読者です 読者をやめる 読者になる 読者になる

NW屋的日常徒然日記

ネットワークを専門にする元社内SEの日常とITネタ諸々を綴って行きます。

福井技術者の集いに行ってきました(2)+諸々

 こんばんは。支持政党なしの佐野代表のコメントをYahoo!ニュースで読んで、「同一IPアドレスから2回以上投票出来ないようにする」というコメントに「マジボケちゃうよね!?」とディスプレイに向かってツッコミを入れそうになりました。(^^;; 家庭内LANでのNAPTの可能性もありますし、プロキシサーバ経由の可能性もありますし、CGNの可能性もあるので、どうやって判断するのだろうかとふと気になりました。(^^;;

 それはさておき、福井技術者の集いに行ってきた話の続きをもう少々。ネタ的には福井県池田町での事務局長エロサイト閲覧情報漏洩事件と、佐賀県教育委員会のザルな教育情報システムからの情報漏洩事件についてしゃべりました。そこで「地方自治体のハードウェア的なIT化(ITの導入)は進んでも、実際の設計・構築・運用がgdgdで、発注側(この場合は佐賀県教育委員会)に判断出来る能力がありません。おまけに業者と丁々発止で渡り合えるだけのスキルを持った職員がいません。その結果、報道でもあったように「業者におまかせ状態だった」と言わしめるようなことになってしまいました。

 特に規模の小さい自治体だと、高いスキルを持った情報系職員を専任で置けるだけの体力はないということは容易に想像がつきます。参加者の方とも質疑応答の際に少し話をしたのですが、「都道府県単位のセキュリティクラウドが出来れば、ある程度の底上げが出来るのではないか?」という話が出ました。ただ、県が管理するセキュリティクラウドに乗せる際に、今までのシステムを円滑に移行させることが現状の人的リソースで出来るのか?という問題があります。それと、無事に移行出来たとして、日常の運用を問題なく出来るのか?という問題もついて回ります。全部おまかせといわけには行かず、自分たちのシステムは自分たちで管理して行く必要があります。県内市町村が同じシステムを使うのであればフルアウトソーシングも可能かもしれませんが、独自部分が存在したら、そこは当該市町村自身でなんとか対応する必要があります。

 「自分たちはユーザだからシステムのことなんて全く分からなくても問題ない」というわけには行かないだろうと思います。昨日書いた自民党滋賀県連のSSLサーバ証明書もそうです。全く関係ない組織の証明書が使われているということがどういう問題をもたらすのかをユーザ(この場合は自民党滋賀県連)が理解していないと、フォームを使って(自民党滋賀県連に)メッセージを送信しようとしているユーザ(この場合は不特定多数の利用者)からクレームが来ても何も出来ません。「分からないから」と放置して許されることではありません。もし、放置したままで問題を起こしたらISPだけでなく、自民党滋賀県連の責任も問われる可能性が十分にあります。フォームを使おうとする一般ユーザがクレームをつけられるのは、この場合自民党滋賀県連でしかありません。さすがに直接ISPにクレームをつけるわけにはいかないでしょう。(多くの方々にとって、どこのISPかを突き止めるのはかなり難易度が高いと思われます。)

 同様の場面が他の組織でも起きる可能性は十分にあり得ると思います。こういう事態を想定して、情報処理安全確保支援士を各組織に配置を義務づけるぐらいの思い切ったことをしてみてもいいんじゃないでしょうか?>経産省さん&総務省さん(&文科省さん)