日本政府、Google Groupでの情報漏洩を受けて情報共有用の専用メールシステムを構築する方針 96
ストーリー by hylom
ここでYahoo!が名乗りを上げれば…… 部門より
ここでYahoo!が名乗りを上げれば…… 部門より
あるAnonymous Coward 曰く、
先日、政府機関が情報共有や連絡用にGoogle Groupを利用しており、さらにそのGroupが公開状態になっていて誰もが閲覧できる状態になっていたことが明らかになったが、これを受けて政府は情報共有用の専用メールシステムを構築する方針を固めたそうだ(NHKニュース)。
単純にWebメールやメーリングリストを稼働させるサーバーを用意すればいいんじゃ、と思ったが、無駄に大がかりになってすべて独自で構築するみたいな話になってしまいそうな気もする。とはいえ、セキュリティの面では独自にシステムを構築するべきであるので、とりあえずこの決定については歓迎したい。
霞ヶ関WAN内に設置? (スコア:5, 参考になる)
中央省庁が参加する「霞ヶ関WAN」の運用センター内に設置するのが妥当かな。 (ちなみに、各省庁とは専用線で結ばれていて、参加組織間のメールはこのWANを経由して送付するルールになっています。)
HIRATA Yasuyuki
Re: (スコア:0)
ちなみに「霞ヶ関WAN」のドメイン名は ADMIX.GO.JP です。whois で検索してみてください。
Re:霞ヶ関WAN内に設置? (スコア:2)
何かの問題提起なら、もう少し具体的に書いて頂けると嬉しい。
HIRATA Yasuyuki
Re:霞ヶ関WAN内に設置? (スコア:2)
職員が利用するのであれば、各省庁それぞれで用意してるVPNなどを利用することになるかと。 民間が参加する形になるのであれば、そう単純にはいかないですが。
HIRATA Yasuyuki
何の意味があるのやら (スコア:2, 興味深い)
どんなシステム作ったって運用ルール守らないマニュアル見ないセキュリティーポリシーなにそれな連中が使ってたら意味なんて無い
現行システムのまま職員の教育に時間とコスト払った方が有意義だと思う
Re:何の意味があるのやら (スコア:5, すばらしい洞察)
現行システムのままとは、Google groupを使い続けろという主張か? あり得ないと思うが。
> どんなシステム作ったって運用ルール守らないマニュアル見ないセキュリティーポリシーなにそれな連中が使ってたら意味なんて無い
職員のスキルや意識の向上を目指して教育を実施しても、スキルや意識は職員ごとにバラツキができてしまう。
だからこそ、専用システムを構築し、それだけを使っていろ、という話だと思うのだが。
Re:何の意味があるのやら (スコア:1)
専用システムしか使わないんじゃ、何時まで経ってもリテラシが向上しない。
膨大に金を注ぎ込んでも、どこかに穴は残る。特に人間自身の脆弱性は、使用者と開発者両方に完全性が要求されるから、取り除けない。
なら、まずリテラシとモラルの向上を図るのは、実現性と云う最大の問題以外は、悪くないアイディア。
で、人間側の向上が終わるまでは、専用システムの安全性は確保出来ないから、「現状なら無改変で使えるGoogle groupを使い続る」選択肢は、コストや開発期間を考えると、十分にアリだと思う。
で、専用システムも、当初は小規模で導入して、従来システムとの使い分けを学びつつ、一般システムと専用システムの利用割合を1:1にするのが、現実として理想的に見える。
ま、運用コストは高くつくが、「複数システムの使い分けスキル」習得は、将来の転換コスト削減に直結するし、調達価格を引き下げる効果もあるから、運用さえ上手く行けば総コストは悪くない筈。
ま、役所がそれを出来るか否かが一番の問題なのは変わらないけど。
-- Buy It When You Found It --
Re:何の意味があるのやら (スコア:1)
>まずリテラシとモラルの向上を図る
今使ってるシステムが問題なのにシステムより先に、リテラシだモラルだってほうが
それこそあんた、戦前の旧軍の精神論ですかい
システムをどうにかしてそのあとの話
Re:何の意味があるのやら (スコア:1)
そのサービス提供する会社のある国の政府にいつでも情報筒抜けになるシステムを使ったままでは
職員の教育に時間とコストをかけても無駄
Re:何の意味があるのやら (スコア:1)
いや、その前に、守秘が必要なものをメールで流すなら、暗号かけとけよ、ってところでは?
Re: (スコア:0)
「誰と誰が、いつメールのやり取りをした」という情報が分かるだけでも、かなり美味しいよ。
Re:何の意味があるのやら (スコア:2)
ネット上を平文が飛び交う電子メールというシステムを使っている時点で、その情報は筒抜けであっておかしくないので、どこにサーバがあろうが、同じと思うのだが。
Re:何の意味があるのやら (スコア:1)
Re:何の意味があるのやら (スコア:1)
さすがにそのくらいは、運用ルールをマニュアル化して、違反者に対する罰則規定も
定めておけば律儀に守るんじゃない。
官僚だもの。「お役所仕事」は得意だろ。
問題は、運用ルールが非現実的な物になりがちなことだな。
そこもまた、お役所仕事だから…
Re:何の意味があるのやら (スコア:1)
誤解があると思うが、いわゆるキャリア組やそれに近い立場の人たちほどスピードを求める。
仕事を早く捌かないと、役所が回らないからね。
そのためにはルールや正規の手続きを省略し、あるいは逸脱することも少なくない。
不都合が発覚したらその時になってペナ受ければ済む話し。
それよりも今はスピードだ。。
…実際のお役所仕事はそんな感じ。
これは35歳過ぎても転職や再就職できるキャリアならではの発想。
ノンキャリアは転職や再就職なんて出来っこないから律義にルールを守る。
当然仕事は遅くなる。
省内で完結する話しなら普通に各省のシステム使えば済むだけ。
これが他省庁や企業、団体とも連携するとなると途端に不具合がでる。
運用をガチガチにしたら私物のケータイやタブレット使って仕事するに決まってる。
データなどは自分の公用アカウントに転送すればいいだけの話し。
上手く話をもっていけば、公務員向けの広告出し放題なわけで (スコア:2)
Re:上手く話をもっていけば、公務員向けの広告出し放題なわけで (スコア:1)
スキルもなにも、システム構築からメンテナンスまで含めて、こういうのはどこかの企業が受注してその受注さきの下請けが・・・というパターンなので、スキル不足って思う思うのならば、それは全体として日本のレベルが低いって事。あえて言うならば、末端の技術者が多くいると思われるスラドのレベルが低いって事を言っているに等しい。
Re:上手く話をもっていけば、公務員向けの広告出し放題なわけで (スコア:2)
しかし、コンパイルされたコードを解析しても、密かに仕込まれていたバックドアを発見するのは難しいだろう。完全に無いとは言い切れない。
サーバーと管理の仕事を自国の警察権力が及ぶ範囲に置くのは、必要なことだろうが、それなら、同じ理由で、ソフトウェアに関わるものは、自国の法の及ぶ範囲の人間がやるということにしなければ、辻褄が合わない。
以前に何を使っていたのか (スコア:1)
Google Groupを使いだす前は何を使っていたのかということだな、以前のシステムを使えばいいんじゃないか
ああ、独裁政権だったから別に情報共有システムいらんのか・・・、しいて言えば料亭だっけ?金食い虫だな。
Re:以前に何を使っていたのか (スコア:2, 興味深い)
現実問題として、かつてポピュラーだったISP提供のMLや広告入り無料MLサービスがこの10年ぐらいでガンガンなくなってるんですよね。
お役所関連の集まりで、ISPのMLサービス→Free ML→Googleグループという話は実際に聞いたことが。
Re:以前に何を使っていたのか (スコア:1)
https://twitter.com/yoshikawanori/status/362577214048452608 [twitter.com]
https://twitter.com/yoshikawanori/status/362575760977956864 [twitter.com]
それぞれの省庁が、独立した会社よろしく、独自にメールサーバを導入して、
外からでも使いたいと言う要求に応じたり応じなかったり継ぎ接ぎで使い続けてたとかそんなんでしょうか。
だとすると、日本全省庁で一括で纏めて一括調達した方がコスト的には良いでしょうね。
使い勝手に関しては、現状よりも間違っても悪くはならなさそう。
あとは、どこまでまともな仕様で調達がかけられるかどうか。
Re: (スコア:0)
>日本全省庁で一括で纏めて一括調達した方がコスト的には良いでしょうね。
誰がrootの省庁になるの?
#手を上げる人が多すぎて、言い出しっぺの法則が通じなさそうな。
Re: (スコア:0)
行政の基盤整備は総務省行政管理局でしょう。
既に、中央官庁のネットワーク通信回線も管理しています。
Re: (スコア:0)
そこへ「いわゆる建制順」にせよとのつっこみが、内閣府から!
Re:以前に何を使っていたのか (スコア:1)
じゃあrootは行政の長、内閣総理大臣で
Re: (スコア:0)
建制順を持ち出さなくても、内閣府は省より格上でしょう。
暇人の釣り針に釣られてやろう (スコア:1)
Yahoo!のシステム使ってた。
当時は出先で撮影したデジカメの写真一枚ですら満足に受信できないほどメールボックス小さかったし。
料亭に呼び出されるような人は情報システムとか使わないから、システムの厳格運用なんて関係ないのさ。
Re: (スコア:0)
むしろ料亭の方が「情報共有用の専用メールシステム」という特大の地雷より安いでしょ
金庫の鍵まで預けてしまうとは (スコア:1)
誰だ、こんなシステム提案したやつは?
Re:金庫の鍵まで預けてしまうとは (スコア:2)
> 誰だ、こんなシステム提案したやつは?
システム構築をする/提案するような業者が、Googleの個人むけで無償のサービスを提案したとしたら、儲からない上にリスクを考慮していない。
職員が個人の判断で勝手に使ったと考えるのが普通だろう。
Re: (スコア:0)
タダより高いものはない、というやつですな。
「企業情報を売ってください」では躊躇するのに、「無料の情報保管サービスを使いませんか」ではホイホイ乗ってしまうという…
たとえ機械的なスキャンであっても、ある企業が最近になって「自主回収」や「上場廃止」といった単語の入ったメールを頻繁に送受信している、、というデータってお宝ですから
Re: (スコア:0)
しかし、クラウドというのは怖いものでして、
国内サービスだといって開始したものがいつの間にかサーバが国外に移転していたり、
国内=国内の通信なのにアカマイを経由するようになっていたりでもれもれなわけですわ。
鯖および経路が全部国内だから安心と思いきや、利用者の中にアイホンユーザが
いたらアウトだったりするのですから端末問題まであり、頭が痛いですね。
いまこそUUCPの復権を! (スコア:1)
各省庁ごとに親サーバーを用意して互いにUUCPでやり取りする。
モバイルしたい人は子の設定をしてUUCP over IPでいいんじゃないか。
Google先生 (スコア:1)
国民の血税をそんな無駄なシステム構築に使うくらいならGoogle先生に預けておくべき。
専用メールシステム作っても (スコア:0)
普通に暗号化しないでメールやり取りしそう。
機密情報を zip でパスワードかけて添付で送りそう。
Re:専用メールシステム作っても (スコア:2)
> 普通に暗号化しないでメールやり取りしそう。
それだけなら、Pop3sなりの暗号化した接続しか認めないようにするだけだろう。何なら、(愚かなやり方だが)専用クライアントを作ってもいい。
>機密情報を zip でパスワードかけて添付で送りそう。
添付ファイルが.zipなら削除されるようにすれば良いだけだ。というか、一定の規模の組織なら、添付ファイルに何らかの制限かチェックをかけているだろう。
Re:専用メールシステム作っても (スコア:1)
それだけなら、Pop3sなりの暗号化した接続しか認めないようにするだけだろう。
SMTPな経路はどうするんでしょうか。
STARTTLS [wikipedia.org]をサポートしているサーバだけを経由できるって保証はないしね。
添付ファイルが.zipなら削除されるようにすれば良いだけだ
それだと添付ファイルの拡張子を変えるヤツが出てきそうだけどね。
ま、中身を見て削除すればいいけど、そこまでやるなら、添付ファイルを一切禁止する方が対応としてはマトモなんじゃない?
Re: (スコア:0)
POP3S は、受信者と受信サーバの間を暗号化するだけですよ。
送信者~受信サーバ間は平文です。
SMTPS も同様。
両方SSLを義務付ければ、ユーザ同士の(サーバに直接送受信される)メールの通信は全て暗号化されるでしょうが、外部からの受信、外部への送信は、暗号化されませんね。
Re: (スコア:0)
zipでパスワードかけても、中のファイル名は見れますからね
ファイル名だけが解ればいい場合は、そこでおしまいです
Re: (スコア:0)
つーか、ふつーに力づくで破れるだろ。
Re:専用メールシステム作っても (スコア:1)
>あれは何が違うんだろう。
zipフォーマットのバージョンが違う。よく使われているのは一番初歩的なzip2.0。
現在ではデータ送付者・受領者の合意が取れるのであれば7zを使うべきだと思う。
Google より使いやすいサービス (スコア:0)
規則上は内部のメールシステムの利用が原則
↓
そのシステムは使いにくい
↓
使いやすい Google のサービスを無断で利用
↓
利用上で事故
という流れでしょ。
利用者は使いやすいシステムを使いたがり、規則で縛っても実効性がない。
で、その対策が、新たに専用システムを作る、のだと。
ということは、その新システムは、巷の人気サービスよりも使いやすいものでなくてはならないことになるのではないか。
それが作れる人は、打倒 Google を目指してみてはどうか。
ところで、セキュリティ事故を契機にした新システムというと、セキュリティを強化したシステムを連想するが、どうだろうか。
技術的な義務・制限が勢ぞろいになったりしないかね。
そして……
Re: (スコア:0)
単純にそういうことしたら懲戒免職だよってルールだけ作れば一番安くない?
ほら、コストカットの時代だしね。
ただのり (スコア:0)
Googleのメールサーバに送る途中で暗号化しちゃえば?
WebUIにもラッパーをかぶせて、途中で復元して表示するようにする。
検索は・・・これは難しいかな。
換字式暗号なら他人には意味不明だが自分の検索には使えるとかできるのだけど。
Re:ただのり (スコア:1)
ウェブでもブラウザ拡張で対応出来る。
ただそういう知識がなくて、さらに相手も対応しないといけないから実現出来てないだけ。
Re:知ったか振ったか (スコア:1)
RouterとFirewallの区別が付いてない悪寒。
Re:知ったか振ったか (スコア:1)
いちいちマイナスモデレートする内容でもないだろ。
モデやる奴が荒らしすぎる。
Re: (スコア:0)
最後に日本国営検索システムが必要。(恐らくこいつが一番金食い虫だが、総務・通産・防衛・法務(公安調査庁)省・警察庁にとっては新たなる利権であり、新規天下り先になるのでは?)
Re:単純か? (スコア:1)
メールみたいに曖昧な仕様のデータを第三者のシステムとやりとりしなきゃいけないサービスって運用のトラブルは多いし、身近な分使い勝手の文句は付けられ易いしで一番運用が面倒そうなイメージがある。
厳格にデータ仕様が定められていて、特定少数としかやり取りしないサービスは、確かに比較的運用のトラブルは少なかろうとは思いますよ。でも、それって当たり前では?
Re:単純か? (スコア:1)
「単純に〜すればいい」という安直なファーストチョイスに挙げるほどWebメールやメーリングリストって運用が簡単なのだろうか、という印象があったので、実際に運用業務をされている方の見解はどうなのであろうか、という趣旨です。
簡単ではないけど、超絶に困難でもないですね。少なくとも、いくら費用をかけても運用困難、ではありません。現実的な費用の範囲で十分運用できるでしょう。そう言う実績はたくさんあります。例えば、グループウェアシステムなんてのは、ウェブメールの機能を含んだ機能上上位のシステムですが、運用実績はたくさんありますね。つまり、
まぁ過去の蓄積があるというだけでも、最初の検討候補とするには十分な理由ではあるのですが。
そういうことです。
# A.C.であるにも関わらず、Ryo.F氏からコメントして頂けるとは、光栄ですね。
私はAC相手に議論しないってことは無いですよ。別の人と間違ってませんか?