公的個人認証サービス開始、ただしWindows専用 144
ストーリー by yourCat
7:3:非パソコン・ユーザー 部門より
7:3:非パソコン・ユーザー 部門より
nachi 曰く、 "インターネットを通じた行政手続きのための公的個人認証サービスが1月29日に開始されました。利用には電子証明書交付の際に窓口でもらえる専用のクライアントソフト等が必要なのですが、クライアントソフトはWindows用しか用意されておらず、他のOS用クライアントの開発は未定ということだそうです。費用がかさむから、というのが総務省自治政策課の説明らしいですが、だからといって特定のOS以外のユーザを国のサービスが切り捨てていいものでしょうか?"
利用者の多いところからサービスを開始するのは納得できるが、それでも他OS対応の予定表くらいは明らかにするべきだろう。総務省も今後の課題と認識しているという。
なお、例によって長野県は個人情報保護策の評価がすむまでサービス開始を延期する。
問題は山積です (スコア:5, すばらしい洞察)
公的個人認証の数ある問題点の中で、「Windows専用」なんて微々たる問題なのです。
どうせ当面は電子申告ぐらいしかまともなサービスは無いのですから、マカーやLinuxerなどがすぐに利用することなんて殆ど無いでしょうし。
今のところ公的個人認証についてまともに分析しているサイトは、自治体情報政策研究所 [jj-souko.com]ぐらいしか見つかりません。
# マスコミは「住基ネット!住基ネット!」と騒ぐのに、何故か公的個人認証については多くを語らないのでしょうがないのですが。
# 住基ネットで懲りた総務省の情報操作が成功しているとも言えます。
とりあえず、ここの公的個人認証サービスの疑問に答えるQ&A集 [jj-souko.com]を見てもう一度問題点を整理し直して欲しいものです。
私は、
また、実印に、氏名・生年月日・性別・住所を書かせる「公的個人認証」という名の愚策 [jj-souko.com]とかもセキュリティ的に面白い指摘だと思います。
さらに、私の仕事の視点から文句を言わせてもらうと、
例のごとく、「地方自治体の総意で決定しました。」っていう形式を取って、住基ネットと同じように総務省の意向をゴリゴリ押し付けてくるのが腹立たしい。
# 住基ネットも公的個人認証も総合行政ネットワークも全然自治事務じゃねぇぞ、ゴラ!。手前らの事務の押し付けだろうが!
例えば、発行手数料500円は市区町村の窓口で徴収しなければならないのだけど、全部LASCOMに持っていかれます。人件費とかはどうしてくれるんでしょう。
それに、機器購入費の助成金が少なすぎて最低限必要な機器すら自腹で買わなければならない有様です。PINのショルダーハックを防ぐ設備とかもいるだろうと思うんですけど、助成対象ですらないのはどうしてでしょうねぇ。
で、最後になりましたが、1/29に開始日が伸びたのはバグ取りが終わらなかったからだそうですねぇ。
というか、電子申告に間に合わせるために素人が見ても無理なスケジュール組んでませんでしたっけ。>総務省
公共事業好きなN社ですら、「こんなスケジュールじゃとてもじゃないが無理」って入札辞退したとか聞きましたよ~。
LGWANの敷設が終わっていない自治体に無理やりNTTの回線引かせてテストしたのはなんだったのでしょう?
# 地方自治体職員なのでAC
Re:問題は山積です (スコア:1, すばらしい洞察)
だって、実害ないから(w
・巨額の税金が投入されていること
たしかに巨額でしょう。他に比べたらたいしたことないけどね。
むしろ、アレにもコレにも必要になる予定なのに「3年で1000万人」というのは低く見積もり過ぎか。
・民間の個人認証を圧迫するであろうこと
なぜ問題なのかわかりませぬ。すみわけ大事。
・外国人登録者が利用できないこと
なぜ問題なのかわかりませぬ。外国人登録者が必要となる場面がないから利用できないんでしょ?
それとも公的個人認証しか受け付けなくなる世の中にでもなるの?
・個人証明書として未完成であった住基カードを完成させてしまう可能性があること
・結局、住基ネットとつながっていること
何が問題なのか不明確です。ただの住基ネットヒステリーですか?
これが問題だというのであれば「日本に住んでいること」も同じく問題でしょう。
#リンクされてる研究所さんは「できるようになる」と「それしかできなくなる」の区別がついていない
オープンソースを推進する (スコア:2, すばらしい洞察)
Re:オープンソースを推進する (スコア:1)
どんなデータが流れているのかが公開されたら、世界中のハッカーやクラッカーの標的になりかねない。
と、言ってみるテスト。
電話一本で担当職員が出向いて受け付けてくれれば安全なのに、と思う ID
不明な認証局によって証明書が発行されたWebサイト (スコア:2, 参考になる)
Re:そういうことを言っているのではないのでは? (スコア:3, 参考になる)
知らないのが普通でしょう。ただ、使う場合には知る(つまり、当該CAの証明書をインストールする)ことが必要です。
> オンラインで手続きするためには一度お役所 [jpki.go.jp]まで足を運ばないといけなそうですね。
当然でしょう。オンラインの手順だけで法的に有効な本人認証ができるのなら、その時点ではすでに公的個人認証は必要ないことになりますね。
通常、ある程度以上マジメに証明書を発行しようとすれば、out-of-bandに個人を認証する必要があり、多くの場合は対面で写真入の公的な身分証明書を確認します。公的個人認証の証明書発行も、同じように行うわけです。
納得できないのであれば、オンラインだけでその人がその人であることを確認する、というパズルを解いてみてください。かなり難しいと思いますよ。
Re:そういうことを言っているのではないのでは? (スコア:1)
証明書が事前にストアされていないとあの警告が出るので、よくわからない利用者は不安に思うだろうなあ。
とはいえ、各国の GPKI の Root CA の証明書を事前にストアするのは大変そうだ。
この際、国連PKI を作って、それを Root にしちゃって、GPKI は中間CAになればいいのに、なんて思った。ダメかな?
Re:そういうことを言っているのではないのでは? (スコア:1)
まぁ、それはそうですね。
ただ、CA の位置づけとその意味からすれば今回は自身が root CA である方が正しいっちゃ正しいのですが。。。
> とはいえ、各国の GPKI の Root CA の証明書を事前にストアするのは大変そうだ。
> この際、国連PKI を作って、それを Root にしちゃって、GPKI は中間CAになればいいのに、なんて思った。ダメかな?
たしかそういう動きもなくはないはず。
ただ、認証ポリシーが違うものをどう認証すべきかという問題が発生してしまうので、原理的に考えれば考えるほど実現しにくいのかも。(じゃぁ、民間企業からたぐれても同じじゃんになっちゃうし)
でも、それよりも「なにを認証しているのか」という時に『ブリッジCA』の存在自体の方が問題。
Re:そういうことを言っているのではないのでは? (スコア:1)
他者に依存しないという意味があります。
# それを意識してのこのスレッドの始まりだと思いますのでID
Copyright (c) 2001-2014 Parsley, All rights reserved.
Re:そういうことを言っているのではないのでは? (スコア:1)
そう考えて、それがよしという判断をする組織であれば(仮定)、既にしているのでは?
Copyright (c) 2001-2014 Parsley, All rights reserved.
Re:そういうことを言っているのではないのでは? (スコア:1)
> 他者の認証局への依存が心配というのなら、複数の認証局からのサーバ証明書を事前に用意しておいて、どこかの認証局で不都合が起きた時点で別のところの証明書に切り替えるようにすればよい。
https の「確認パス」というテクニカルな面からいえばその通りなのですが、手続き的に言えば(というか、実際にベリサインのクラス3認証を取ろうとするとかすると)『その認証局が何を認証するか』ということが大事に、というより実際の手続きで必須になるんですけど、この場合日本国の事業としてやっている認証局のサーバをどこかの会社に認証してもらうというのはおかしな話になっちゃうよねぇ、ってことだったのでした。
(例えばベリサインが日本という国の事業を調査して『大丈夫』とか言うの?って話)
サーバの出す情報と今回の個人認証は切り離されている、という理解の仕方もあるかもしれませんが、信用のリンクと言う意味ではつながっていると理解した方がより自然なんじゃないかと思ったりしています。
Re:そういうことを言っているのではないのでは? (スコア:1)
それ、そんなにヘンなことじゃないです。例えば、ムーディーズは日本道路公団なんかの格付けを発表していますね。国家や政府機関・地方自治体に対して格付けという認証を行っているわけです。
# 頼まれもしないのに勝手にやってくれるわけですが(笑)。
ただ、その会社に問題が起こったときにどうするか、というリスクと、自前で認証局を運用するコストを比較したときに、どう判断するかはまた別問題です。
Re:そういうことを言っているのではないのでは? (スコア:1)
自己認証局の意味で使う場合と、信頼の基点という意味で使う場合があり、往々にして混乱の元になります。信頼の基点は、検証者が独自の判断で決めればよく、自己認証局である必要はありません。ここはよく知ってるから中間認証局だけど信頼する、でも、その上位の認証局は信用しない、という判断もありえます。
Re:そういうことを言っているのではないのでは? (スコア:1)
そのために利用者手引きとか、いろいろ用意してあるんだから、許してあげましょうよ。
> この際、国連PKI を作って、それを Root にしちゃって、GPKI は中間CAになればいいのに、なんて思った。ダメかな?
難しいんじゃないかな。ポリシマッピングの問題等、いろいろあるだろうし。
それより、国内で発売するブラウザに、GPKIのCA証明書をインストールすることを義務付ける法律でも作った方が良いんじゃない?
もっとも、それではIEユーザは救えるかもしれないけど、それ以外は...
Re:そういうことを言っているのではないのでは? (スコア:1)
国連が上位ではなく、各国の協力の下(もと)に国連が存在するのだ。とか言い出す国がありそう。
Copyright (c) 2001-2014 Parsley, All rights reserved.
Re:そういうことを言っているのではないのでは? (スコア:1, すばらしい洞察)
良い点・悪い点 (スコア:2, 興味深い)
私も、外国に行く予定なんかないのに身分証明のためだけにパスポートを作りました。
ただ、特定のOSというか開発企業自身がナローバンド切捨て宣言したOSに依存するのは、如何なものかと思います。
今はまだこのレベルですが、もし行政サイドが今の方向に進んでいけば、いずれブロードバンドなしでは、まともに行政サービスも受けられないという事態も考えられますし。
Re:良い点・悪い点 (スコア:1)
>今はまだこのレベルですが、もし行政サイドが今の方向に進んでいけば、いずれブロードバンドなしでは、まともに行政サービスも受けられないという事態も考えられますし。
銀行なんかがそうであるように、窓口業務がなくなることは当分ないんじゃないでしょうかね。
お年寄りもいるし(笑)
単に今回は銀行のオンラインバンキング(の一歩手前くらいかな)みたいなのを
はじめましたよ、って程度に理解しておりますが。
ネットに慣れた人の多い今の若い世代がお年寄りになるころには、
ブロードバンドなんて死語になっていそうな気がしますがどうでしょう。
やってるところもある (スコア:2, 参考になる)
国交省には負けてらんないぞ!
さっそく登録してきた (スコア:2, 参考になる)
しかしお客さんは少ないとみえ、申請者リストの一番上に「1番」という番号とともに名前が載った。
住基カードの申請を含めて、4枚の書類に名前と住所を書かされた。とりわけ「カードを渡した」「電子証明書を交付した」ことの「回答書」なんてものがあって、受け取ったことを否認できないようになっているようだ。
申請の最初と最後に、「○○県では、まだ証明書を使うことはできませんが、いいですか?」と2回念を押された。
うーん。
Windowsが7割? (スコア:1)
という元記事の指摘は、クライアントOSの話なんだろうか。Windowsが7割というのは意外に小さいもんだな、と変なところで感心してみたり。
これから困るぞ (スコア:1, 興味深い)
ことになりはしないか?馬鹿役所さん。
そのクライアントのバージョンアップに今後いくら掛かるのだろ
うか?
百歩譲って専用クライアントを利用する方法を認めたとしても、
こんな時代だからこそJavaかなんかで環境依存なしのクライアン
トを作っておこうとか考えなかったのか?
ゲーム機でもブラウザの利用が可能となり、ましてや携帯電話でも
ブラウザが内蔵されている昨今、専用クライアントを用意する必然
性は全く無い訳で、やがては使われなくなって公費の無駄使いの
一例になるだけのような気がする。
Re:これから困るぞ (スコア:1)
> トを作っておこうとか考えなかったのか?
http://www.jpki.go.jp/serviceguide/jpki_sgd_spec.html
> JavaVM
> Javaアプリケーションやアプレットを利用した行政手続きを行う場合は、次のいずれかが必要です。
>
> (JREの要否や使用できるバージョンは、行政手続きシステムの環境条件によって異なります。)
バッチファイルが環境依存 (スコア:1, 参考になる)
Javaで作った部分が環境依存でなくても、バッチファイルが環境依存のようです。
・バッチプログラム(registCaCert.bat) [jpki.go.jp]
バッチファイルの開発には「費用がかさむから、というのが総務省自治政策課の説明らしいです」?
というのは嘘で、ICカード読み書きドライバがWindows用しか用意されていないところがネックなのではないかと。ICカードドライバって、MacやLinuxではどうなってます?
Re:バッチファイルが環境依存 (スコア:2, 参考になる)
確かにそんな気がしてきた…。
そういえば FeliCa(PaSoRi) も Windows 専用。
http://www.sony.co.jp/Products/felica/pcrw/fsc_dl.html [sony.co.jp]
Re:これから困るぞ (スコア:1)
> Javaアプリケーションやアプレットを利用した行政手続きを行う場合は、次のいずれかが必要です。
Rava [tuat.ac.jp]
これでは動きませんかそうですか。
Re:これから困るぞ (スコア:1)
>トを作っておこうとか考えなかったのか?
技術的に見ればそうかもしれませんが、
Javaだと想定外の環境で動作させられた場合に問題が発生したら
困るから単に専用クライアントで安全策をとっただけじゃないか
って気もしたりしなかったり。
#実際に安全かは別問題だけどね :)
環境依存しないプログラムにした場合、動作環境が想定時と同じように
動いてくれる保証がないからこういうプログラムを頼まれたら
私なら(現状のJavaでは)やりたくないですね(笑)
よほどブラウザ経由にしたらなんか問題があれば責任転嫁できるので(ぉぃぉぃ
銀行のオンライン取引みたいにしちゃうって手はどうなんでしょうね。
Re:これから困るぞ (スコア:1)
ブラウザ経由->ブラウザだけで済む、ってことで(笑)
まあICカードリーダの問題でしょうねぇ。
利点を語ると (スコア:1)
と、いっても他人のリソースを借りて、だけど。
総務省によると、公的認証を民間企業が使うことができるようになるそうで、ここにあるPDF [soumu.go.jp]の最後のページの例では、銀行の口座開設がオンラインでできるようになるそうな。今までは郵送で書類のやりとりをしなければならなかったけど、それが不要になる……かも。
誰か使えている人はいますか (スコア:1)
マニュアル [jpki.go.jp]を読むと、CDから利用者クライアントソフトをインストールして
いない環境では使えないようですね。肝心のJNI部分が、サーバ上にないのです。
#セキュリティ上問題あるんでしょうか>富士通さん
Re:ま (スコア:3, すばらしい洞察)
NDA等も含めた一定の手続きを踏めばインターフェースの仕様を公開してくれる、
とかはやってくれてもいいとおもう。
(もちろん費用のサポートもしてくれればなおいいですが・・)
(そうすればApple Japanがクライアントソフトの開発に名乗りを上げることを期待・・・)
Re:ま (スコア:1)
Re:ま (スコア:1)
仮にSSLだとして、tcpdumpで解析できるんですかね?
ドライバに限らず (スコア:1)
そうですね。ドライバに限らず、ICカードを採用する時点で
どこかのメーカーに偏りが出てしまうはずです(ソニー,NTTなど)。
企業に対する偏りを完全に無くすのはまず無理な話です。
同じ偏るならどこに偏るかという選択の結果、Windowsになるのは
そんなもんだろう、だと思います。
Re:ドライバに限らず (スコア:1, 参考になる)
> どこかのメーカーに偏りが出てしまうはずです(ソニー,NTTなど)。
そんなことありませんよ。タレコミのリンク先にあるリンク先のページを読んでない?
⇒ICカードリーダライタの情報 [jpki.go.jp]
仕様公開はやってるそうですよ。 (スコア:1)
>問
>国税庁が提供するe-Taxソフトに対応するOSはWindowsだけですか。
>e-Taxでは、Macintoshは使えないのですか。
>
>答
>国税庁が提供するe-Taxソフトについては、Windows対応のみですが、民間
>のソフトウェア開発会社がMacintoshなどWindows以外のOSにも対応する
>ソフトウェアを開発し、納税者等の方に提供することが可能となるよう、
>このソフトウェアのデータ形式等について、仕様を公開しています。
らしいです。まあ、丸投げといえばそれまでですがね。
ただ、これは私企業のサービスではなく行政のサービスなわけで、納税者の一部である他OSのユーザを無視するのはいかがなものかと。Macユーザあたりは結託して訴訟起こせるんじゃないかと思ったり。
ところで、こういう議論をする場合のOSのシェアってパソコンの台数で計算されることが多いけど、パソコン人口に占めるMacユーザ人口の割合なんかのデータみたいなものにお目にかかれないのはなんでだろう。出したらおもしろい数字になりそうなんだが。 [nta.go.jp]
MSしばり? (スコア:2, すばらしい洞察)
「この書類の記入には、XXX社製のペン(8000円)をご使用下さい」
申請書類の記入なんて(個人認証をうけるための準備)のは、中身がちゃんとしていればいいわけで、 文房具(OS)まで指定されるいわれは無いと思います。
100円ショップで3本入りのボールペンで書きたい
とか
お気に入りのペンで書きたい
って人、更には
書類を書くために、わざわざペンを買わなきゃいけないの
とか言う人が増えるでしょうね。
そりゃ、開発費がかかるのは分かりますが…
Re:ま (スコア:1, すばらしい洞察)
>そういうことを言うユーザーはまかーとうにくさー位なもんなので、
>お役所から見たらたいしたもんじゃないと思いますよ(笑)
端末のシェアということで考えれば、携帯の方から先に対応してもよかったんじゃないかと...
Re:ま (スコア:1)
#この手のものは、最初から他プラットフォームへの移植を前提に開発すべきだと思う。
Re:ま (スコア:1)
個人的にはこのような物の場合は、サーバー側のインターフェイス仕様だけを役所側が公開してクライアントについては各位、各所が作るっていうモデルの方が良いですね。まぁリファレンスとしてクライアントを作る分には文句がないですが。
このシステムが税金使って作ったパブリックドメインな物という感覚が役所側にないんでしょうね。
== ishisaka(tadahiro@isisaka.com)
Re:OSに依存するの? (スコア:3, 参考になる)
> Windowsじゃないと利用できない機能、とかあるんでしょうか。
この電子認証の仕掛けはいじったことないのでわかりませんが、ICカードを使うとのことなので、そのドライバまわりが Win 依存になったりするんじゃないかと思います。
少なくとも公共入札システムの認証のやつはそんな感じでした。
セキュリティ的に見た場合、そのあたりに攻めやすそうなポイントがあるような気がします。
でもって、全国的にほぼ同一構成のシステムなんでヤられたら『一気』みたいな話がしなくもない。
その意味では携帯電話を使うようにした方がよかったという意見に一票。
Re:OSに依存するの? (スコア:1, すばらしい洞察)
利用した相互接続システムをやったことがありますが、
ちゃんとした基本設計とインタフェース設計ができていればOSに依存する理由はないです。
単に作る側の怠慢というか、予算と発注者側の無知だと思います。
Re:OSに依存するの? (スコア:1)
それを使用した個々の実装ってのは「必ずOSに依存」してしまうわけですから...
それは怠慢や無知というのとはちょっと違うのではないかと.
みんつ
Re:OSに依存するの? (スコア:1)
物理的にはUSBデバイスでしかないんですがね
「実装するやつがいなくては仕様もただの紙」でしかないわけですが
みんつ
Re:ま (スコア:1)
>補足。「特定のOS」を「特定の企業の製品」と読み替えると納得がいきやすいかと。
じゃあ○ECのPC-98○1まんせーだったころにMZとかで処理できなかったのも
文句を言ってよかったのですね!
当時はPC-980○で動かないのは至極当然って感じでしたがそれは
実は間違いだったのか。
今でもハードやソフト的な問題でいろいろ現役ですが(笑)
#勉強になりました。
Re:ま (スコア:1)
コストがかかってる割に受益者の少ない行政サービス、というのは古今東西整理検討対象の筆頭かと。
それら「非効率なサービス」のすべてが「淘汰されるべきもの」とは言いませんが…
>補足。「特定のOS」を「特定の企業の製品」と読み替えると納得がいきやすいかと。
むしろ「特定の企業の製品」と読み替えるから見えなくなってるんじゃないかな。
「特定の企業の製品の利用者」と考えるから雑音wに惑わされるのであって単純化すれば「該当行政サービスによる受益者」が多いか少ないかというだけの話。
3rdパーティによる開発も可能であるようだし、何から何まで「お上」から投げ与えられることを期待するのもね。
Re:ま (スコア:1)
ただ、他の投稿に載ってた総務省のウェブサイトのQ&Aには、 「公開」の文字はありましたけど、どこに公開されているかは 不明。それが一番キモチ悪いわけで。
第一、必要だと思ったら自分でつくったりするでしょ? UNiXerならさぁ。
fj.jokes出身:
Re:ま (スコア:1)
#私はまかー
みんつ
Re:windows 専用というのでちょっと期待したのですが (スコア:1)
#Lindowsは関係ねー。
Re:もう終わっている (スコア:2, すばらしい洞察)
そもそも、必要なOSは
・Microsoft Windows XP (Service Pack 1適用)
・Microsoft Windows 2000 (Service Pack 4適用)
・Microsoft Windows 2000 (Service Pack 3適用)
・Microsoft Windows 2000 (Service Pack 2適用)
・Microsoft Windows NT (Service Pack 6a適用)
・Microsoft Windows Millennium Edition (Me)
・Microsoft Windows 98 Second Edition (SE)
と、ありますし、
古いOSでしか動きませんなんて、どこにも書いてないように思えますが?
#われながらおとなげないのでAC