年金機構の情報流出を見てちょっと思ったこと [ほほほのほ]

いつもならFaceBookに先に書いているんだけど、今日はこっちに。あとでFBにも貼る。 いつものごとく時間がないので、雑感を駄文で。 年金機構が所謂職員の失敗で、年金情報を流出するという事件が発生した。 詳しいまとめは、いつものごとく、高速に素晴らしいまとめをしてくれる日本年金機構の情報漏えいについてまとめてみたを参照。Kangoさん、いつも本当に素晴らしい。 さて。この事件とか事件について色々喋っている人とか、大臣と呼ばれる人とかを見ていて感じた雑感を。 非常に大量に情報を流出してしまった事件としては、ベネッセ事件があった。詳しくはベネッセの情報漏えいをまとめてみた。を参照。 この事件において、ベネッセは様々な方面から散々ぶん殴られた。マスコミもJIPDECも利用者も、好きなようにベネッセをサンドバッグにした。まぁ、自分も殴った側にいるのだから偉そうなことは言えない。この件について、株

[sds-page]

詫び年金はよ

[JULY]

標的型攻撃の訓練に関して、辻さんも同じ事を言ってたなぁ。「開かないようにする」ための訓練ではなく、「何か起きた時のワークフローを確認する」ための訓練だと。

[raimon49]

＞正しい対処が取れるようになる事が訓練の本当の意味です。 / 訓練して隠蔽ではなく適切な行動が取れるようにすることが大事という話。

[lp008962]

「詫び年金はよ」＞これを他山の石として、詫び石に代えさせて頂きます（煽っていくスタイル）／国民がじゃぶじゃぶ納税したくなるような危機感を煽りまくる説明文章

[khtokage]

とてもいい総括。いや終わってないんだけどｗ

[mkusunok]

だいたい同感。ベネッセと比べてお粗末過ぎるとはいえ、日本の組織の多くはこのレベルだからね。マルウェア踏んだ職員を罰し、ほとぼりが冷めるまでメール利用を禁止して責任転嫁し、喉元過ぎればにしてはいけない

[tokage3]

ざっくり勘で言うと、予算配分と人材配置が決定的に間違ってる気がする。あと、独立行政法人が使えないオッサンの出向先=受け皿になってる可能性も。

[deloreanmc12]

年金機構はたしか外部からの指摘で漏洩気づいたんだったっけ。感染認識しててもそれって組織的にngだが、ほとんど企業は記事にあるように年金機構型だと思う

[acealpha]

殴られた被害者側が責められる唯一のお仕事がセキュリティだよ　という言葉をふと思い出す

[ptolemychan]

完全に同意。

[tmtms]

"国内の絶対的多数の組織は、民間・官庁・政府組織を問わず、この程度の事件がいつ起きてもおかしくない状態だろう" "日本国内の絶対的多数の組織が年金機構型である"

[t-wada]

"個人的な感覚でいうなら、日本国内の絶対的多数の組織が年金機構型である。つまり、事前の検討も、そのための対策も、発生してしまった場合の対応も、おそらくその全てが年金機構型であろう"

[airj12]

「訓練も、「絶対引っかかる」訓練メールにして、引っかからないやつは「メールを見てない」と結論付けられるようにするのがいいんじゃないかと思うし、「引っかかった時の対処」に主眼を置くべき」はい。

[John_Kawanishi]

あのBenesseの事後の対応の方がまだ”褒められるべき"ぐらいかぁ…

[mebius_ring]

年金機構の情報流出を見てちょっと思ったこと [ほほほのほ]

[tetsutalow]

本件取材に関して、ある記者から「某市の標的型メール訓練のことをどう思います？」って質問があり本記事と同様に「開いた後の対処が重要」と言った。訓練提供側もそう伝えているとわかったのは嬉しい話です。

[air7743]

なるほど全文同意　マイナンバーはもう諦めるしかないのか…　藤沢市の上の人は凄く有能なんだな

[takuno]

事件前からの職員のモラルや事件「発生」後の対応、事件「発覚」後の対応を見ていると、本音で、こんな組織にお金や情報を管理させるなんて金をドブに捨てているも同然。こんな組織を監督している監督官庁も同罪。

[kamezo]

いろいろ共感するところ大。しかし、年金機構型の組織が多いとするならば、ドジを叩く→隠蔽体質になる、という負のサイクルはなかなか変えられないのだろうなあとも思ってしまう（お国柄？）。

[isrc]

ベネッセはむしろ「褒める」べき／年金機構がベネッセ並みの管理、運用、調査、報告ができるとは思えない／国内の絶対的多数の組織が年金機構型／標的型攻撃に関する予防接種、我々が口を酸っぱくして言っていたのが

[natroun]

“ベネッセはそこまで徹底したシステムを作り、あとから追えるところまで管理を徹底していたということ。”　この指摘は凄く重要だと思う。後半の年金機構の話もひたすら耳が痛い。

[kana0355]

“ベネッセの件、僕はむしろ「褒める」べきだと思う。”

[geopolitics]

ベネッセは自分で対処できた。氏の言う通りほとんどは年金型のセキュリティ。「事件」になったときのルート（道筋）が分からないからね。

[k-takahashi]

『開いた時の対処が本当の問題です。ちゃんと正しいところに報告できるか、正しい対処を取れたか、を注視してください。正しい対処が取れるようになる事が訓練の本当の意味です』

[kagakaoru]

良記事。

[kazoo_oo]

高い視点での良い総括。組織の問題であり、システムの問題であるのに、「添付ファイルを開いた人」を責める声の大きいことよ。

[Lhankor_Mhy]

『本音でいうと、年金機構がベネッセ並みの管理、運用、調査、報告ができるとは思えない』……人ごとじゃないねえ。

[yukatti]

" 「引っかかった時の対処」に主眼を置くべきで、そういう風に進化するべきじゃないか"

[PowerEdge]

漏らさないことより、漏れてもいいような取扱いをするしかないんだろうな。運用する側も値を読み替えて処理するとかで

[dekaino]

正論だと思う

[pukarix]

共感できる。全くもってそうだと思う。 http://pukarix.hatenablog.com/entry/2015/06/02/061714

[ad2217]

まったくその通り。組織、システムとしての問題であり、個人を責めるのはその問題を隠すことになる。

[nilnil]

素晴らしい＞「くれぐれも、「訓練でメールを開いてしまった事を人事評価などに反映させるような事はしない」でください」

[uturi]

うむ。／報道側も世間も「災害を起こした犯人を処罰すればすべて解決して二度と起こらない」みたいに考えてるからな。完全かザルかの２択というか。

[rna]

後半の標的型メール攻撃に関する訓練の話がためになる。しない方がいい訓練にしないためにどうするべきかという話。