公務員叩きに物申す!-現職公務員の妄言 システム運用保守に、後期高齢者医療制度に、公務員叩き批判に、行政改革に、福祉行政に、ITに、WEB2.0に、SNS管理に、VBに、Scriptに、情報セキュリティに、IPネットワークに、SEOに、ほんの少し家族サービスなブログ。

  • セキュリティポリシー

  • Top | Next
TAGWORD

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。


はてなブックマークに追加 はてなブックマークのコメント livedoorクリップに追加 livedoorクリップ数 niftyクリップに追加  del.icio.usに追加  Yahoo!ブックマークに登録 Yahoo!ブックマーク数 googleに追加 

自由利用マーク
このマークは当blogの記事部分に付けられたものです。
タグリスト:
 親父ギャグは聞き飽きたという苦情は無視して、今回はセキュリティの話である。

 目の前にサーバがある。さてセキュリティ対策はどうするか?

 「じゃあセオリーどおり、施錠できるラックに入れて、耐震対策をして、非常電源を用意して、…これでセキュリティ対策はバッチリだ。」

 一見正しいように見えるが、そうではない。
 そのサーバは本当にそこまでコストをかけて守らなければいけないのか?
 こうしたリスク分析と判断のプロセスが抜けているからである。

 「障害が起きたらサーバが止まる、だからクラスタ構成にする」
 これはセキュリティ対策ではない。

 「障害は起きたらサーバが止まる。発生確率はそこそこある。サーバがとまると莫大な被害が出る。だからクラスタ構成にする」
 これが正しいセキュリティ対策である。

 システム障害は、確かに脅威と定義される。しかしその発生確率と情報資産への影響を論ぜずして対策を語るのはナンセンスだ。
 同様に不正アクセスも、そこに被害にあうべき情報資産や「踏み台」にされるリスクが存在しなければ、対策する必要がないのである。

 オンライン処理の要となるサーバで、それが停止すると全業務に支障が出、1分たりとも停止が許されないサーバであれば、クラスタ構成にして免震台も履かせて、ネットワークも二重化三重化、といった対策が必要だろう。
 ところが、このサーバが外部とのデータ授受のみに使用し、それも1日1回業務時間外にしか利用しないものであれば、スペアの代替機が1台あれば十分だ。
 耐震対策はおろかUPSすら必要ないかもしれない。
 システム領域のためのバックアップソフトなどを搭載した日には、下手をするとライセンス代だけでもう一台代替機が買えてしまうわけで、こういうのは意味の無い対策であり、むしろ税金の無駄遣いである。

 要するにセオリーなど無い。
 リスクは千差万別であるから、行うべき対策も必然的に異なってくるわけである。

 その意味では、項目のみあげた「防災グッズカタログ」のようなものがあっても、それ単体では全く役に立たない。
 仮にも「それ単体」で個人情報保護審議会に大いに役立つとしたら、随分お粗末な話ではある。
 残念ながらこうした審議会は「対策項目」のみをチェックし、その前段階のプロセスを度外視しているケースが多いのも事実ではある。

 セキュリティ対策でまず手がけることは、対策項目の検討ではなく、リスクの分析であり、そのためには何よりシステムの詳細仕様が必要である。
 少なくともこのサーバが停止したらどの程度の支障がでる、とか、容認できる停止時間は何時間とか、個人情報を含むデータの有無とか、そういうことがわからない状態で対策項目を検討しても結論はでない。
 例えば、このサーバをシングルにするかクラスタにするかといった選択も、絶対に決まるはずがないのだ。



 例によって今回の話はセキュリティに対する一般論であって他意はない。何か思い当たる節があってもそれは気のせいである。
 くどいようだが邪推は無用である。

スポンサーサイト

はてなブックマークに追加 はてなブックマークのコメント livedoorクリップに追加 livedoorクリップ数 niftyクリップに追加  del.icio.usに追加  Yahoo!ブックマークに登録 Yahoo!ブックマーク数 googleに追加 

自由利用マーク
このマークは当blogの記事部分に付けられたものです。
タグリスト: セキュリティポリシー, セキュリティ, 個人情報保護, リスク分析,
 最近大した用も無いのにベンダーの営業が来ることが多くなった。
 情報が枯渇しているのはどこも同じであろう。

 今後直近で出てきそうなものといえば、以前触れたQA集ぐらいのもので、後は2月まで動きが無さそうだ。
 そのQA集についても、確かに参考になる部分はあるが、詳細見積ができるようなシロモノではない。
 各市町村は、スマートな予算要求は潔くあきらめて、補正や契約内容変更ありきで進めた方が良いだろう。
 不可能なことに労力を費やすことほどナンセンスなことはない。

 もちろん市町村がやるべきことは予算ばかりではない。

 20年度からの窓口の体制をはじめとした人員、組織の問題もある。
 システム関係でいけば、セキュリティポリシーや個人情報保護審議会の問題もあるだろう。
 住基や税、介護システムについても改修が必要で、多くの調整事項が必要になる。
 法規関連の整備も必要だ。
 まずはこうした後期高齢担当課と、電算、住基、税、介護、法規といった関係各課が連絡を密に取り、定例的に会合の場を持つ等、今後の大波を乗り切るための体制を整えるべきだろう。
 ともあれ、この時期になって国保担当課と老人担当課が責任を押し付け合い、主管課が決まらないという状態だけは避けたいものである。

 ネットワーク回線についても、早々に方針が決定した県がある一方で、LGWANと独自回線(広域イーサ)の意見が二分し、調整に難航している県もあるようだ。
 市町村として、自庁ポリシーから意見を述べるのは当然のことであるが、「望ましくない合意」が成された場合のときのために、それをどう克服するか、あらかじめ検討しておいた方が良いだろう。
 これは個人情報提供の問題についても同様である。
 システムの詳細仕様が固まっていなくとも、情報を出すことには変わりない。
 審議会を開く必要があるかどうか。どのような手続きで、どのようなスケジュールとなるか、現段階から確認しておいた方が良いだろう。

 とりあえず出来るところから手をつけておこうではないか。
 心配せずとも、そのうち嫌というほど忙しくなるのだから。



 ただの落書き。落書きだけにご利用は自己責任で。↓

落書き


はてなブックマークに追加 はてなブックマークのコメント livedoorクリップに追加 livedoorクリップ数 niftyクリップに追加  del.icio.usに追加  Yahoo!ブックマークに登録 Yahoo!ブックマーク数 googleに追加 

自由利用マーク
このマークは当blogの記事部分に付けられたものです。
タグリスト: セキュリティポリシー, 個人情報保護, 予算, 後期高齢者医療制度, LGWAN, 広域イーサ,
 このblogの常連読者の方々には、LGWAN自体の何たるかの説明は不要であろう。
 万一説明が必要ということであれば、LASDECのHPを参照されたい。
 (LASDECは厚生労働省と違って面倒くさいリンクポリシーがあるので、今回直リンクはやめた。必要であればインターネットを検索していただくか、過去の記事を参照していただきたい。しかしWeb2.0のこの時代にLASDECともあろうものが時代遅れのリンクポリシーを掲げるのはいかがなものか)
 
 そもそも後期高齢の広域連合電算処理システムにLGWANを利用するという構想の根幹は、今年の1月19日に総務省が策定した「IT新改革戦略」にある。
 この中には壮大なレセプトオンラインの絵が描かれるとともに「各府省や地方公共団体を接続するシステムについては、原則としてLGWANへの統合を進める」と謳われている。
 「地方公共団体を接続するシステム」の第一弾が後期高齢者医療制度というわけだ。
 良くも悪くもモルモットである。
 文句を言うなかれ、我々がモルモットなのはネットワークに限った話ではないのだから。

 さて、当初LGWAN一本で進めていた厚生労働省だが、途中で他の回線もOKだと態度を軟化させたのは周知の事実である。

 LGWANは中々に厄介者だ。
 問題点をざっと挙げていくと…

1.帯域の問題
 まずLGWANやそれに接続するLGWANアクセス回線の帯域の問題がある。
 線が細すぎるというやつだ。
 増強対応をする都道府県は良いが、予算などの事情で来年夏までに対応されない地域にとっては大きな問題である。
 ちなみにアクセス回線の帯域を確保しても、都道府県NOCやLGWAN提供設備の中身が古いままだと、十分なスループットが期待できないかもしれない。

2.手続きの問題
 次に接続申請に時間がかかるということがある。
 地方自治体側は一部の離島を除き、全ての市区町村で接続を終えているが、一部事務組合などは必ずしも接続しているわけではない。
 そして後期高齢者医療広域連合は新規でLGWAN-ASPの申請を行わなければならないわけであり、もしLGWANを利用するならば、早急に要件を満たすための体制づくりと、申請手続の準備を進めなくてはならない。
 また、LGWANに接続する広域連合電算処理システムのサーバ群を、自前で確保するのではなく、業者のIDCに設置する場合、その業者がLGWAN-ASPとしての条件を満たしていなければならない。
 県内にそうした業者がいない場合、LGWANの利用は極めて困難だ。

3.利用プロトコルの問題
 LGWANは非常に限られたプロトコルしか利用できず、とりわけ広域側から市町村へのデータ転送は不可能である。よって、データ授受を行う際は市町村側から広域に取りに行かねばならない。
 もちろん「気になる木」さんのシステムはその前提で構築されるであろうが、市町村の窓口サーバの保守管理の面で難が生ずる。
 例えば窓口サーバにおいて何らかのバージョンアップを行う場合は、媒体渡しとなることが確定であり、そしてその更新漏れ等の把握が困難である。またリモートによる初期障害切り分けやヘルプデスク対応も不可能である。

4.市町村ネットワークの問題
 もともと市町村サイドにおいて、LGWANに個人情報を流すことを想定したネットワーク構築やポリシーがけを行っていないということである。
 個人情報を扱うネットワークとは物理的(論理的ではない)に隔絶して、異なったポリシーがけをしている所が多く、中にはLGWANの先はクライアント1つだけで、ネットワークに引き入れていない市町村も存在するという。
 LGWANにもインターネットにも接続できる端末で個人情報を扱っても良いかという議論もあるだろう。
 現行の市町村のポリシーでは容認されないケースが多く、ポリシー変更には多くの市町村の反発が予想される。

 一筋縄ではいかないことが理解していただけたと思う。
 では専用線や広域イーサネットなどを利用したほうが良いのであろうか?



はてなブックマークに追加 はてなブックマークのコメント livedoorクリップに追加 livedoorクリップ数 niftyクリップに追加  del.icio.usに追加  Yahoo!ブックマークに登録 Yahoo!ブックマーク数 googleに追加 

自由利用マーク
このマークは当blogの記事部分に付けられたものです。
タグリスト: LGWAN, セキュリティポリシー, LASDEC, 総務省, 厚生労働省, セキュリティ,
2006
1118

 セキュリティポリシー関連のネタを探していて、このページを見つけた↓

 「会社のポリシーは会議室で決めてない、現場でコピペしてるんだ」

 これは酷い。失笑ものだ。
 ちなみに、リンク先で指摘されている該当ページは既に修正されているが、少なからず衆目を浴びてしまったであろう。



もう一つおまけ。
2chでみかけた公務員叩きネタ

http://society3.2ch.net/test/read.cgi/soc/1142696635/

864 :名無しさんの主張 :2006/11/15(水) 00:11:06 ID:???
 公務員は、結構残業代が出ますね。
 LG-WANが使いたい放題である為、勤務時間中にネットサーフィンをして定時後に
 労使協定枠一杯の残業時間を申告したり出来ます。
 これにより、月に8~9万円(20時間)は貰えます。

875 名前:名無しさんの主張[] 投稿日:2006/11/17(金) 11:28:36 ID:NvChn7JG
 >864
 管理職になると残業代は出ないよ。



 どこからどうやって突っ込んでよいものやら…

  

はてなブックマークに追加 はてなブックマークのコメント livedoorクリップに追加 livedoorクリップ数 niftyクリップに追加  del.icio.usに追加  Yahoo!ブックマークに登録 Yahoo!ブックマーク数 googleに追加 

自由利用マーク
このマークは当blogの記事部分に付けられたものです。
タグリスト: セキュリティポリシー, コピペ,
 どうやらシステムの仕様公開が遅れるらしい。
 直接開発を手がけるベンダーが地方自治体職員向けのメルマガで述べているから間違いないであろう。

 想定の範囲内か想定外かはともかく、まだ1か月(以上)の時間がある。
 この間にセキュリティポリシーにかかる問題点の整理を行っておくことをお勧めする。

 実のところ、広域連合立ち上げの一番の難題は、規約でも予算でもシステム開発でもなく、このポリシー調整ではないかと筆者は踏んでいる。

 まだポリシー調整に何も手をつけていない(!)という都道府県は、とりあえず、全市町村に
 「広域連合にLGWANで住基情報と税情報を提供していただきますが、何か問題ありますか?」
 という内容のアンケートを実施してみるといい。
 恐らくその結果に事務局は真っ青になることであろう。

 頭が痛いのは、情報の提供に関する根拠法令が弱いということだ。
 厚生労働省はこれ以上出さないといっているが、
 住基はともかく、税法の牙城を崩すのは容易ではない。
 任意の「できる」規定ではどこも情報を出さない。
 その点、厚生労働省の官僚殿は甘く見ているのであろう。

 どういう大人の事情があるかは知らないが、
 紙切れ一枚で全国の一大プロジェクトがスムーズに進むのであるから、それくらいは骨を折っていただきたいものである。

 さて、これからは、こういった個別のポリシー調整の問題についても徐々に触れていきたいと思う。


はてなブックマークに追加 はてなブックマークのコメント livedoorクリップに追加 livedoorクリップ数 niftyクリップに追加  del.icio.usに追加  Yahoo!ブックマークに登録 Yahoo!ブックマーク数 googleに追加 

自由利用マーク
このマークは当blogの記事部分に付けられたものです。
タグリスト: 厚生労働省, LGWAN, 広域連合, セキュリティポリシー,

ナビゲーション

特集記事

カテゴリー

ブログ内検索

RECENT ENTRYS

RECENT COMMENTS

RECENT TRACKBACKS

プロフィール

現職公務員SE Author:現職公務員SE
 シスアドでセキュアドな後期高齢者医療制度SNS管理人。
 後期高齢者医療制度の資格事務担当だったはずがひょんなことで電算担当に。

HSタグクラウド

Feed Me!

公務員叩きに物申す!-現職公務員の妄言のRSSフィード

後期高齢者医療制度開始カウントダウン





リンク

中の人

FC2カウンター


公務員サイトランキング 現職公務員サイトランキング ビジネスブログランキング 人気ブログランキング - 公務員叩きに物申す!-現職公務員の妄言

スカウター : 公務員叩きに物申す!?現職公務員の妄言 はてなブックマークカウンター
  • seo

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。