パスワードを忘れた? アカウント作成
9658176 story
日本

日本政府、Google Groupでの情報漏洩を受けて情報共有用の専用メールシステムを構築する方針 96

ストーリー by hylom
ここでYahoo!が名乗りを上げれば…… 部門より
あるAnonymous Coward 曰く、

先日、政府機関が情報共有や連絡用にGoogle Groupを利用しており、さらにそのGroupが公開状態になっていて誰もが閲覧できる状態になっていたことが明らかになったが、これを受けて政府は情報共有用の専用メールシステムを構築する方針を固めたそうだ(NHKニュース)。

単純にWebメールやメーリングリストを稼働させるサーバーを用意すればいいんじゃ、と思ったが、無駄に大がかりになってすべて独自で構築するみたいな話になってしまいそうな気もする。とはいえ、セキュリティの面では独自にシステムを構築するべきであるので、とりあえずこの決定については歓迎したい。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by yasu (7) on 2013年08月01日 21時37分 (#2432925) ホームページ

    中央省庁が参加する「霞ヶ関WAN」の運用センター内に設置するのが妥当かな。 (ちなみに、各省庁とは専用線で結ばれていて、参加組織間のメールはこのWANを経由して送付するルールになっています。)

    --
    HIRATA Yasuyuki
  • by Anonymous Coward on 2013年08月01日 19時28分 (#2432856)

    どんなシステム作ったって運用ルール守らないマニュアル見ないセキュリティーポリシーなにそれな連中が使ってたら意味なんて無い
    現行システムのまま職員の教育に時間とコスト払った方が有意義だと思う

    • by nmaeda (5111) on 2013年08月01日 20時08分 (#2432878)

      現行システムのままとは、Google groupを使い続けろという主張か? あり得ないと思うが。

      > どんなシステム作ったって運用ルール守らないマニュアル見ないセキュリティーポリシーなにそれな連中が使ってたら意味なんて無い

      職員のスキルや意識の向上を目指して教育を実施しても、スキルや意識は職員ごとにバラツキができてしまう。
      だからこそ、専用システムを構築し、それだけを使っていろ、という話だと思うのだが。

      親コメント
      • 専用システムしか使わないんじゃ、何時まで経ってもリテラシが向上しない。

        膨大に金を注ぎ込んでも、どこかに穴は残る。特に人間自身の脆弱性は、使用者と開発者両方に完全性が要求されるから、取り除けない。

        なら、まずリテラシとモラルの向上を図るのは、実現性と云う最大の問題以外は、悪くないアイディア。
        で、人間側の向上が終わるまでは、専用システムの安全性は確保出来ないから、「現状なら無改変で使えるGoogle groupを使い続る」選択肢は、コストや開発期間を考えると、十分にアリだと思う。

        で、専用システムも、当初は小規模で導入して、従来システムとの使い分けを学びつつ、一般システムと専用システムの利用割合を1:1にするのが、現実として理想的に見える。
        ま、運用コストは高くつくが、「複数システムの使い分けスキル」習得は、将来の転換コスト削減に直結するし、調達価格を引き下げる効果もあるから、運用さえ上手く行けば総コストは悪くない筈。

        ま、役所がそれを出来るか否かが一番の問題なのは変わらないけど。

        --
        -- Buy It When You Found It --
        親コメント
        • by Anonymous Coward on 2013年08月02日 15時31分 (#2433368)

          >まずリテラシとモラルの向上を図る
          今使ってるシステムが問題なのにシステムより先に、リテラシだモラルだってほうが
          それこそあんた、戦前の旧軍の精神論ですかい

          システムをどうにかしてそのあとの話

          親コメント
    • by Anonymous Coward on 2013年08月01日 19時36分 (#2432861)

      そのサービス提供する会社のある国の政府にいつでも情報筒抜けになるシステムを使ったままでは
      職員の教育に時間とコストをかけても無駄

      親コメント
    • さすがにそのくらいは、運用ルールをマニュアル化して、違反者に対する罰則規定も
      定めておけば律儀に守るんじゃない。

      官僚だもの。「お役所仕事」は得意だろ。

      問題は、運用ルールが非現実的な物になりがちなことだな。
      そこもまた、お役所仕事だから…

      親コメント
      • by Anonymous Coward on 2013年08月01日 22時30分 (#2432951)

        誤解があると思うが、いわゆるキャリア組やそれに近い立場の人たちほどスピードを求める。
        仕事を早く捌かないと、役所が回らないからね。
        そのためにはルールや正規の手続きを省略し、あるいは逸脱することも少なくない。
        不都合が発覚したらその時になってペナ受ければ済む話し。
        それよりも今はスピードだ。。
        …実際のお役所仕事はそんな感じ。

        これは35歳過ぎても転職や再就職できるキャリアならではの発想。
        ノンキャリアは転職や再就職なんて出来っこないから律義にルールを守る。
        当然仕事は遅くなる。

        省内で完結する話しなら普通に各省のシステム使えば済むだけ。
        これが他省庁や企業、団体とも連携するとなると途端に不具合がでる。
        運用をガチガチにしたら私物のケータイやタブレット使って仕事するに決まってる。
        データなどは自分の公用アカウントに転送すればいいだけの話し。

        親コメント
  • スキルが無いなら、googleへ任したほうがいいんじゃないかな。  無料でもビジネスとしては成り立ちそうと思うが。
    • スキルもなにも、システム構築からメンテナンスまで含めて、こういうのはどこかの企業が受注してその受注さきの下請けが・・・というパターンなので、スキル不足って思う思うのならば、それは全体として日本のレベルが低いって事。あえて言うならば、末端の技術者が多くいると思われるスラドのレベルが低いって事を言っているに等しい。

      親コメント
  • by Anonymous Coward on 2013年08月01日 19時03分 (#2432835)

    Google Groupを使いだす前は何を使っていたのかということだな、以前のシステムを使えばいいんじゃないか

    ああ、独裁政権だったから別に情報共有システムいらんのか・・・、しいて言えば料亭だっけ?金食い虫だな。

    • by Anonymous Coward on 2013年08月01日 20時39分 (#2432891)

      現実問題として、かつてポピュラーだったISP提供のMLや広告入り無料MLサービスがこの10年ぐらいでガンガンなくなってるんですよね。

      お役所関連の集まりで、ISPのMLサービス→Free ML→Googleグループという話は実際に聞いたことが。

      親コメント
    • by Anonymous Coward on 2013年08月01日 20時17分 (#2432881)
      裏は取ってないけど、それぞれの省庁が別個に用意していたとか、さっきちらっと見た。

      https://twitter.com/yoshikawanori/status/362577214048452608 [twitter.com]
      https://twitter.com/yoshikawanori/status/362575760977956864 [twitter.com]

      それぞれの省庁が、独立した会社よろしく、独自にメールサーバを導入して、
      外からでも使いたいと言う要求に応じたり応じなかったり継ぎ接ぎで使い続けてたとかそんなんでしょうか。

      だとすると、日本全省庁で一括で纏めて一括調達した方がコスト的には良いでしょうね。
      使い勝手に関しては、現状よりも間違っても悪くはならなさそう。
      あとは、どこまでまともな仕様で調達がかけられるかどうか。
      親コメント
      • by Anonymous Coward

        >日本全省庁で一括で纏めて一括調達した方がコスト的には良いでしょうね。

        誰がrootの省庁になるの?
        #手を上げる人が多すぎて、言い出しっぺの法則が通じなさそうな。

        • by Anonymous Coward

          行政の基盤整備は総務省行政管理局でしょう。
          既に、中央官庁のネットワーク通信回線も管理しています。

    • by Anonymous Coward on 2013年08月01日 22時51分 (#2432964)

      Yahoo!のシステム使ってた。
      当時は出先で撮影したデジカメの写真一枚ですら満足に受信できないほどメールボックス小さかったし。

      料亭に呼び出されるような人は情報システムとか使わないから、システムの厳格運用なんて関係ないのさ。

      親コメント
    • by Anonymous Coward

      むしろ料亭の方が「情報共有用の専用メールシステム」という特大の地雷より安いでしょ

  • by Anonymous Coward on 2013年08月01日 19時38分 (#2432863)
    情報を抜き取ることに積極的なそれも海外の会社のサービスを使うとは、常識はずれだと思う

    誰だ、こんなシステム提案したやつは?

    • > 誰だ、こんなシステム提案したやつは?

      システム構築をする/提案するような業者が、Googleの個人むけで無償のサービスを提案したとしたら、儲からない上にリスクを考慮していない。

      職員が個人の判断で勝手に使ったと考えるのが普通だろう。

      親コメント
    • by Anonymous Coward

      タダより高いものはない、というやつですな。
      「企業情報を売ってください」では躊躇するのに、「無料の情報保管サービスを使いませんか」ではホイホイ乗ってしまうという…

      たとえ機械的なスキャンであっても、ある企業が最近になって「自主回収」や「上場廃止」といった単語の入ったメールを頻繁に送受信している、、というデータってお宝ですから

    • by Anonymous Coward

      しかし、クラウドというのは怖いものでして、
      国内サービスだといって開始したものがいつの間にかサーバが国外に移転していたり、
      国内=国内の通信なのにアカマイを経由するようになっていたりでもれもれなわけですわ。

      鯖および経路が全部国内だから安心と思いきや、利用者の中にアイホンユーザが
      いたらアウトだったりするのですから端末問題まであり、頭が痛いですね。

  • by nanno (17292) on 2013年08月01日 20時58分 (#2432902)

    各省庁ごとに親サーバーを用意して互いにUUCPでやり取りする。
    モバイルしたい人は子の設定をしてUUCP over IPでいいんじゃないか。

  • by deleted user (41315) on 2013年08月02日 0時55分 (#2433012)
    Google先生は何でも知っている。そう、日本政府の内情でもね。
    国民の血税をそんな無駄なシステム構築に使うくらいならGoogle先生に預けておくべき。
  • by Anonymous Coward on 2013年08月01日 20時02分 (#2432873)

    普通に暗号化しないでメールやり取りしそう。
    機密情報を zip でパスワードかけて添付で送りそう。

    • > 普通に暗号化しないでメールやり取りしそう。

      それだけなら、Pop3sなりの暗号化した接続しか認めないようにするだけだろう。何なら、(愚かなやり方だが)専用クライアントを作ってもいい。

      >機密情報を zip でパスワードかけて添付で送りそう。

      添付ファイルが.zipなら削除されるようにすれば良いだけだ。というか、一定の規模の組織なら、添付ファイルに何らかの制限かチェックをかけているだろう。

      親コメント
      • それだけなら、Pop3sなりの暗号化した接続しか認めないようにするだけだろう。

        SMTPな経路はどうするんでしょうか。
        STARTTLS [wikipedia.org]をサポートしているサーバだけを経由できるって保証はないしね。

        添付ファイルが.zipなら削除されるようにすれば良いだけだ

        それだと添付ファイルの拡張子を変えるヤツが出てきそうだけどね。
        ま、中身を見て削除すればいいけど、そこまでやるなら、添付ファイルを一切禁止する方が対応としてはマトモなんじゃない?

        親コメント
      • by Anonymous Coward

        POP3S は、受信者と受信サーバの間を暗号化するだけですよ。
        送信者~受信サーバ間は平文です。
        SMTPS も同様。

        両方SSLを義務付ければ、ユーザ同士の(サーバに直接送受信される)メールの通信は全て暗号化されるでしょうが、外部からの受信、外部への送信は、暗号化されませんね。

    • by Anonymous Coward

      zipでパスワードかけても、中のファイル名は見れますからね
      ファイル名だけが解ればいい場合は、そこでおしまいです

      • by Anonymous Coward

        つーか、ふつーに力づくで破れるだろ。

  • by Anonymous Coward on 2013年08月01日 21時19分 (#2432915)

    規則上は内部のメールシステムの利用が原則

    そのシステムは使いにくい

    使いやすい Google のサービスを無断で利用

    利用上で事故

    という流れでしょ。
    利用者は使いやすいシステムを使いたがり、規則で縛っても実効性がない。

    で、その対策が、新たに専用システムを作る、のだと。
    ということは、その新システムは、巷の人気サービスよりも使いやすいものでなくてはならないことになるのではないか。
    それが作れる人は、打倒 Google を目指してみてはどうか。

    ところで、セキュリティ事故を契機にした新システムというと、セキュリティを強化したシステムを連想するが、どうだろうか。
    技術的な義務・制限が勢ぞろいになったりしないかね。
    そして……

    • by Anonymous Coward

      単純にそういうことしたら懲戒免職だよってルールだけ作れば一番安くない?
      ほら、コストカットの時代だしね。

  • by Anonymous Coward on 2013年08月01日 21時33分 (#2432923)

    Googleのメールサーバに送る途中で暗号化しちゃえば?
    WebUIにもラッパーをかぶせて、途中で復元して表示するようにする。

    検索は・・・これは難しいかな。
    換字式暗号なら他人には意味不明だが自分の検索には使えるとかできるのだけど。

    • by jobsa (39063) on 2013年08月02日 1時29分 (#2433023)
      だから普通にPGPとか使えばいいだけ。
      ウェブでもブラウザ拡張で対応出来る。
      ただそういう知識がなくて、さらに相手も対応しないといけないから実現出来てないだけ。
      親コメント
typodupeerror

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

読み込み中...