不正アクセスの恐れ [雑記]
2010年3月7日(日曜日)の読売新聞の一面トップに、こんな見出しが躍っていました(東京本社発行 14版)。
『193自治体サーバー「危険」』
『財団調査 不正アクセスの恐れ』
『発覚後も約3割対策せず』
YOMIURI ONLINE にも同じ記事「サイバー攻撃に無防備、193自治体」が掲載されています。
記事によれば、地方自治情報センターが地方公共団体に対して実施しているサーバーの安全性などの調査において、複数の団体で問題が発見されているそうです。
---
2008年度は647団体(サーバー3467台)を対象に調査。その結果、問題あるサーバーが全体の3割にあたる193団体で見つかり、うち70団体は特に大量の問題を抱え、「至急改善が必要」とされた。
中には、住民の個人情報を扱いながら、10年以上前に欠陥が発覚した古い暗号化システムを使っているサーバーが495台もあった。また、5年前にソフトウエア会社のサポート期間が終了し、セキュリティー対策が一切とられていない基本ソフトウエアを搭載するサーバーも27台あった。いずれも、センターは「使うこと自体が問題」と指摘する。
(略)
総務省では「自治体のサーバーはネットワーク化されており、一つの障害が全国に波及する恐れがある」として、自治体にセキュリティー強化を促している。
---
古い暗号化システムとは、MD5のことでしょうか。
セキュリティー対策をおろそかにしてはならないわけで、とうぜん充分な予算・リソースを投入する必要があるでしょう。
ただ、私がこの記事で特に気になったのは次の点です。
・記事の情報源について、「財団法人地方自治情報センターの内部資料で分かった」としていること。
・記事中にセンターのコメントがあることから、センターへの取材に基づく記事であると思われること。
・記事中に総務省のコメントもあることから、総務省も了解の上での情報提供であると思われること。
地方公共団体の改善が遅々として進まないことから、喝を入れるために新聞社へ情報提供したのでしょうか。
これが平日なら、記事が出た日は関係部署が大騒ぎでしょうから、あえて日曜日に掲載させたのかも知れません。
もう1つ気になるのは、「自治体のサーバーはネットワーク化されており、一つの障害が全国に波及する恐れがある」というコメントです。
地方自治情報センターのサイトを見ると、このネットワークに該当しそうなものとして住民基本台帳ネットワークや総合行政ネットワークがありますが、これらは「一つの障害が全国に波及する」ようなものなのでしょうか。
たぶんコメントした方は、地方公共団体にセキュリティー強化を促すために取材に応じたのでしょうから、もっと慎重な言い方をしたはずですが、記事だけ読んでネットワークに対して不安を覚える人が出るかもしれません。
紙面の限られた新聞記事ではなく、正確な情報提供がなされると良いのでしょうね。
IT系資格ブログ
『193自治体サーバー「危険」』
『財団調査 不正アクセスの恐れ』
『発覚後も約3割対策せず』
YOMIURI ONLINE にも同じ記事「サイバー攻撃に無防備、193自治体」が掲載されています。
記事によれば、地方自治情報センターが地方公共団体に対して実施しているサーバーの安全性などの調査において、複数の団体で問題が発見されているそうです。
---
2008年度は647団体(サーバー3467台)を対象に調査。その結果、問題あるサーバーが全体の3割にあたる193団体で見つかり、うち70団体は特に大量の問題を抱え、「至急改善が必要」とされた。
中には、住民の個人情報を扱いながら、10年以上前に欠陥が発覚した古い暗号化システムを使っているサーバーが495台もあった。また、5年前にソフトウエア会社のサポート期間が終了し、セキュリティー対策が一切とられていない基本ソフトウエアを搭載するサーバーも27台あった。いずれも、センターは「使うこと自体が問題」と指摘する。
(略)
総務省では「自治体のサーバーはネットワーク化されており、一つの障害が全国に波及する恐れがある」として、自治体にセキュリティー強化を促している。
---
古い暗号化システムとは、MD5のことでしょうか。
セキュリティー対策をおろそかにしてはならないわけで、とうぜん充分な予算・リソースを投入する必要があるでしょう。
ただ、私がこの記事で特に気になったのは次の点です。
・記事の情報源について、「財団法人地方自治情報センターの内部資料で分かった」としていること。
・記事中にセンターのコメントがあることから、センターへの取材に基づく記事であると思われること。
・記事中に総務省のコメントもあることから、総務省も了解の上での情報提供であると思われること。
地方公共団体の改善が遅々として進まないことから、喝を入れるために新聞社へ情報提供したのでしょうか。
これが平日なら、記事が出た日は関係部署が大騒ぎでしょうから、あえて日曜日に掲載させたのかも知れません。
もう1つ気になるのは、「自治体のサーバーはネットワーク化されており、一つの障害が全国に波及する恐れがある」というコメントです。
地方自治情報センターのサイトを見ると、このネットワークに該当しそうなものとして住民基本台帳ネットワークや総合行政ネットワークがありますが、これらは「一つの障害が全国に波及する」ようなものなのでしょうか。
たぶんコメントした方は、地方公共団体にセキュリティー強化を促すために取材に応じたのでしょうから、もっと慎重な言い方をしたはずですが、記事だけ読んでネットワークに対して不安を覚える人が出るかもしれません。
紙面の限られた新聞記事ではなく、正確な情報提供がなされると良いのでしょうね。
IT系資格ブログ
タグ:セキュリティ
「認定を取得」 [雑記]
いささかご無沙汰しておりましたが、ちょっと気になる記事を見つけました。
ITpro "Microsoft、クラウド型サービス・スイート「BPOS」の政府機関向け専用サービス開始"
当該記事で気になる点は2つ。
1つは、身許調査に関する部分です。
---
アクセス可能な人物は少人数に限定し、国際武器取引規制に従って厳しい審査を受けた米国民のみとする。
---
CISAやCISMの勉強をしていると、セキュリティ対策の一つとして「従業員の身許の確認」が重視されることに気づきます。
出自や過去の犯歴等を確かめてからでなければ、うかうかとアクセス権を与えられないということで、テロや犯罪を防ぐためには当然の措置と云えましょう。
しかし日本の政府機関では、要員の国籍や身許をどこまでチェックしているでしょうか。
そもそも日本で身許確認なんて云うと、人権問題が絡んでしまい、取扱いが難しい。
さらに日本の場合は、外資系企業が政府機関のシステム構築に係わることもあります。
米国では、ハード、ソフト、サービス等のどこをとっても自国で賄えて当たり前でしょうが、日本ではそうではありません。
その善し悪しはともかく、日米の違いが端的に表れているところでしょう。
もう1つは、サービスについて説明している部分。
---
セキュリティ管理の認証基準ISO 27001、内部統制の認証基準SAS70タイプIおよびII、暗号モジュールのセキュリティ要件FIPS 140-2などの認定を取得しているほか、家族教育権とプライバシ法、電子記録・電子署名に関する規制などに準拠している。
---
「内部統制の認証基準SAS70タイプIおよびII…の認定を取得している」って言葉づかいはヘンですね。
SAS70は認定したり認証したりするものではありません。監査人が内部統制を評価してレポートを発行することについて定めているだけで、評価結果はレポートを読まなければ判りません。レポートには内部統制が適正ではないと書いてあるかもしれないし、たとえ適正でも前提条件が付いているかもしれません。
ISMSのように審査をクリアしたことを「認定」しているわけではないので、「取得」するものでもありません。
あえて云えば、「SAS70タイプIおよびIIのレポートを受領した」という表現になるのでしょうが、受領だけでは何かを達成した感じがしませんから、「認定を取得」なんて書いてしまうのでしょう。
Microsoftの発表資料によれば、原文には次のように書かれています。
---
Business Productivity Online Suite meets a wide variety of industry standards and certifications, including International Organization for Standardization (ISO) 27001, Statement on Auditing Standards (SAS) 70 Type I and Type II
---
SAS70 を certifications に含めてしまっているようなので、日経BP社の記者が間違えたわけではないですね。
Microsoftの発表資料が、あまり正確ではないようです。
もっとも、SAS70についてこのように表現するのは、何もMicrosoftに限ったことではありません。
米国ではどこもかしこも…ですね。
IT系資格ブログ
ITpro "Microsoft、クラウド型サービス・スイート「BPOS」の政府機関向け専用サービス開始"
当該記事で気になる点は2つ。
1つは、身許調査に関する部分です。
---
アクセス可能な人物は少人数に限定し、国際武器取引規制に従って厳しい審査を受けた米国民のみとする。
---
CISAやCISMの勉強をしていると、セキュリティ対策の一つとして「従業員の身許の確認」が重視されることに気づきます。
出自や過去の犯歴等を確かめてからでなければ、うかうかとアクセス権を与えられないということで、テロや犯罪を防ぐためには当然の措置と云えましょう。
しかし日本の政府機関では、要員の国籍や身許をどこまでチェックしているでしょうか。
そもそも日本で身許確認なんて云うと、人権問題が絡んでしまい、取扱いが難しい。
さらに日本の場合は、外資系企業が政府機関のシステム構築に係わることもあります。
米国では、ハード、ソフト、サービス等のどこをとっても自国で賄えて当たり前でしょうが、日本ではそうではありません。
その善し悪しはともかく、日米の違いが端的に表れているところでしょう。
もう1つは、サービスについて説明している部分。
---
セキュリティ管理の認証基準ISO 27001、内部統制の認証基準SAS70タイプIおよびII、暗号モジュールのセキュリティ要件FIPS 140-2などの認定を取得しているほか、家族教育権とプライバシ法、電子記録・電子署名に関する規制などに準拠している。
---
「内部統制の認証基準SAS70タイプIおよびII…の認定を取得している」って言葉づかいはヘンですね。
SAS70は認定したり認証したりするものではありません。監査人が内部統制を評価してレポートを発行することについて定めているだけで、評価結果はレポートを読まなければ判りません。レポートには内部統制が適正ではないと書いてあるかもしれないし、たとえ適正でも前提条件が付いているかもしれません。
ISMSのように審査をクリアしたことを「認定」しているわけではないので、「取得」するものでもありません。
あえて云えば、「SAS70タイプIおよびIIのレポートを受領した」という表現になるのでしょうが、受領だけでは何かを達成した感じがしませんから、「認定を取得」なんて書いてしまうのでしょう。
Microsoftの発表資料によれば、原文には次のように書かれています。
---
Business Productivity Online Suite meets a wide variety of industry standards and certifications, including International Organization for Standardization (ISO) 27001, Statement on Auditing Standards (SAS) 70 Type I and Type II
---
SAS70 を certifications に含めてしまっているようなので、日経BP社の記者が間違えたわけではないですね。
Microsoftの発表資料が、あまり正確ではないようです。
もっとも、SAS70についてこのように表現するのは、何もMicrosoftに限ったことではありません。
米国ではどこもかしこも…ですね。
IT系資格ブログ
IT業界のイメージアップの費用は? [雑記]
さて、情報サービス産業には、どのような問題があるでしょう?
今月の日本システム監査人協会の月例研究会では、NTTデータ経営研究所の三谷慶一郎氏が、「情報サービス産業の現状と課題」と題して講演されました。
その中で次の4つが論点として挙げられていました。
・人材育成
・ソフトウェアエンジニアリング
・取引慣行の見直し
・グローバル
三谷氏は「人材育成」に関連して、「ITエンジニアの地位向上」と「業界イメージ改善」が必要と語っていました。
まさにおっしゃるとおりだと思います。
IT業界は42Kなどとも云われるようですが、この「~K」という表現は、かつて建設業が3K(汚い、きつい、危険)と呼ばれたところから始まったようです。
たしかに工事現場は無味乾燥な塀で囲まれ、その中からは騒音が響いてくるばかりでしたから、イメージが悪かったでしょう。
ところが久しく以前から工事現場は変わりました。
完成予想図を掲げて周辺住民に理解を求めるのはもとより、仮囲いに可愛い絵を描いたり、花壇や植木を設けたり、クリスマスが近づくとイルミネーションを施したりしています。
特に市街地の工事では、薄汚れた塀が並ぶだけなんて現場はずいぶん減りました。
このようにイメージアップに努めるのは、建設業界も危機感を抱いたからでしょう。
しかし気になるのは、その費用です。
とうぜん絵を描くのも花を植えるのも金がかかります。
コスト低減圧力を受けているのはどこの業界も同じです。入札案件でイルミネーションの費用なんか計上していられるでしょうか?
費用を発注者に回そうにも、コスト低減を迫ってる発注者が呑んでくれるのでしょうか?
実は、工事におけるイメージアップに要する費用は、発注者が認めてくれます。
公共事業の場合は「イメージアップ経費」として、一定率を計上するように定められています。
経費の計算時には「市街地補正」なんて項目もあって、市街地の工事なら更なる増額が認められます(山間僻地でイルミネーションを施しても意味ないですから)。
もちろん、現場周辺の住民に工事を気持ちよく受け入れてもらうために様々なイメージアップ策を取るわけで、イメージアップ経費の計上が建設業者のためだけとは申しません。
しかし、イメージアップ経費の計上を認めるようになったのは、建設業が3Kと呼ばれ始めた頃ですよね。
はたして、同じようにIT業界がイメージアップの経費を受注額に転嫁しようとしたら、発注者は認めてくれるでしょうか?
たとえば、そうですね、システム構築に携わる人々の姿をドキュメンタリー作品にして配信する、なんてことを企画したとしましょう。でも、その製作費を発注者が負担することはないでしょう。
三谷氏の講演では、「情報サービス産業は、『売上高16.7兆円、従業員数82万人』。国内有数の産業となっている」とのことでしたが、まだまだ他業界に比べると地位向上が必要だな、と思います。
IT系資格ブログ
今月の日本システム監査人協会の月例研究会では、NTTデータ経営研究所の三谷慶一郎氏が、「情報サービス産業の現状と課題」と題して講演されました。
その中で次の4つが論点として挙げられていました。
・人材育成
・ソフトウェアエンジニアリング
・取引慣行の見直し
・グローバル
三谷氏は「人材育成」に関連して、「ITエンジニアの地位向上」と「業界イメージ改善」が必要と語っていました。
まさにおっしゃるとおりだと思います。
IT業界は42Kなどとも云われるようですが、この「~K」という表現は、かつて建設業が3K(汚い、きつい、危険)と呼ばれたところから始まったようです。
たしかに工事現場は無味乾燥な塀で囲まれ、その中からは騒音が響いてくるばかりでしたから、イメージが悪かったでしょう。
ところが久しく以前から工事現場は変わりました。
完成予想図を掲げて周辺住民に理解を求めるのはもとより、仮囲いに可愛い絵を描いたり、花壇や植木を設けたり、クリスマスが近づくとイルミネーションを施したりしています。
特に市街地の工事では、薄汚れた塀が並ぶだけなんて現場はずいぶん減りました。
このようにイメージアップに努めるのは、建設業界も危機感を抱いたからでしょう。
しかし気になるのは、その費用です。
とうぜん絵を描くのも花を植えるのも金がかかります。
コスト低減圧力を受けているのはどこの業界も同じです。入札案件でイルミネーションの費用なんか計上していられるでしょうか?
費用を発注者に回そうにも、コスト低減を迫ってる発注者が呑んでくれるのでしょうか?
実は、工事におけるイメージアップに要する費用は、発注者が認めてくれます。
公共事業の場合は「イメージアップ経費」として、一定率を計上するように定められています。
経費の計算時には「市街地補正」なんて項目もあって、市街地の工事なら更なる増額が認められます(山間僻地でイルミネーションを施しても意味ないですから)。
もちろん、現場周辺の住民に工事を気持ちよく受け入れてもらうために様々なイメージアップ策を取るわけで、イメージアップ経費の計上が建設業者のためだけとは申しません。
しかし、イメージアップ経費の計上を認めるようになったのは、建設業が3Kと呼ばれ始めた頃ですよね。
はたして、同じようにIT業界がイメージアップの経費を受注額に転嫁しようとしたら、発注者は認めてくれるでしょうか?
たとえば、そうですね、システム構築に携わる人々の姿をドキュメンタリー作品にして配信する、なんてことを企画したとしましょう。でも、その製作費を発注者が負担することはないでしょう。
三谷氏の講演では、「情報サービス産業は、『売上高16.7兆円、従業員数82万人』。国内有数の産業となっている」とのことでしたが、まだまだ他業界に比べると地位向上が必要だな、と思います。
IT系資格ブログ
タグ:IT業界
外敵対策ITとは? [雑記]
霞が関界隈で目にした看板。
財務省はこちら←
予算が見える化ITはこちら↓
うまい。
広告費が、案内板の維持管理に役立っているのですね。
これは財務省近くの千代田区総合防災案内板でした。
一方、外務省近くの案内板はこうです。
外務省はこちら→
外敵対策ITはこちら↓
うーん、外敵対策IT…。
外務省は外交(diplomacy)を行うのだから、コミュニケーションを取り上げた方が良いのではないでしょうか。
情報セキュリティを謳うなら、外敵への対策だけでは物足りない。
ファイアウォールだって、内部の者が何をしているか把握するようになってきているし。
IT系資格ブログ
財務省はこちら←
予算が見える化ITはこちら↓
うまい。
広告費が、案内板の維持管理に役立っているのですね。
これは財務省近くの千代田区総合防災案内板でした。
一方、外務省近くの案内板はこうです。
外務省はこちら→
外敵対策ITはこちら↓
うーん、外敵対策IT…。
外務省は外交(diplomacy)を行うのだから、コミュニケーションを取り上げた方が良いのではないでしょうか。
情報セキュリティを謳うなら、外敵への対策だけでは物足りない。
ファイアウォールだって、内部の者が何をしているか把握するようになってきているし。
IT系資格ブログ