アカウント名:
パスワード:
日曜日の作られたストーリーであるせいか、あまりコメントがないので賑やかしに流し読みした感想を書きます。なお、以下の記述にはITやセキュリティの技術者でも専門家でもないchuukaiが調査した結果が含まれていますので、眉に唾しながら見て下さい。
まず「別添3-9 政府機関等に係る2013年度の情報セキュリティインシデント一覧」(156頁、PDFでは160/222から)がよいと思いました。政府機関等のセキュリティ問題について、私自身なるべくニュースで把握していたつもりでしたが、見落としていたものもあったことを確認でき、良いまとめだと思います。
私自身が興味を持って調べてきた「意図せぬ情報流出に係る情報セキュリティインシデント」については、年次報告本文に例示がありました。
例えば、2013年7月に問題が表面化した、インターネット上でメールを共有できる無料のクラウドサービスで個人情報や中央官庁の内部情報が誰でも閲覧できる状態になっていた事案や、2013年11月に問題が表面化した、大学でファックスやスキャナーで読み取った学生らの個人情報がインターネット上で誰でも閲覧できる状態になっていた事案、2013年12月に問題が表面化した、入力した全ての文字情報がクラウドサービスのサーバに送信される日本語入力ソフトがインストールされていた事案等が発生している。
1つ目はグーグルの無料メール共有サービス「グーグルグループ」で復興庁、農林水産省、国土交通省、環境省の内部情報が漏れた話、2つ目は東京大学医科学研究所、東北大学、琉球大学の3大学で、ファックスやスキャナーで読み取った個人情報が漏れた話、3つ目はBaidu IMEの話でしたが、固有名詞を入れてくれないとわかりにくかったです。
以上に付け加えて、私が独自に調べて判明した、意図せぬ情報流出に係る情報セキュリティインシデントで特徴的なものを書ける範囲で書いてみます。1.大学の学内に設置されているとみられる記憶装置に、有償のOSのインストールCDファイル(.iso)複数が置かれたまま、長期間外部から閲覧できるようになっていた。2.大学の学内に設置されているとみられる記憶装置に、ゼミの内部情報(在籍中、あるいは卒業した学生の氏名等の個人情報を含む)が置かれたまま、長期間外部から閲覧できるようになっていた。3.政府の広報を作成する機関に設置されているとみられる記憶装置に、内部情報(タイトルに機2という記述が含まれるメールが多数含まれているファイルも存在)が置かれたまま、長期間外部から閲覧できるようになっていた。
私が独自に調べている中では、政府機関そのものからの意図せぬ情報流出に係る情報セキュリティインシデントはありませんでした。政府機関そのものの場合には、年次報告にあるGSOC(Government Security Operation Coordination)センサーが働いて外部から記憶装置の中身が見られてしまうことはないようですが、それと同等のシステムを導入できない大学や独立行政法人では、政府機関に比べてセキュリティリスクにさらされているなあと思いました。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
流し読みした感想 (スコア:3, 興味深い)
日曜日の作られたストーリーであるせいか、あまりコメントがないので賑やかしに流し読みした感想を書きます。
なお、以下の記述にはITやセキュリティの技術者でも専門家でもないchuukaiが調査した結果が含まれていますので、眉に唾しながら見て下さい。
まず「別添3-9 政府機関等に係る2013年度の情報セキュリティインシデント一覧」(156頁、PDFでは160/222から)がよいと思いました。
政府機関等のセキュリティ問題について、私自身なるべくニュースで把握していたつもりでしたが、見落としていたものもあったことを確認でき、良いまとめだと思います。
私自身が興味を持って調べてきた「意図せぬ情報流出に係る情報セキュリティインシデント」については、年次報告本文に例示がありました。
1つ目はグーグルの無料メール共有サービス「グーグルグループ」で復興庁、農林水産省、国土交通省、環境省の内部情報が漏れた話、2つ目は東京大学医科学研究所、東北大学、琉球大学の3大学で、ファックスやスキャナーで読み取った個人情報が漏れた話、3つ目はBaidu IMEの話でしたが、固有名詞を入れてくれないとわかりにくかったです。
以上に付け加えて、私が独自に調べて判明した、意図せぬ情報流出に係る情報セキュリティインシデントで特徴的なものを書ける範囲で書いてみます。
1.大学の学内に設置されているとみられる記憶装置に、有償のOSのインストールCDファイル(.iso)複数が置かれたまま、長期間外部から閲覧できるようになっていた。
2.大学の学内に設置されているとみられる記憶装置に、ゼミの内部情報(在籍中、あるいは卒業した学生の氏名等の個人情報を含む)が置かれたまま、長期間外部から閲覧できるようになっていた。
3.政府の広報を作成する機関に設置されているとみられる記憶装置に、内部情報(タイトルに機2という記述が含まれるメールが多数含まれているファイルも存在)が置かれたまま、長期間外部から閲覧できるようになっていた。
私が独自に調べている中では、政府機関そのものからの意図せぬ情報流出に係る情報セキュリティインシデントはありませんでした。
政府機関そのものの場合には、年次報告にあるGSOC(Government Security Operation Coordination)センサーが働いて外部から記憶装置の中身が見られてしまうことはないようですが、それと同等のシステムを導入できない大学や独立行政法人では、政府機関に比べてセキュリティリスクにさらされているなあと思いました。