アカウント名:
パスワード:
リンク先の過去記事
> 教委側は損害額を約1億6500万円と算定している。> これは「この問題の対応費用」約1億円に加えて、> ネットワークの再構築費など約5000万円、> それに諸経費を加えたものだという。
それ以前にまず、
> 児童生徒など約4万7000人の個人情報が流出
に対する補償をするのが筋なんじゃないか。#一人500円で2350万円? 対応費用の内?
同じ過去記事に
> お、不正アクセスによって小中学生らの個人情報が流出した可能性が高いとされているものの、> 流出したという証拠となるものは現在のところないようだ。
とあるな。
そういうこともひっくるめて、NTT東が「うちに責任はない」と言ってるってことでは。
これだけの記事だとわからないため単なる推定ですが,内部ネットワークやその機器はNTT東の管理でなくて,NTT東管理の公開サーバーやファイアウォールがだめでも,内部ネットワークのマシンがきちんとしていれば,流出することはなかったということでしょうか。だから公開サーバの直接的な損失以外の補償は必要ないと。
前橋市は問題のサーバーの保守管理はNTT東が請け負っていたという。NTT東は責任範囲外という。矛盾してるよな。こういう場合は大抵契約無視でごねてるものだけど、さあどっちでせう。
報告書がhttps://www.city.maebashi.gunma.jp/material/files/group/95/houkokusyo.pdf [gunma.jp]にありますが,これでもわからないです。踏み台になったことは確かみたいですが,流失したデータを保存したサーバはどこが管理していたかです。あと市の情報政策課は,情報セキュリティの監査の中で,人的セキュリティ(USB,パスワードなど)に関する監査については市教委を含めて実施していた。しかし,技術的セキュリティに関する監査は,行政ネットワークについては順次実施していたが,MENET については実施していなかった。また,市教委は,自身が行う MENET についての自己点検を実施していなかった。とも書いてあります。
かな。ただ東京地裁H23(ワ)32060号などを考え合わせると NTT東側の脇の甘さが目につくように思われますけど。
報告書ではバックドアが仕込まれた『教育資料公開サーバの管理は,市教委の中の前橋市総合教育プラザ』と書かれています。
データを保存したサーバは内部のファイルサーバで、ドメインコントローラに管理者アカウントで接続した、とあるので、公開サーバに仕込んだツールでIDとPWを抜いたんですかね?
DMZから内部に接続できる設定のFWを納品したNTTも致命的ではあるけど、意思伝達漏れで公開サーバを管理者不在にして放置した前橋市総合教育プラザもなんらかの過失は問われるべきかと。
ドメインのメンバーのPC、サーバーは自閉が出来ない(ドメインサーバーの予期しないタイミングのアクセスに 全て答えないと、ドメインネットワークでなくなる。)のでは?
RODCがいればそのメンバ自体がネットワーク境界を超える必要はないね。
RODCは、DC自身のセキュリティーを高める(ROなので、施錠されていない所に置いてもOK)為のみで、
やはり自閉出来る訳では無く、ROで無いDCとの通信は必要で、そのポートを利用してDomain Adminsがリモートで各PC、サーバーにサインイン出来るのでは?
DC-RODC-メンバの構成はできますよ。というかしてますよ。あと意外と勘違いしてるかもですが、もともとActive Directory自体メンバ側はオフライン運用もできます。
でも、そのメンバPCが、ドメインの信頼関係に頼った共有フォルダのアクセスをしたいなら、SMBのボートは、双方向でアクセス可能(FW的にはざる)にしないといけなく、それはオフライン運用とは言えないのでは?
http、httpsのように一方向+そのセッションに限り双方向でその共有フォルダの良さを享受しようと、VPNルータを買って、やって見たのですが、いくらやっても駄目でした。
「流失したデータ」ってかなり深刻な被害ですね。
命題①前橋市の主張は、問題のサーバーの「保守管理」はNTT東が請け負っていた命題②NTT東の主張は、「外部からのアクセス制限やセキュリティアップデートを適切に行っていなかった」のは責任の範囲外
NTT東の主張は、請け負った保守管理契約において「外部からのアクセス制限やセキュリティアップデートを適切に行う」は瑕疵責任に含まれないであり、言うほど矛盾しているかね?
例えばハードウェアの故障に関する保守契約だけを結んでるなんてよくある話だよね。それなのに特定のソフトが動かないと電話かけてくる客も良くある話。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
最初のバージョンは常に打ち捨てられる。
そもそも論 (スコア:0)
リンク先の過去記事
> 教委側は損害額を約1億6500万円と算定している。
> これは「この問題の対応費用」約1億円に加えて、
> ネットワークの再構築費など約5000万円、
> それに諸経費を加えたものだという。
それ以前にまず、
> 児童生徒など約4万7000人の個人情報が流出
に対する補償をするのが筋なんじゃないか。
#一人500円で2350万円? 対応費用の内?
同じ過去記事に
> お、不正アクセスによって小中学生らの個人情報が流出した可能性が高いとされているものの、
> 流出したという証拠となるものは現在のところないようだ。
とあるな。
Re: (スコア:0)
そういうこともひっくるめて、NTT東が「うちに責任はない」と言ってるってことでは。
Re: (スコア:3)
これだけの記事だとわからないため単なる推定ですが,内部ネットワークやその機器はNTT東の管理でなくて,
NTT東管理の公開サーバーやファイアウォールがだめでも,内部ネットワークのマシンがきちんとしていれば,
流出することはなかったということでしょうか。
だから公開サーバの直接的な損失以外の補償は必要ないと。
Re:そもそも論 (スコア:0)
前橋市は問題のサーバーの保守管理はNTT東が請け負っていたという。
NTT東は責任範囲外という。
矛盾してるよな。
こういう場合は大抵契約無視でごねてるものだけど、さあどっちでせう。
Re:そもそも論 (スコア:3)
報告書が
https://www.city.maebashi.gunma.jp/material/files/group/95/houkokusyo.pdf [gunma.jp]
にありますが,これでもわからないです。
踏み台になったことは確かみたいですが,流失したデータを保存したサーバはどこが管理していたかです。
あと
市の情報政策課は,情報セキュリティの監査の中で,人的セキュリテ
ィ(USB,パスワードなど)に関する監査については市教委を含めて実
施していた。しかし,技術的セキュリティに関する監査は,行政ネット
ワークについては順次実施していたが,MENET については実施してい
なかった。また,市教委は,自身が行う MENET についての自己点検を
実施していなかった。
とも書いてあります。
Re:そもそも論 (スコア:1)
かな。ただ東京地裁H23(ワ)32060号などを考え合わせると NTT東側の脇の甘さが目につくように思われますけど。
Re: (スコア:0)
報告書ではバックドアが仕込まれた『教育資料公開サーバの管理は,市教委の中の前橋市総合教育プラザ』と書かれています。
データを保存したサーバは内部のファイルサーバで、ドメインコントローラに管理者アカウントで接続した、とあるので、公開サーバに仕込んだツールでIDとPWを抜いたんですかね?
DMZから内部に接続できる設定のFWを納品したNTTも致命的ではあるけど、意思伝達漏れで公開サーバを管理者不在にして放置した前橋市総合教育プラザもなんらかの過失は問われるべきかと。
Re: (スコア:0)
ドメインのメンバーのPC、サーバーは自閉が出来ない
(ドメインサーバーの予期しないタイミングのアクセスに
全て答えないと、ドメインネットワークでなくなる。)
のでは?
Re: (スコア:0)
RODCがいればそのメンバ自体がネットワーク境界を超える必要はないね。
Re: (スコア:0)
RODCは、DC自身のセキュリティーを高める
(ROなので、施錠されていない所に置いてもOK)為のみで、
やはり自閉出来る訳では無く、ROで無いDCとの通信は
必要で、そのポートを利用してDomain Adminsがリモートで
各PC、サーバーにサインイン出来るのでは?
Re: (スコア:0)
DC-RODC-メンバの構成はできますよ。というかしてますよ。
あと意外と勘違いしてるかもですが、もともとActive Directory自体メンバ側はオフライン運用もできます。
Re: (スコア:0)
でも、そのメンバPCが、ドメインの信頼関係に頼った
共有フォルダのアクセスをしたいなら、
SMBのボートは、双方向でアクセス可能(FW的にはざる)に
しないといけなく、それはオフライン運用とは言えないのでは?
http、httpsのように一方向+そのセッションに限り双方向で
その共有フォルダの良さを享受しようと、
VPNルータを買って、やって見たのですが、いくらやっても
駄目でした。
Re: (スコア:0)
「流失したデータ」ってかなり深刻な被害ですね。
Re: (スコア:0)
命題①前橋市の主張は、問題のサーバーの「保守管理」はNTT東が請け負っていた
命題②NTT東の主張は、「外部からのアクセス制限やセキュリティアップデートを適切に行っていなかった」のは責任の範囲外
NTT東の主張は、請け負った保守管理契約において
「外部からのアクセス制限やセキュリティアップデートを適切に行う」は瑕疵責任に含まれない
であり、言うほど矛盾しているかね?
Re: (スコア:0)
例えばハードウェアの故障に関する保守契約だけを結んでるなんてよくある話だよね。
それなのに特定のソフトが動かないと電話かけてくる客も良くある話。