人気ブログランキング | 話題のタグを見る

偏見に満ちた日々の雑感・・・とHR/HMや映画のレビュー
by Tibbets_EnolaGay
検索
カテゴリ
全体
地震関連
世俗的なこと
腐れ警察
NHK放逐への道
悪徳企業の傾向と対策
医療・健康
資格試験
賃貸生活
三面記事
懸賞生活
HR/HM
映画
TV
コンピュータなど
ごく身近なこと
本・マンガ
トンでも話
動画
リンク

  ■Excite:ニュース
  ■Excite:翻訳

  ■Infoseek:ニュース
    Infoseek stock
  ■Yahoo:ニュース

  ■懸賞BOX
  ■ラブ懸賞
  ■懸賞~る
  ■懸賞の杜
  ■A・round(エーラウンド)アンケート
  ■【楽天市場】懸賞市場
  ■応募の達人(クローズド懸賞)
  ■登竜門(公募情報)

  ■Ameblo(アメブロ)-トップ

  ■コカ・コーラパーク

  ■楽天ブックス 
    



 
【医療問題に関するサイト】

  ■ナースシングプラザ.com
  ■キャリア・ブレイン 医師の転職、薬剤師・看護師・介護職の転職サイト


【調べもの】

  ■Wikipedia
  ■mapFan地図サイト
  ■ジョルダン 
 
【趣味のサイト】

  ■ヘビメタさん
  ■テレビ東京 「ROCK FUJIYAMA」


【少し世間の見方が変わるサイト】
 ※お口直しにどうぞ。

  ■サヨナラ!石原都知事(TOKYO-MXのプロパガンダにうんざりした人は必見!!
公開期間に限りがあるようですので、保存したい人はお急ぎください)
)

  ■RED-PIPERS.COM("赤い笛吹き”と題されたサイト。国民の未来を想う行為には、右翼も左翼もないのです)
)

  ■NHK受信料を考える
(NHKのヤクザまがいの横暴さを実感できるページ。「NHKへ一方的に受信契約解除する方法」は一読の価値ありです!)
  ■NHK受信料制度と裏事情
  
MAMO's Site →NHK受信料問題とは?

■NHKの不祥事 (from YourPedia)   ■立花孝志-内部告発 -(※ 勇気ある元NHK職員の詳細な内部告発情報)
  ■全国市民オンブズマン 警察裏金・不正支出問題
  ■東急不動産東急リバブル不買運動
  ■反中、嫌韓者のためのページ!!
  ■チームニッポン
  ■ルーブログ(※アメブロに引越しされたようです。前のサイトはコチラ)



以前の記事
2012年 01月
2011年 12月
2011年 09月
2011年 08月
2011年 05月
2011年 04月
2011年 03月
2011年 02月
2011年 01月
2010年 12月
more...
タグ
ライフログ
書籍
音楽
映画
その他のジャンル
ファン
記事ランキング
ブログジャンル
画像一覧


頭大丈夫?
<岡山県警情報流出>ウィニー使用禁止 違反なら懲戒免職も [ 03月13日 15時00分 ]
Excite エキサイト : 社会ニュース
岡山県警倉敷署の巡査長が所有するパソコンから約1500人分の個人情報を含む捜査資料がインターネット上に流出した問題で、県警は今月中旬までに、全職員に対しファイル交換ソフト「ウィニー」の使用を禁止し、福島克臣本部長に自筆の誓約書を提出するよう指示していたことが分かった。

 使用禁止の対象には職員の家族も含めた。本人が誓約に反した場合は懲戒免職を含め厳しい処分で臨む方針。昨年6月以降の指示が守られなかった反省から、異例の厳罰方針を打ち出した。

 通達は3月9日付。本部長名で、私物パソコンで捜査情報を扱わない▽ファイル交換ソフトがインストールされた私物パソコンを、家族を含めて使用しない▽私物パソコンからウイルスが検出されなかったことを示す画面を印刷して提出する――ことを指示し、自筆で「使用しない」旨の誓約書を提出するよう求めた。

 県警幹部によると、通達文以外に「職員本人が誓約に反した場合は、懲戒免職処分を覚悟すること」との趣旨が伝達されているという。流出発覚後、県警は職員が所有するすべての私物パソコンに関し、捜査情報やファイル交換ソフトが入っていないかどうかの点検を始めている。

 「ウィニー」を巡っては、岡山の約4倍の捜査資料が流出した愛媛県警も10日、再発防止策として全職員に「使用しない」との誓約書を提出するよう指示している。【傳田賢史】

ローカルな警察署の不祥事とはいえ、見解も対応もお粗末でお話にならない。
Winnyに責任を転嫁して、私物パソコンを禁止する小手先の処分。
これでは間違いなく、また再発すること請け合いである。

情報セキュリティの重要さや、機密保持について国家公務員が小学生ほどの理解も無い悲惨な有様である。

情報セキュリティポリシ対策やについての理解や公的機関としてのコンセンサスをまったくご存知ない様なので、面倒くさいが書いておこう。

先ず、情報セキュリティポリシ基本方針は、組織が持っている情報資産の重要性や漏洩した際に発生する損害などに基づき情報セキュリティポリシの策定委員会のような組織が決定し、組織の長が要員に対して、通達し、遵守について同意を得るものである。

この際、ポリシの運用について情報セキュリティポリシ対策基準を設けトップダウンで適正な運用を義務付ける。

違反時にの罰則についてもきちんと説明し、要員に対して適切な教育を行う必要もある。ポリシを運用する能力がないと判断されたものは情報資産へのアクセスを制限するなどの安全管理を行うべきである。

情報セキュリティポリシの遵守状況については、各部署に情報セキュリティ管理責任者を置いて適宜チェックを行い、違反やポリシの形骸化がないかを評価すべきである。

当然、違反者がいた場合は、罰則を適用する必要があるし、実情にそぐわないポリシや対策基準が判明した場合については情報セキュリティポリシの策定委員会を通じて必要に応じて改訂を行う。

ほかにも、具体的には、私物のパソコンなどの事務所内への持込は原則禁止し、業務で必要なパソコンを支給または貸し出しし使用しているとき以外は鍵のかかるキャビネット等に管理しておく。

私物のパソコンの持込が、どうしても必要な場合は各部署の情報セキュリティ管理責任者の許可を得て持ち込みを行う。
この際、ウィルスチェックは必ず行い、出所不明なソフトウェアやスパイウェアについてもインストールされている場合は持ち込みを許可しない。

また、そのパソコンが私物であっても、事務所の備品であっても自宅への持ち帰りは原則許可せず。使用しない間は鍵のかかるキャビネット等に管理しておく。

※百歩譲って、持ち出す必要がある場合は、紛失や盗難に備え重要な機密情報を削除した上で持ち出すか、暗号化やパスワードや指紋認証などのセキュリティ対策を施し他人に使用できないようにして持ち出すこととする。
当然このときにも情報セキュリティ管理責任者に持ち出す期間、目的等を報告し、管理対象とする。(とはいえ、事務所内のアクセスポイントにログインするための電話番号、アカウント情報がPC内に保存されているのであれば、よほど高度なセキュリティ機能がついていない限り、許可されるべきではないだろう)

ざっと思いつくものを挙げてみたが、このあたりはあくまで一般企業レベルの対策であり、まだまだユルいほうであろう。
政府組織や国防関連の団体・企業の場合、特に重要な機密データはリモートアクセスやインターネットから隔離されたネットワークで管理するとか、完全にオフラインにしてアクセス制限するなどの対策をとるべきである。ここで重要なのはネットワークに情報を管理することのリスクを十分理解しておくことである。外部の回線からアクセスすることができなくても、ネットワークに接続されたサーバには、同じ建物内にあるハブのポートからアクセスすることができるので、当然リスクも大きくなる。(建物への入館証を持っている人間であれば、誰もいない会議室の床板をはがして、空いているハブのポートからの接続を試みるかもしれない)
無論、漏洩しても許容される範囲の情報はそれに応じたレベルのネットワーク上で管理すればよい。何をどう管理するかを情報の重要度に応じて決めればいいだけのことである。

以下、記事中にある不可解な対策(のつもりなのだろうか)について、コメントさせていただきたい。

『私物パソコンで捜査情報を扱わない』
捜査(業務)につかうパソコンぐらい支給するべきで、私物のパソコンを持ち込まなければならないような状況を作らないようにすべきである。(全国で捜査費の名目で不正経理をするくらいであれば、専用のパソコンを捜査員に支給する費用くらいまかなえそうなものである)

『ファイル交換ソフトがインストールされた私物パソコンを、家族を含めて使用しない』
ファイル交換ソフトだろうが、ルートキットだろうが、何をインストールしていても一向に構わないし、家族でアダルトサイトなどの公序良俗に反するサイトにアクセスしようがその人の責任の範囲で自由である。(Winnyそのものに問題があるような意見があちこちで述べられているが、Winnyそのものはピア=トゥ=ピアでファイルの共有・交換を行うソフトに過ぎない)
そのパソコンを業務に使うとか、事務所に持ち込んで作業をすることが制限されるべきだけのことである。

『私物パソコンからウイルスが検出されなかったことを示す画面を印刷して提出する』
ウイルスソフトはパターンファイルを最新にしても、既出のウィルスしか検出できず、不完全である。
そもそも、OS自体にもセキュリティホールはあるし、ワームやステルス型のウィルス、スパイウェアなど正規の製品に混ざってパソコンに入るものは検出できないものも多い。
また、Webの閲覧やメールのやり取りで感染するリスクも否定できない。
先に書いたようにそもそも私物のパソコンを持ち込むことを許可するのが問題である。(私物である以上には当然自宅に持ち帰ることもあり得るのだろうから)
蛇足だが、事務所内からインターネットにつながるLAN環境がある場合、ファイアウォールや侵入検知システムなどのセキュリティ対策が施されている必要がある(当然その事務所内にネットワークの不正侵入やワームなどによる不正アクセスが行われていないか監視をする体制が必要である)。

『職員本人が誓約に反した場合は、懲戒免職処分を覚悟すること」との趣旨が伝達されているという』
セキュリティポリシを設けてから、私物のパソコンの持込を許可するとか、その際の使用条件を議論するべきで、今更こんなことを通達するのは遅きに失しているのは明白である。
また「覚悟すること」という文言には、上司の計らいで懲戒免職にならないような可能性の含みも感じられる。「~という罰則を適用する」「一定期間、当該情報やその情報を参照するシステムの利用を禁止する」などの具体的な対応を明示すべきであろう。
そして、確たるセキュリティ対策を講じることなく(また今後も署員に適正な教育指導・監督を行わず)、重大な情報漏洩が発生した場合、責任は職員だけにあるのではなく、組織の責任者にも発生するし、むしろそちらの責任のほうが重くなると考えられる。
「誓約」などと大げさな表現の割には、事件がおきてからこんなことを通達するのは順序が逆であり、笑止千万である。

『自筆で「使用しない」旨の誓約書を提出するよう求めた』
何の意味があるのであろうか。(意味不明であるし、これも上の例と同様、順序が逆である)


先にも書いたが、そもそも人権の保護や情報機密にもっともデリケートであるべき職場に、私物パソコンを持ち込むに当たってなんのセキュリティポリシーも設定されていなかったのであろうか?

ちなみに付け加えておくと、昨今セキュリティの専門家の間では、機密情報を扱う現場にカメラ付き携帯を持ち込むことすら制限すべきという見解すらある。(警官が職場に携帯を持ち込めないのは困るというのであれば、当然セキュリティポリシに照らして、それを許可する旨の条項を安全対策とともに策定するのが、順序なのである)

社保庁、自衛隊、原発、NTTとなどこもかしこも、情報漏洩を通り越して情報開示(ディスクロージャー)がブームになっている昨今。
田舎の警察署のユルい情報管理による不祥事とあなどるなかれ。
警察がこの有様では、全国でこんな事件が多発する状況は、今後ますます悪化すると思われる。
by Tibbets_EnolaGay | 2006-03-14 09:28 | 世俗的なこと
<< 着陸どうぞ! 性懲りのない守銭奴どもめ >>