これから日本の大組織が悩む、自動暗号化Zipファイルの代わりをどうすべきか問題|楠 正憲(Japan Digital Design CTO)
内閣府・内閣官房がメールサーバーの設定を変更して添付ファイルを自動的に暗号化Zipに変換する仕組みを停止させた。情報処理学会の機関誌『情報処理』が7月号で暗号化Zipメールの小特集を組み、10月に入ってデジタル改革アイデアボックスに暗号化Zipの添付廃止が提言され、11月24日平井卓也デジタル大臣が記者会見で自動暗号化ZIPファイルと同一経路を使ったパスワード別送の廃止を表明、翌25日から内閣府・内閣官房のメールサーバーの設定が変更された。 電子メールの添付ファイルの自動暗号化Zip化は、金融機関や通信キャリアなど日本を代表する組織の多くで現在も使われていることから、今後、各組織で暗号化Zipファイルを廃止すべきか否か、議論が進むものと考えられる。 暗号化Zipファイル添付の何が悪かったのか自動暗号化Zipファイルの問題は、データを保護する上で全く効果がないにも関わらず、サンドボックスによ
DXの壁は人材でもSIerでもなく雇用|楠 正憲(デジタル庁統括官)
日経のシリコンバレー支局からZoomでインタビューいただいた内容が新聞に載ったようです。支局の方はインタビューって現地でされるんだろうと思ってましたから不思議な経験というか、コロナ禍にあって色んなことが起こるんだなーって思います。 どうもシリコンバレーでブイブイいわせてる直販モデルのSaaSベンダーが何故か日本でだけはSIer経由の間接販売になっていて、それってどーゆーこと?という疑問に答える過程で、いろんな話をしたんですけれども、なんか見出しだけみるとSIerが悪くてDXが上手くいかないように勘違いされてしまいかねないし、わたしのコメントだけ見ると、まるでSIerが時代から取り残されてるようにも読めちゃうんですけれど、伝えたかったことは、そんな話じゃないんです。 実際お話しさせていただいたことというのは、いまさら内製回帰なんて流行ってるけれども、そう簡単に上手くいく訳ないじゃん?日本って
行政デジタル化 青写真と今後の論点|楠 正憲(デジタル庁統括官)
新型コロナ感染症対策での様々な混乱を受けて、今後こうしたことが起こらないように、菅官房長官(当時)の肝煎りでデジタル行政サービスと自治体情報システムの在り方を見直すWGが6月に立ち上がり、この金曜朝に総理臨席のもと3回目の会合がありました。検討の叩き台となる行政情報システム改革のトータルデザインについて斎藤構成員から説明があり、私からも補足説明させていただいた他、戸籍へのカタカナ氏名の追加や、自治体標準化について討議が行われました。関連資料はこちらからダウンロードできます。 全体としては手続きのデジタル完結率を向上させて、新たなデジタルセーフティーネットの構築へ向けて、国と地方で一体となって推進していくことを目指しています。2022年までに突発事案に対して即応できる情報システムを整備する「足し算」、2025年へ向けて自治体の情報システム標準化を推進し、段階的なクラウド環境へと集約して各団体
なぜ自治体のシステムはバラバラなのか|楠 正憲(デジタル庁統括官)
政府が自治体システムの仕様統一を決め、来年デジタル化のための新法提出を目指すと報じられました。自治体システムの標準化はかねて総務省で検討が進められてきて、直近もデジタルガバメント閣僚会議の下に設置された「マイナンバー制度及び国と地方のデジタル基盤抜本改善 WG」で議題に挙がり、わたしも議論に参加しています。 技術屋の視点でみると、法律で定められた似たような住民事務を、どうして1740もある自治体がバラバラにシステム構築しているのか、不思議に思われるかも知れません。ひとつのシステムで賄った方が効率的ではないかという意見も大きいのではないでしょうか。 確かにバラバラにシステム構築されているために特別定額給付金などの新しい制度ができた際まとめてシステム改修できずに、大量の手作業が発生して給付に時間を要してしまったことは記憶に新しいところです。もし日本全体で単一の住民システムが動いていて、そのシス
何故お役所ってオワコンIEが大好きなの?|楠 正憲(デジタル庁統括官)
普通は役所のシステムって構築してから5年とか7年は塩漬けにして使うもので、一度やらかしてしまうと名誉挽回の機会なんて向こう数年は与えられないんだけど、こと本件に関しては高市総務大臣から「今すぐ私がマニュアルなしでも使えるように直しなさい」と叱責いただいて、しっかりと予算的なサポートも得られたことで、たったの数ヶ月で立て直すことができた。 この数ヶ月は外部のセキュリティやPKIの専門家の方から様々なサポートをいただいて何とか実現したんだけれども、役所のシステム開発としては非常識というか、極めて難易度が高い案件だった。「え?単にChromeやSafariをサポートするだけでしょ、難しい訳ないじゃん」と思う諸兄は、もうしばらくこの話に付き合って欲しい。 もともとマイナポータルは日本を代表するITベンダーと通信キャリアの3社が開発したんだけど、大臣からの叱責を受け「ちゃんとお金を払うから直してよ」
7Pay 謎の全利用者パスワードリセットを実施|楠 正憲(デジタル庁統括官)
7payは7月30日午後に、全利用者のパスワードをリセットすると発表した。報道によると「(7iDを使う7payの不正利用問題で)パスワードリスト攻撃を受けた可能性が高く、リスクを極小化するため」(広報)と説明しているという。筆者はIdPを運用している立場でしばしば攻撃に直面して数百万人単位のパスワードのリセットを決断した経験があるが、これは奇妙なことだ。 一般にパスワードリスト攻撃を受けている場合では、全利用者のパスワードリセットを行う必要はない。リスト型攻撃が成功した利用者に限ってリセットを行うのが一般的な運用だ。 パスワードをリセットすると多くの利用者が離脱する上に、サポート窓口の負荷が上がるため、数十万人のパスワードをリセットする場合も、時間をかけて反応を見ながら徐々に行う運用が一般的だ。 全利用者のパスワードをリセットする必要があるのは、例えばバグや脆弱性の性質から被害者を特定でき
海賊版サイト対策 ブロッキングの前にやるべきこと|楠 正憲(デジタル庁統括官)
7月26日に知的財産戦略本部で海賊版サイト対策の議論が再開された。委員からはブロッキングの早期検討再開を求める意見が出たという。先の参院選では表現の自由、海賊版のアップロード側への対応が重要と訴えた山田太郎議員が自民党で比例2位の約54万票を獲得するなど、海賊版サイト対策のために表現の自由を犠牲にすることを許さない民意が示された矢先のことだ。 今回から「チャタムハウスルール」といって、各委員の発言を外で公表しないよう求めるという。これでは誰からの要請で何のために海賊版サイト対策を検討しているのかさえ外部からは検証できない。漫画家をはじめとした関係者の意見を十分に聞かず、通信の秘密や表現の自由に対する配慮が不十分だったために、与党プロセスで異例の廃案となった海賊版サイト対策だが、知的財産戦略本部は何を反省したのだろうか。 折しも漫画村の類似サイトが立ち上がり、漫画村の主犯と目される星野路美容
サービスを止める勇気、動かし続ける勇気|楠 正憲(デジタル庁統括官)
7payはあまりに脆弱性が多過ぎ、何が本筋で不正アクセスに至ったのか議論が混乱している。不正アクセス事案の初期段階は原因の絞り込みが難しく、様々な可能性が考えられる中で被害の類型やログなどを確認し、影響範囲を推定して顧客への影響を最小限に抑えながら止血することが求められる。 仮にリスト型攻撃が原因であれば、ID・パスワードを使いまわした方、特にリストが出回っている方を中心に被害に遭っている。リスクベース認証を入れる、SMS OTPやFIDOといった多要素認証を入れる、tokenやdevice fingerprintingでIDとデバイスを紐付ける、漏洩リストを買って出回っているID・パスワードと一致したアカウントを凍結するといった対策が有効だ。いずれも改修に時間を要するので、暫定的には海外からのアクセスを止めてbot遮断サービスやcaptchaを挟むことで被害を軽減できる。 仮にパスワード
7Payの失態で露呈した本当は怖いIDの話|楠 正憲(デジタル庁統括官)
セブンイレブンのQR決済「7Pay」がリリース翌日から大規模な不正アクセスの被害を受け、少なくとも約900人が、計約5500万円の被害を受けた。原因は杜撰なIDの設計にあり、被害者はいずれもIDを乗っ取られて、クレジットカードから不正にチャージされた。 自分の設定したIDとパスワードを入力して、どちらも正しい場合にログインできる仕組みは1960年代前半に発明されて以来、今もインターネット上で最も広く利用されている。GAFAはじめYahoo!や楽天といった大手企業が今も使っていることから、十分に安全と思われがちだ。 ところが実際のところ特にここ数年は非常に激しい攻撃に晒されており、血の滲むような努力と不断の改善によって維持されている。利用者は自分が入力したIDとパスワードしか意識しないけれども、その裏では端末環境の特徴やアクセス元のIPアドレスや位置情報、同時に利用している他の端末など、実に
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
