を、国が主導してやっているにもかかわらず、せっかくの国の研究機関に全く相談せずにやっていることが問題なのでは?
        親コメント
        • by snaga (1064) on 2002年11月02日 14時22分 (#193977)
          > 技術屋は官僚を馬鹿にしていますが、官僚は技術屋を無視している、という構図が一番問題

          確かに。

          > 官僚はそういう技術屋のやっていることにほとんど注意を払いません。

          注意を払わないってのは、結局注意を払ったところで理解できない、とか、
          官僚側にメリットがないからですよね。

          技術者でない者が技術を理解できないことは必ずしも批判されることではなくて、
          でもdecision makingする立場の人間に正しい判断をしてもらいたいと思うなら、
          それなりの「理解してもらうための努力」ってのは必要だと思いますけどねぇ。
          親コメント
      • >なんでM1が「フレームのもと」なのかよく分かりませんが、
        たぶん、私のモデレートが反映されていたのだと思います。

        >>ま、高木氏としては安全な電子政府を実現するより自分の名を上げるのが
        >>目的なんだから目的は達せられたって所じゃないかな?

        >>まぁ、脆弱性を指摘する側が相手を人間と思ってない輩の集まりだからそういう事に気付きもしなかったんだろうけどね。

        という部分に対して、「フレームのもと」と評価しました。
        こういう中傷がなくても、議論はできるでしょう。
        親コメント
  • >「通信途中で改ざんされる可能性が不可能とは言いきれないが、インターネットに100%の安全はなく、やむをえない」

    そんなこと誰しもが思っていること。
    良く分かった。電子政府だとかそんなもの必要でないからやめよう。どうせなら、役所の窓口の営業時間を土日に拡大するとか、一般の労働人達が帰宅するような時間帯(6時とか7時とか8時とか)まで延ばすとかしてくれ。それと、なかなかお役所にこれない人達のために無料送迎バスを走らせてくれ。さらに、なかなかお役所に来づらい身体障害者達のために、そういう人達の窓口作業を出張してやってくれる出張役人をつけてくれ。これで公務員が増えるから失業対策にもなるかもしれないぞ。もちろん、それらのお金は電子政府に費す予算からそっくり移してくるんだ。
    なんでも確実性/信頼性をもとめる行政に、インターネットは全く不向きだよ。
    --
    // Give me chocolates!
  • 原発は100%安全ですとかいうくせに、今回は100%安全ではないのですねぇ。はぁ。
    • by mexon (9705) on 2002年11月02日 13時26分 (#193955)
      寡聞にして知らないのですが,「原発が100%安全」
      といった方がいらっしゃるのでしょうか.
      何十年前の話ならともかく,原発を100%安全なんていうのは
      今ではタブーに近いものがあると思いますが.

      できればそのソースを教えていただきたく思います.
      親コメント
      • 何十年前の話ならともかく,原発を100%安全なんていうのは

        何十年、ってほど昔じゃないですよ。十年くらい前までは「○年の科学」とかの裏表紙に電力会社が宣伝で堂々と書いてましたし。

        さすがに最近こういうことを言う人はいなくなったですね(まあ、官僚さん達や電力会社は実質的に同じような事を言っているような気もしますが)。そのあたりを中途半端にして書いたのは失敗でした。すいません。
        親コメント
    • Re:100%安全とかって (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2002年11月02日 13時39分 (#193959)

      というか科学者の類が「100%~です」と公言するほうがどうかしてる。世の中100%な出来事は無きに等しい...人為的関与がある場合は特に。

      親コメント
typodupeerror

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

読み込み中...