中央省庁システムに「重大な危険」が多数発見される 39
ストーリー by Oliver
対策は問題の存在を認めるところから始まる 部門より
対策は問題の存在を認めるところから始まる 部門より
MIYU曰く、"政府の
高度情報通信ネットワーク社会推進戦略本部・情報セキュリティ対策推進会議で、昨年7~12月に中央14省庁を対象に行った情報システムの検査の結果が報告された事を、朝日新聞、読売新聞が伝えています。
報道によると、データ改ざんや外部からの侵入が可能などの危険度が高い「弱点」が153カ所発見されています。外部から侵入しシステムを自由に操る事ができるレベルの「重大な危険性」が9カ所、省庁内から内部犯行を試みた場合に情報の改ざんが可能と見られるケースが144ヶ所有ったようです。また、どんなソフトが使われているかなど情報システムの中身がのぞかれてしまう「中程度の危険性」も、633カ所発見されています。
情報システムへの不正侵入では有りませんが、昨日は関東農政局のパソコン7台がブラスターワームに感染した事例が
毎日新聞で報道されていました。政府は情報システムの安全性を確保する為、省庁間の統一ルールの策定に乗り出す方針だそうです。"
そんなことよりも (スコア:4, おもしろおかしい)
たくさんあるから、コンピューター上の「重大な危険」なんて
たいした問題ではないような気がするのですが、気のせいでしょうか。
Re:そんなことよりも (スコア:1)
コンピュータを使う人にもパッチが必要かもしれませんね。
Re:そんなことよりも (スコア:2, おもしろおかしい)
情報システムの中の人になってもらって
一生外に出さないようにするとか.
ぶっちゃけ話 (スコア:4, 興味深い)
10年前に某省のシステム開発をした時は、セキュリティ監査の「セ」の時も無かった。ある時、現地に行ってみたら、当初はローカルだったはずのシステムが、勝手に省内のLANにぶらさがってた。こいつはヤバかった。リモートメンテナンス用のMODEMとか付いてたんで、結局、向こうの担当者に事情を説明して外してもらった。
それでも、5,6年前くらいからは、ちゃんとRFPにセキュリティ要件が記載されるようになり、省内のシステム管理部門からのチェックも入るようになった。
とは言っても、古いシステムも残ってたりして、密かな「穴」はあったんだと思うし、実際、そのような監査の本質的な部分は、省から委託されたどこぞの業者の技術者がやってるわけで、省の人間はその業者にまる投げしてる状態。なわけで、監査の結果はどうだったのか、監査がどこまでちゃんと機能してるかということは、公開もされず、きちんと評価されてなかったのではないかと思う。
で、今になってちゃんと省から独立した団体が監査を行い、その結果をちゃんと公開するようになったわけで、まあ、ゆっくりとは言え、改善方向に向かっているわけで、そこんところは評価しても良いと思う。
Re:ぶっちゃけ話 (スコア:0)
企業でもほんとにしっかりしてるとこなんて一握りなんだし、危険性の
発見を隠さないところも好感が持てますよ。今後に期待だ。
Re:ぶっちゃけ話 (スコア:0)
10年前。1994年。
ん~と、記録と付き合わせて思い出してみると
1990年に米国でNorton AntiVirus 1.0がリリース。
1994年9月に日本法人設立。
1995年にWin95発売に合わせてNAV for Win95リリース。(米国?)
Re:ぶっちゃけ話 (スコア:0)
ウイルス感染は問題になってたけど
もしかして、住基ネットに感染したのかなぁ・・・・ (スコア:1, 参考になる)
こんなケースもあるんですねー
ウイルス入れてゴメン…NECが宝塚市に謝罪 [zakzak.co.jp]
Re:もしかして、住基ネットに感染したのかなぁ・・・ (スコア:2, 参考になる)
#表ざたになってるのは、感染したことが新聞ネタになったトコだけだから、目立たないだけ。
Re:もしかして、住基ネットに感染したのかなぁ・・・ (スコア:1)
最近のセキュリティホールからは (スコア:1)
Re:最近のセキュリティホールからは (スコア:1)
みんなが迷惑です。
I'm feeling Lucy
存在自体が (スコア:1, おもしろおかしい)
#さぁみんなでノーガド♪
ノーガード戦法の応用 (スコア:2, おもしろおかしい)
足りない、税収が落ち込んでるって叫ばれる状況だから、国家・国民の情報を
エサにしてクラックしてもらって国家でノーガード戦法やって、訴訟して国家
予算を稼ごうと言う○○○の涙ぐましい努力を、なぜおまいらは理解出来ない?
# ネタだから。○○○は好きな文字入れて
Re:ノーガード戦法の応用 (スコア:0)
気にしてません (スコア:0)
ぜい弱であろうが自ら直すこともしないし調べようともしない。
毎回ですが、なにか問題が起こってからじゃないと動かないと思います。
私としてははじめから漏れることを想定して
個人情報は扱わないだけでいいと、
それだけです。
Re:気にしてません (スコア:3, すばらしい洞察)
そのようなデータを取り扱う省庁においては、このような指摘を受けたのならば、まずは自らが率先して速やかに且つ厳粛に事に当たって欲しいものです。
それが出来ないのであれば各省庁同士のネットワークは専用線で繋ぎ、外部とは接続しないようにする。。。くらいのことはやって欲しいと思う今日この頃。
そうでなければ、いつか機密情報が漏れそうで気が気ではありませんです。
Re:気にしてません (スコア:1, すばらしい洞察)
ほどこしても、それを扱う人の意識が低いと
まったくの無駄になるだけでしょう。
Re:気にしてません (スコア:2, 興味深い)
・あちこちのPCにおもいっきりパスワードが貼ってある
・パスワードは人に分かるようにに簡単なもの
がデフォルトになっていてびっくりしました
それとなく聞いてみると
だって、人のパスワードが分かんなかったらそいつが休んだとき仕事できないじゃん
ホントに勘弁して欲しい・・・
Re:気にしてません (スコア:0)
>・パスワードは人に分かるようにに簡単なもの
私が言った某県庁ではパスワードが貼ってるPCは見なかったです。
ただ、みんなパスワードは空白にしてるらしいですが。。。
(私が担当した部署の数人だけの話だと信じたい)
Re:気にしてません (スコア:1)
特に対財務省やら所管が重複しそうな省庁同士で。
漏洩防止が出来ないのであれば各省庁同士のネットワークは絶って、外部のみ接続する。。。くらいのことは思っている官僚はいるでしょうねぇ。
Re:気にしてません (スコア:0)
それは漏れなければ国益を損なってないのでしょうか?
そんな情報を取り扱ってる時点で既に国益を損ねていないのでしょうか?
Re:気にしてません (スコア:1)
こういう情報は諸外国にダダ漏れになるとかなり防衛戦略上ズイマーと思います。
また諸外国のスキャンダラスな情報なんかもひょっとしたら持っているかも知れません。
もしこんな情報が日本から表に漏れると外交戦略上かなりまずいと思いますです。
こういうのは漏れると国益そこないますが、漏れなければ国益を損なうことは無いと思うのです。
Re:気にしてません (スコア:0)
Re:気にしてません (スコア:1)
>>それは漏れなければ国益を損なってないのでしょうか?
>>そんな情報を取り扱ってる時点で既に国益を損ねていないのでしょうか?
>言葉の意味が良く分かりませんが・・・。
たぶん#507444氏は「表に漏れると日本(政府)の信用が損なわれるようなスキャンダラスな情報」を想定しているのでしょう。内偵対象者の一覧などの、警察・防衛情報のような、漏れては困る情報は、ぱっと思いつかなかったのでしょう。
Re:気にしてません (スコア:0)
> 漏れては困る情報は、ぱっと思いつかなかったのでしょう。
内偵対象者一覧が常に公開状態ならば犯罪抑止になるかもしれない。
「決定的証拠が上がる
Re:気にしてません (スコア:0)
内偵対象者の一覧が漏れるとどう国益を損ねるのですか?
#国益の意味わかってないんじゃないのかなぁ~?
Re:気にしてません (スコア:1)
例えば内偵リストに外国のスパイが載っていて、それが漏れたら、
他の人に変わっちゃったり、オトリとして使われちゃったりして
困るかも。
スパイじゃなくてテロ要員(支援者)でもいいかもだ。
#面白そうだから考えてみただけで、別に擁護したいわけでもないです
Re:気にしてません (スコア:0)
Re:気にしてません (スコア:2, 参考になる)
#かつ住基ネットとはまったく別物です。
で、省庁間を結んでいるのは、霞が関WAN [soumu.go.jp]
両者の関係は、ここ [ninsho.co.jp]が一番すっきり説明していると思います。
というわけで、自力でserverを立てる能力の無い機関は、霞が関WAN側で
serverを立ててくれるというのに、片意地張って出来もしないことを
やる役所があるせいで、全体のセキュリティレベルが落ちるという…。
Re:気にしてません (スコア:0)
Re:気にしてません (スコア:1, 参考になる)
できないなら「できない」と はっきり言いましょう。
人の為でもあります。
//最近自分のPCの調子がおかしく 人のこと言えないのでAC
Re:気にしてません (スコア:1)
というか、それ以前の問題だって山積みなんで、コンピュータ関連なんぞ後回しでも良いからもうチトまともにやって貰わないと。
システムのセキュリティなんて、結局はソーシャルな危険がある程度以下(せめて問題が起きたら住民が驚く程度には)でないと語る意味すらないですよ。
Re:気にしてません (スコア:0)
・お役所のコンピュータで個人情報を扱わない
→情報が漏洩するという前提で話をしている人は、
「コンピュータが無くても漏洩する」と思っているでしょう(推測)
・お
情報システムの中身がのぞかれてしまう (スコア:0)
Re:情報システムの中身がのぞかれてしまう (スコア:2, 参考になる)
入れただけなのでは。
「不要な情報の開示」のたぐいならだいたい中程度に分類されるし。
チェック項目の一覧をwebで探したけど見つからない……
Re:情報システムの中身がのぞかれてしまう (スコア:2, 参考になる)
データ改ざんや外部からの侵入など、危険度が高い「弱点」
情報システムについて、情報改ざんや漏えいの恐れがある事例
(153件の「弱点」のうち外部から自由に操ることができたり、
電源を自動的に切ったりできる「重大な危険性」9件を除いた事例)
(153件のうち、)省庁内から内部犯行を試みた場合、情報の改ざんが可能と見られるケース
どんなソフトが使われているかなど情報システムの中身がのぞかれる「中程度の危険性」
(言及なし)
(“外部から省庁のホームページを閲覧しながら内部ネットワークに侵入し、
個人情報が盗み出される恐れがあるケース”?)
うーん、具体的なことを知るには元の情報源に当たったほうがいいよーな気がします。
でも公開はされてるんでしょうか…
発表内容が ・・・・ (スコア:0)
というわけで、大元のはずの政府の公報ページを探索。
最近の記事は平成15年9月11日
・・・・ 去年の情報しかない ・・・・
というわけで、発表元のリンク表示が有って資料リンクは無し。
タレコミは2新聞の記事の混成になっています。
記事を書いた新聞記者が情報関連の専門性(能力)が高い
とは限りませんし、(この場合取材をしたのは、首相官邸の
担当記者でしょうか?)情報の精度が疑
Re:情報システムの中身がのぞかれてしまう (スコア:2, 参考になる)
え、牛は個人情報ではないって。そうですか、すみません。