326
絵に描いたようなダメ事案!委託先がUSBメモリを持ち出して酔って荷物置き忘れってセキュリティ研修教材で使う事例そのまんま。やらかしたのはBIPLOGYの「関係会社」ってまた実質再委託だったりしませんか。 / “全市民46万人余の個人情報入ったUSBを紛失 兵庫 尼崎市が発表…” htn.to/QG8NVqycQD
327
前から言ってることだけど
役所はもはやITないと仕事が1ミリも進まないのにITになるとすぐに委託に出しちゃうから管理しきれなくて事故るんですよ
国もデジタル区分の技官採用始めたんだし地方自治体もIT採用やるべきだと思います
宛先データ調製なんて自分で出来るようになるべきですよ
328
…って話を芦屋CIO補佐官やってると何度もするんだけどその度に「そういうことすると人が来てくれなくなる」って言われるんですよねー
なんで来ないのかってそういう待遇してないからでしょうに
しかしラスパイレス指数全国トップレベルの芦屋市ですらインセンティブつけられないなら他は絶望的だな
329
委託先を全く管理できてないってことだけど残念ながらよく見かける構図。最初は情報システムの導入だけだったはずがそのうち業務を丸ごと投げるようになり、細かい業務手順を委託側が把握できず目が届かなくなる。 / “USB紛失は「協力会社の委託先の社員」 市の委託業者、…” htn.to/2RrR9BLCjp
330
今時パスワード平文保存とは!
既に漏洩したパスワードがリスト型攻撃に使われている模様。
ディスクユニオンを使っていて、同じパスワードを他で使い回している人は他のサイトのパスワードを変えましょう!
といっても、現実的にはきっと本人も忘れてるようなサイトも多数だろうし大変! twitter.com/diskunion_news…
331
各種セキュリティ認証揃えてたメタップスペイメントがSQLインジェクションなどの初歩的手法でやられた謎が解けた,PCIDSS監査通すため脆弱性診断結果の改竄に手を染めていたようだ.酷い。 / “クレジットカード番号等取扱業者に対する行政処分を行いました (METI/経済産業…” htn.to/25LjoCcfrL
332
なおメタップスペイメントに騙された企業の皆様がpiyologにまとめられてる。
これらの会社は怒ってもいいと思うなこれは。
piyolog.hatenadiary.jp/entry/2022/03/…
333
自治体はlg.jpを使用せよというのは総務省から出てる情報セキュリティポリシーガイドラインに明記されてます。soumu.go.jp/denshijiti/jyo…
最新版だと6.3. (5)情報システムにおける入出力データの正確性の確保 の解説(注11)。これくらい自治体担当者もSIerさんも知っておいて欲しい… twitter.com/RitsuSeo/statu…
334
ノーコードが無双できる世界なんてこないよ(matzさんが言うようにクラークの第一法則にハマる可能性は残るが)。ローコードもメンテ出来なきゃ忌避される。ただ加古川の例を見てこれがこれからの姿だとは思った。 / “「ノーコードによって仕事が奪われるイメージはない」…” htn.to/4siCFdi6FM
335
20年以上前、ソフトウェア工学界隈では表計算の登場で事務系プログラムの需要が減るのではと言ってた人が居たんだけど、全然そんなことなかった。それどころかソフトウェアもデータも理解しない人たちがクソのようなExcelシートを量産し、再利用を困難にして無自覚&無邪気に生産性を押し下げている。
336
TCP/IPなんてクソ重いプロトコルをLANで使うなんてマジかLANとWANはプロトコル分けようぜと思ってた人間からすると80~90年代のプロトコル戦国時代はもう少し深掘りして欲しいしその上位はGopherが結構優位だった時代文字数 / “Webの歴史とはどんなものだったのか 並行世…” htn.to/9LSqAFnZQg
337
京大の高等教育研究開発推進センターが廃止されて
そこで担ってたOCWがMOOCが終了する
残念だが熱意もって旗降ってくれる人がいなくなっちゃうとこうなっちゃうのですかね…
highedu.kyoto-u.ac.jp/news/news-1664/
これがねぇ…
highedu.kyoto-u.ac.jp/wp-content/upl…
338
フィッシング対策の基本はドメイン名をはっきりさせて、そこ以外がパスワード等を要求してきたら偽ですからねとアナウンスすることなのだけど、ドコモはこのところ急速にドメインを整理してるdocomo.ne.jp/info/notice/pa…
全部docomo.ne.jpに寄せてて、9月にはほぼ統一されそう
良いこと
339
どこが「暗号の限界を打ち破った」のか不明。多数の個別の秘密鍵を配布するのはよく行われている。課題はその鍵配送の安全管理やKYC等のはずだが特許はその点に触れてない。耐量子性の話も特許にはなかった。 / “特許:暗号の限界打ち破った発明が「基本特許」に 日本企業…” htn.to/2pQZMf9BvH
340
尼崎市USBメモリ一時紛失事件、調査報告書読むとフォレンジック大活躍。 / “住民税非課税世帯等に対する臨時特別給付における個人情報を含むUSBメモリーの紛失について 令和4年6月23日 尼崎市” htn.to/3RKJoGDR9H
341
それにしても尼崎USB事件、まぁ起こるべくして起きてる感じ。尼崎はB社に丸投げし、B社は下請け孫請けに丸投げした上で、しかも下請け以下にB社社員を名乗らせて現場投入。尼崎側は再委託を全く把握せず。サーバ室入退室管理カード貸与対象19名のうち10名が実は下請け孫請けってのが象徴的ですね。
342
孫請けはテスト環境に本番データを使用するに際して「NGでは」とB社に進言してるけどB社は「本番で大丈夫」と回答してる。孫請けは氏名を僅かに改変する提案するなど抵抗を試みてるがB社回答は「めんどうやなかったらそうしといて!」このメールのやり取りもB社と下請けの関係を象徴してるなぁ。
343
極めつけはここ。USBのパスワードがAmagasaki2022とかじゃないのかという類推はみんなしてたけど、ビンゴですね。まぁ尼崎に限らずどこでもこんな感じなので笑ってられない。こういうのは複雑なパスワードを都度生成してメールで送ればいいんですよ。どうせ物理媒体がないとデータ読めないんだから。
344
ほんこれ。公共案件は競争入札に関わる膨大な書類作成などを失注リスク背負ってやる事務的体力があり、かつ先渡しが滅多に無いので検収後までの出費に耐える財政的体力もある企業しか参入できない。名前と体力はあるが技術が無いITゼネコンが受注し技術のある下請けに安く丸投げする構造が改まらない。 twitter.com/esumii/status/…
345
これ当該ソフトを検索すると検索結果のように見える広告が出て、そのソフトのマルウェア入り版をダウンロードさせるサイトに誘導されるという厄介なやつ。検索結果と広告の区別付かない人が引っかかる。 / “Google広告上で正規ソフトを装ったマルウェアが増加中” htn.to/2vskmoUxKM
346
制度設計的には指定管理者は自治体支給の運営費に加え施設内事業等で儲けて運営するはずが,制度に合わない施設にも多々導入されて自治体は単に「安く手離れの良い外部委託」として運用してきた。その歪みが出てる。 / “「年収250万円未満」児童館長が訴える公共施設の“危…” htn.to/3K9YVcwiZN
347
最近「ネットにない情報はなかったことになってしまう」という言葉は重いなぁと思うようになった。将来、人類が知的思考のベースにWebを基とするAIを多用するようになると本当にそうなる。ChatGPTは少し古い知識には極端に弱いと感じるが、それはWebに情報が載らなかった時代の知識が欠落してるから。
348
IDとパスワードを使い回すのは他社もやってる悪習。メンテコストを下げるため業者側で決めて現場に変えさせない。それが業者丸投げ文化の遠因にもなってる。患者のデータは病院が主体的に守るのを常識にして欲しい。 / “使い回しで崩れた「閉域網神話」 NECを揺るがしたサ…” htn.to/2Am23f2Ret
349
これすぐ直ったってことは簡単にわかる程度の凡ミスなんだろうけど詳細公開してくれないかな。原因ちゃんと公開してくれないとマイナンバーカードの信用に関わるんですが。 / “別人の住民票が誤って発行されるバグ、富士通Japanのコンビニ交付サービスで” htn.to/2Jdk8DfcDs
350
単純キューか…ロックファイルで排他制御してはいたが、ファイル生成がタイムアウトしちゃってロックを解放しちゃったのでファイル送信プロセスが次のファイルを掴んじゃったのね。ダサい。ID打てばいいだけなのに。 / “コンビニ交付で別人の住民票が発行されるバグ、富士…” htn.to/U1k3Z7zNt3
ソフトハウスバイト→同経営→京大助手→和歌山大講師→京大助教授→同准教授→総務省で役人→立命館大学教授。その間NPOやってたり。得意分野はシステム管理とか情報セキュリティとかデジタルフォレンジックとか情報教育とかですがICTだいたいどこにでも突っ込みます。でも私のつぶやきは組織の公式見解とは無関係です。