• 締切済み

年金機構 情報漏えい対策

年金機構で使っているパソコンはすべて、ファイルをクリックしてもテキストエディタしか起動しないような設定にできないでしょうか。あるいはMS-DOSのコマンドラインを入力するような起動方法しかできないように、ショートカット作成が不能になる設定はできないでしょうか。

みんなの回答

  • cse_ri2
  • ベストアンサー率25% (830/3286)
回答No.13

まだまだ気は若いですが、MS-DOS時代から(厳密にいえばMicrosoft BASICから)ITとかPCに関わっていて、昔のいろんな事情を知ってる立場からすると、まあ見事にM$社(→いうまでもなく皮肉な書き方ですよ)に洗脳された人が増えたんだなと思います。 まずは、企業のITシステムがWindows中心に構築されているということの誤解。 元々は、日本の大企業のほとんどは、ホストコンピュータを基幹システムとして構築されていました。 それが、20世紀を前後するあたりから、UNIXやWindowsに置き換わっていったんだと認識しています。 下手すると、まだホストで組んだシステムで日常業務を行っている企業もまだまだ多いんじゃないですかね。 未だに、ホストコンピュータからのリプレース商談とかよく耳にしますし。 次に、M$社は昔からIT業界の松下(松下電器さん失礼!)と呼ばれていて、技術では二番手ながら巧みな商売でシェアを広げてきた企業です。 具体的には、M$の製品のほとんどが他製品、特にサーバ分野ではUNIXで提供しているソフトの焼き直しなんです。 ActiveDirectryなんかがよい例で、UNIXでLDAPという製品があり提供している機能はほとんどLDAPの焼き直し。 まあ、こういうことを知らないか、あるいは知っていてM$製品の宣伝に励んでいるとしか思えません。 いずれにしても、「M$の宣伝、乙!」というのが、正直な感想です。 最後に日本独自のOS普及ですが、日本はTRONというけっこう優秀なOSを持ちながら、普及に失敗してWindowsに塗りつぶされた過去があります。 しかし、その失敗の原因は、技術面よりもむしろ政府が政策面でバックアップしなかったことの方が大きいかと 詳しくは、OKWaveの過去回答にいろいろ書いているので、「TRON」というキーワードで検索してほしいのですが、まだパソコンの黎明期の頃、教育向けPC市場で日本政府はTRON OSを普及させようとしたのですが、その頃まだ生きていた日米貿易摩擦の煽りを受けて、当時の通産省が手を引いてしまったのです。 その他、アスキーの西とかやわらか銀行の孫などの暗躍もあり、TRONがパソコン分野で普及される道が絶たれました。 さて話を現在に戻しますが、今普及しているUNIX/Windows がメインのプラットフォームの中で、セキュリティ対策が大きな問題になっています。 今の技術の延長でこの問題の解決が困難なのは明白なので、まあUNIX/Windowsに代わるプラットフォームを立ち上げてもよいのではないかと、個人的には思うわけです。 まあ、今の日本政府にやる気はまったく見えませんが、必要は発明の母ですからね。 問題点さえきちんと認識しておけば、将来のビジネスの種にはなるかと思います。

noname#215107
質問者

お礼

30年近く前に坂村健氏がテレビで盛んにTRONプロジェクトについて紹介していたのを思い出します。 私は当時そのようなことに関心はあまりなく8ビットマイコンで家電製品を制御して遊んでいました。 一応政府も推進しかけていたんですね。それが現在は組み込み系にとどまったということですかね。ただ世界に広めてしまうとセキュリティーホールの存在も世界に広げてしまうことになります。 門外不出のガラパゴスOSを今からでも開発しないと後れを取りそうですが開発費が高くなりそうです。しかし、これは兵器と同じ位置付けとして国防費から出してもいいと思いますね。

  • IDii24
  • ベストアンサー率24% (1597/6506)
回答No.12

Windows意外にOSは難しいでしょう。マイクロソフトがサーバー管理ツール、クライアント管理ツール込みのソリューションを提供しているから現在の企業は成り立ってます。PCだけ変えても意味がないのですよね。例えばドメインは殆どの企業がActiveDirectoryだしその上でサーバーが管理されてます。クライアントPCにパッチを配布するのはSCCMなどの配信ツールでWindowsなら配布されたか、どこまで更新されたかが検知されます。他のウィルス検知ツールもWindowsサーバーから管理されるのが殆どです。サーバー製品抜きにしてクライアントOSだけで語ることはできません。他のOSを作るならこれら周辺の機器も考える必要があるってことです。そもそも日本ではOSを作ろうとして散々失敗した結果、マイクロソフトに頼ろうとなったわけで、これからも無理でしょう。日本には小手先技術は有っても頭でっかちで、普及まで至らない。これが限界です。

noname#215107
質問者

お礼

中国は国費を投じて国産OS開発プロジェクトを立ち上げすでに初期バージョンをリリースしているのに、日本は作ろうとしてもいないですね。 組み込み系のTRONプロジェクトはありましたが、国が主体となったプロジェクトがありません。今だに義務教育でプログラミングを教えていないので仕方がないのかもしれませんが、国家戦略として今からでも始める必要はありそうな気がします。

  • bardfish
  • ベストアンサー率28% (5029/17766)
回答No.11

今回は標的型ウィルスでしたよね。 ということは、メールをやりとりするパソコンはWindows以外のOSにすればある程度解決するはず。 LinuxやTRON、Macなら偽装したEXEが添付されていても実行不可能です。 マクロにしても、マクロを実行するランタイムが存在しなければタダのテキストファイルやバイナリファイルです。 ホームページを表示しただけで感染するページに誘導するメールもあったそうですが、それって多分IEを標的にしたタイプだと思います。 だからIEのエンジンを使用していないブラウザを標準にするだけでも効果はあるんじゃないかな? メーラーにMicrosoftのソフトを使用していれば必然的にIEエンジンを使用するはずなのでメーラーそのものも変更した方がいいと思う。 HTMLメールを表示できないメーラーが望ましい。 そしてやりとりするメールはHTMLメール禁止にすれば、判断基準をもっと簡単にできる。 そもそもの話をすれば、業務で使用するネットワークとインターネットを1台のパソコンで使えるという環境そのものが間違い。 役所の業務を受託している企業の開発部門では、開発環境はインターネットに接続できないネットワーク構成にしているか、インターネットに接続できるようにするんだったら、実データにアクセス出来ないように物理的にネットワークを区別しています。 開発用パソコン、インターネット接続用パソコンと用途別に機器を用意したり。 つまりはネットワークポリシーが無いに等しいんだと思います。 でね、お役所のエライさんってリスクと便利さを天秤にかけた場合、便利さを取る傾向が非常に強いんです。 リスクについては人任せっていうか無関心っていうか…まぁ、無責任なんですけど(笑) だからシステム的にどんなことをしてもお偉いさんの一言で全てオジャンになるなんて珍しくないです。 立場を利用して強要する人がかならず居ますからね。 そういう時は別ルートで説得するんですけどね。

noname#215107
質問者

お礼

Silicon LinuxやROM-WINなどで、システムイメージをROM化するのもいいかいしれませんね。 これだけでは不十分ですが…。

  • cse_ri2
  • ベストアンサー率25% (830/3286)
回答No.10

No.8,9です。回答をまとめます。 情報漏えいには、主に2つの原因があり、 1.今回の事件のように、PCを触る人間が「うっかり」誤操作して情報を流出させること。うっかりには、ウィルスソフトを誤って起動してしまうことも含まれます。 2.内部の人間が、意図的に外部に情報を流出すること。 1の場合は、社内ネットワークの分離・セキュリティルームの設置など、主にハード面の対策で情報漏えいのリスクを0に近づけることができます。 しかし2の場合は、どれほどハード面を充実させても、悪意をもった内部の人間がその裏をかこうとするので、対策は非常に困難です。 まあ、スパイ防止法など法制面の整備も含めて、スパイや産業スパイの暗躍をどう防いでいくのか、IT技術だけでなく総合的に考えなくてはいけないでしょう。 ハーバード・アーキテクチャには思わず笑ってしまいましたが(私に言わせれば、意味ねーよの一言)、今の主流であるUNIX文化が(WindowsはしょせんUNIXの亜流です)オープンアーキテクチャが基礎となっていて、データの保護よりもデータの公開に重きを置いているので、今の延長では難しいでしょう。 データ保護を主軸とした新たなコンピュータプラットフォームが必要ですが、どういったものが最善かについては私は専門家ではありませんので、セキュリティの専門家の提言を待ちたいと思います。

noname#215107
質問者

お礼

>ハーバード・アーキテクチャには思わず笑ってしまいましたが(私に言わせれば、意味ねーよの一言) もちろん冗談ですよ。 現在の市場やニーズからすると現実的ではありません。ただし考え方の方向としてはあってもいいかなと思いました。

noname#215107
質問者

補足

冗談の続きですが、たとえばOSやソフトのインストールは特別なROMライターを使用しないと書きこめないようにするのです。 要するに組み込みマイコンと同じです。

  • cse_ri2
  • ベストアンサー率25% (830/3286)
回答No.9

No.8です。回答追加。 >年金機構で使っているパソコンはすべて、ファイルをクリックしてもテキストエディタしか起動しないような設定にできないでしょうか。 できるできないの話でいえば、できます。 Windowsの拡張子と起動するアプリケーションの関連付けを、変えればよいのです。 とはいえ、テキストエディタしか起動できないのであれば、おそらく仕事にならず、せっかくのPCがただの飾り物になります。 また、後述するように、ファイルを開けば自動実行するマクロが作れますので、ウィルスを防ぐことはできません。 >あるいはMS-DOSのコマンドラインを入力するような起動方法しかできないように、ショートカット作成が不能になる設定はできないでしょうか。 こっちも可能です。上記の設定を少し変更すれば可能です。 まあ、コマンドラインから起動しても、自動実行するようなマクロプログラムは書けますので、そこからウィルスを作成できますから、結局無意味です。

noname#215107
質問者

お礼

回答ありがとうございます。 マクロ機能のあるソフトを使わなければいいのですよね? どうしてもマクロ機能があるソフトを使わざるを得ない場合は、例えばエクセルにしてもマクロ実行機能を殺しておく必要があります。 コマンドライン入力なら何のソフトを使って起動するかを本人が認識したうえで起動できるという点では、拡張子と実行形式ファイルとの関連付けが勝手に変更されていた場合にも対応できますし、完全には無意味ではないと思います。

noname#215107
質問者

補足

すみません。ITで飯を食っているわけではない素人の意見ですので適当に聞き流してください。 例えば、組み込みマイコンの多くはバッファオーバーランとは無縁です。 アセンブラをご経験であればお分かりだと思いますが、そこまでしなくても、たとえば、、返り番地と引数を同じスタックに積む方式をやめて、スタックを2系統に分離する方式にすると効果が大きかったと思います。最近は対策は進められているはずですが、もっと発展させるべきだと思うのです。

  • cse_ri2
  • ベストアンサー率25% (830/3286)
回答No.8

ITでメシ食ってます。 とはいえ、セキュリティの専門家ではないので、その辺はご容赦を。 他の方の回答にあるように、インターネットにつながるPCと社内ネットワークのPCとを分け、外に漏れて困る情報は社内ネットワークのPCだけにしておくのが、まずは基本ですね。 この場合、仮に外部ファイル持ち込みでウィルス感染しても、物理的に遮断されるので外部にデータは漏れません。 後は、USBメモリやDVDディスクなど外部に持ち出し可能な装置を、あらかじめ潰しておくことです。 それでも、印刷するとか人がメモ書きすればデータ流出は置きますが、まあ内部の人間が裏切ればデータ流出は防げませんので、リスクを最小限にすることしかできませんが。 後は、教育を徹底するとか、社内ネットワークの端末を二重のドアロックと警備員のチェックをくぐらないと入退出できないセキュリティルームを作るとかですかね。 まあ、ここまでやっても100%は防ぎきれないのが、情報セキュリティの難しいところ。 スパイという職業が、いつまでたってもなくならないわけです。 とはいえ、今のザルの状況よりは、よほど改善できるでしょう。

noname#215107
質問者

お礼

ネットワークを遮断したとしても、職員がインターネットに接続できるパソコンを別途使っている以上、そちら側の対策もしておく必要がありますよね。 リムーバブルメディアで持ちだす可能性もありますし。 インターネットからもたらされる一切のコードを実行しない設定に出来ればよいのですが…。

noname#208104
noname#208104
回答No.7

情報を管理する端末はスタンドアロンで置いておけばいいだけ。 外部ネットワークに繋がってる端末で情報を扱うからこうなるんです。 漏れちゃ困る情報を扱ってる端末は、外部ネットワークと繋がない。 この程度の事は、民間企業ならどこも当たり前のようにやってます。 役所仕事なんて非効率の極みなくせに、こう言う事をするのは嫌がる。 あいつらって、本当セキュリティ意識の欠片もありません。 公務員の頭の中では、国民の事なんてどーでもいいんでしょうね。 どんだけ漏れたって、自分らの給料や年金には一切関係ありませんから。

  • t_ohta
  • ベストアンサー率38% (5241/13712)
回答No.6

インターネットに繋がるようにしているから問題が起きるんです。 社内ネットワークだけに接続してインターネットとは完全に遮断する。 電子メールなんてやめて電話とFAXでやりとりするようにすれば、今回のような問題は起きません。

noname#215107
質問者

お礼

回答有難うございます。 今回は、機密情報にアクセスできるパソコンがインターネットにも接続できるようになってたみたいですね。 重要なサーバーに接続する端末は、インターネットから遮断するのはもちろん、USBポートやSATAポート、スロット等は基板から取り除いておくといいかもしれません。

  • IDii24
  • ベストアンサー率24% (1597/6506)
回答No.5

考えてることはマクロとかEXEが起動出来ないようにと言うことでしょうか? 通常企業ではマクロは有効にしてませんし、xlsmやexeなどの拡張子はメールで送受信できません。今回の方法がどの手を使ったのか分かりまでんが、pdfでもjpgでもマクロは作れます。実行は読み取るソフト側に委託されます。ということはメールもブラウザもメモ帳でさえ使うなということになります。 要するに今回の事件は個人の資質の問題ですね。警告も発見も全てが無駄だったという処理ですよね。大企業では地方と本社の意識に差があって狙われるのはのんびり構えてる地方です。海外と一緒だと中国や発展途上国に支社がある会社も多くそこが狙われます。日本企業は漢字という特殊言語があるので狙われにくいだけでこの様なことは頻繁にあることです。 通常はファイル暗号化を企業ドメインに設定しドメイン内部でしかファイルを共有出来ないようにしてます。

noname#215107
質問者

お礼

回答有難うございます。 個人の資質にまかせるのも限界があると思います。 メモ帳はマクロ機能がないので使ってもいいかもしれませんが、外から送られてくる機械語コード、マクロ、スクリプトの実行はすべてできない設定にしておかないといけませんね。 物理的に遮断するのはもちろん、これからは独自の国産OSを使うべき時代にきているのかもしれませんね。

  • maiko0318
  • ベストアンサー率21% (1483/6969)
回答No.4

>教育に頼るのは無理がありますね。 確かに。winnyのウイルスによって情報流出が起きた時、 winnyは使うなとTVでやっていましたが、情報流出は止まりませんでしたものね。 最近では.exeのファイルをメールに添付できないようになっている メールソフトもありますね。

関連するQ&A