20100710総ネット市民時代の情報セキュリティ教育
DESCRIPTION
JUS京都研究会・OSC関西イベントTRANSCRIPT
『人類みなネット市民』時代のセキュリティ・プライバシー教育
NPO 情報セキュリテイ研究所京都大学学術情報メディアセンター
ちょっぴり自己紹介
肩書き一覧・・・ 本務:学術情報メディアセンター教育用システム担当
社会情報学専攻情報フルーエンシ教育講座准教授 社会活動:「自治体と学校」のセキュリティ
特定非営利活動法人情報セキュリティ研究所 副代表理事 特定非営利活動法人デジタル フォレンジック研究会 理事 ・ 特定非営利活動法人なら情報セキュリティ総合研究所 顧問 和歌山県警察本部サイバー犯罪対策アドバイザー 芦屋市 CIO 補佐官 枚方市情報公開・個人情報保護審議会委員 京都府後期高齢者医療広域連合個人情報保護審議会委員 高知県電子自治体推進協議会 顧問 「サイバー犯罪に関する白浜シンポジウム」と
「大学対抗 IT 危機管理コンテスト」を主催
もうずっと役大杉
システム管理歴というより IT ドカタ歴
~ 1996 年 京都大学工学部情報工学科→大学院進学・助手 Internet 黎明期 ボランティアでシステムを管理運用
(いわゆる postmaster を経験) ~ 2003 年
和歌山大学情報処理センター→システム情報学センター→システム工学部 全学の情報システムの設計・導入・管理・運用
~ 2006 年 京都大学工学研究科附属情報センター 事務の情報化・システムの設計と管理・運用の一部
~現在 京都大学学術情報メディアセンター 教育用コンピュータシステムの設計・管理・運用 全学の情報危機管理とかポリシー策定・展開とか・・・
その他、自治体情報システムのセキュリティを研究 限りなく無料に近いコンサルとしてこき使われているという話も
NetNews サーバやftp.kuis.kyoto-u.ac.jp
IRC サーバ等運営
4000 ユーザのネットとサーバ
を一人で管理 (;_;)
ポリシー!
NPO 「情報セキュリティ研究所」( RIIS )のご紹介
平成 14 年 1 月設立 代表:臼井義美 副代表:上原哲太郎 理事:近畿大学・和歌山大学・
会社社長( ISACA 大阪元会長) 専任スタッフ 4 名
場所は和歌山県田辺市 主な事業
自治体情報セキュリティ 電子自治体推進 地域情報化推進 地域での情報セキュリティ啓蒙 教育分野でのセキュリティ 人材育成事業
http://www.riis.or.jp
NPO なら情報セキュリティ総合研究所( NARIIS )のご紹介
平成 16 年 9 月設立 システムは RIIS を参考に 理事は奈良高専の OBおよび
元教官で構成 専従職員はなし
場所は奈良市 主な事業:
自治体情報セキュリティ 地域での情報セキュリティ啓蒙 教育分野でのセキュリティ
http://www.nariis.or.jp
情報化社会とセキュリティ教育
8危険安心
・安全
世界
友達・学校
家庭
良いコミュニケーション 悪いコミュニケーション
ニュース
天気
テレビ
学習
ショッピング
チケット
情報検索
動画
コミュニケーション
メール
使い方をまちがえると
迷惑メール
出会い系
家出サイト
詐欺 (ワンクリック・ フィッシング)
掲示板
チャット・ メール
メール・5分ルール
ブロフ
ウイルス
自分
ルール相 談
安 心
GPSゲーム
アダルト
依存症
中毒
違法
自分勝手
依存症
中毒
違法
自分勝手
情報の宝庫
最高最良のコミュニケーション
世界中に情報発信
いつでもどこでも24時間365日利用
情報の宝庫
最高最良のコミュニケーション
世界中に情報発信
いつでもどこでも24時間365日利用
学校裏サイト
ブログ誹謗中傷SNS
2ちゃんねる
困ったときのかけこみ
チェーンメール
サイバー犯罪は増えている
警察庁 サイバー犯罪の検挙状況等について
警察庁 サイバー犯罪の検挙状況等について
ネットのセキュリティは誰をおそうのか
サイバー犯罪は大きく分けると 金銭目的→被害者は「情報弱者」 性的目的→被害者は主に若い女性・児童 人間関係→誰にでも起こりうる
概ね「交通事故」と同じ 「弱者」が最初に犠牲になる
子ども・老人 「情報弱者」
セキュリティリテラシー向上!そのためには教育!
子どもは学校で? しかし学校にその能力が残念ながら…? そこで NPO を使った支援!(後述)
オトナ世代は? 企業等に勤めていればある程度は…? 保護者へのリーチが必要← NPO で
シニア世代は? 生涯教育として…どこまでうまくいく?
情報セキュリティ教育の難しさ
「後ろ向き」である:関わりたくない人が多い そもそも難しい話が多い(特に暗号、脆弱性) 世間はまずモラルや倫理の教育を求めているが、
教える側のシーズは技術に偏りがち しかも「状況が先行」:若者にモラルを語るには若者のネット文化を理解しなくてはならないこれは世代によりめまぐるしく変化する
教育のやり方によっては「犯罪の手口」を教えていることになりかねない
教えるべきことの幅が非常に広い 状況の変化が早い(教科書がすぐ陳腐化する) 学校では教師(や保護者)は「自分の知らないこと」を
教えることを強いられる しばしば被教育者にバカにされてしまう
子どもへのセキュリティ教育
15
学校での情報教育と「モラル」( 現行の学習指導要領 )
小学校段階
中学校段階
高等学校段階
核となる教科等 その他の教科コンピュータ等の
操作能力
各教科等総合学習
技術・家庭科「情報とコンピュータ」
各教科等総合学習
社会科「公民」
やってみる使ってみる
普通教科「情報」「情報 A 」「情報 B 」「情報 C 」
各教科等総合学習
できる使える
主体的に活用
参考:情報教育の手引き (文部科学省)
情報モラル
情報モラル
高等学校教科「情報」を巡る戦い
社会の問題の陰になっていたが「情報」も相当の未履修があった
全国校長会が「必履修から外せ」と大騒動 情報処理学会が会長名で「外すな」「それ以前に未履修問題もなんとかせよ」と大騒動
戦いの結果なんとか必履修を維持 情報 A,B,C から「社会と情報」「情報の科学」に
しかし教科「情報」の教員採用は異常に少ない 新指導要領では内容が増え「情報モラル」があち
こちに盛り込まれた・・・が?
16
17
新しい学習指導要領における情報教育の位置づけ
小学校段階
中学校段階
高等学校段階
核となる教科等 その他の教科コンピュータ等の
操作能力
各教科等総合学習
技術・家庭科「情報に関する技術」
各教科等総合学習
社会科「公民」
やってみる使ってみる
普通教科「情報」「社会と情報」「情報の科学」
各教科等総合学習
できる使える
主体的に活用
参考:情報教育の手引き (文部科学省) 高校だけで情報モラ
ルが 30回出てくる!
学校への大量の PC バラマキ 急に文科省が「パソコン買って学校においてく
れ」と言い出した いわゆる「教育ニューディール」
理由: 2011 年 3 月までに「 PC3.6 人 /台」「校内 LAN100% 」を掲げてしまったが・・・ 2008 年 3 月で 7 人 /台, 62.5% 今までの速度からみてとても達成できない
まくのはいいのだが・・・現場は悲鳴 「管理できませんー」 セキュリティ以前の問題
18
「校内ネットワークを活用しよう」by文部科学省
校内ネットワークを活用することにより、教員が校務を効率的に行えるようになるとともに、授業において、インターネットを積極的に活用することにより、「魅力ある授業」や「わかる授業」を実現していかなければなりません。(文部科学省ホームページより)
理念は分かるが、どうやって?
誰がネットやサーバを維持管理?文部科学省によれば・・・
「管理に必要なノウハウ 専門家の適切な助言を!」 ハードウェア ソフトウェア著作権 個人情報のデータ保護 など
「ネットワーク管理の役割分担を!」 最終的な責任者は、管理職の役割です。 事務職員の活用 - 授業中のトラブルにも対応できるよ
うに! 情報処理技術者等の専門家の活用 校内研修 校内ネットワークは教員全員のもの!
どこにいる?
事故が起きたら謝るだけ?
ムチャ!
どこにいる?
サーバ・ネットの管理は楽ではない
LAN は、ハブや線は管理コスト小さいルータやファイアウォールが入るとコスト大侵入検知装置 (IDS) は専従者が必須(わからないなら入れないほうがマシ)
サーバは専従者がいてこそ! クライアントの管理(とくにトラブル処理)は極めて煩雑で人的コスト高い
いずれにせよ技術力が必要 だがクライアント管理はサーバ管理ほどの技術は要ら
ない
教員が片手間でやる仕事の域を超える
本当はアウトソーシングしたい!
アウトソーシングのジレンマ 専従を雇うよりは安いとはいえ、決して安くは
ない 「全てお任せ」メニューは無理、ある程度は現場が負
担 遠隔監視 / 管理技術を駆使してコストダウンをはかる
できるだけ少人数で多数の学校を観てもらう仕組み モラルが期待できるか?情報漏えいが起きない
か? 故意の、犯罪性のある情報漏えい事件は多くは
「下請け業者」による内部犯行である 業者に投げるならそこへの監視体制(お任せはダメ) 参加自治体 / 学校によるコンソーシアムの編成や
県委託による公共性の確保も視野にNPO で引き受けられるんじゃ?
リーズナブルなアウトソーシング
高い技術力の必要な以下の作業を現業教職員から引き剥がす システムの設計 サーバの運用管理
物理セキュリティの確保はオプション ネットワーク運用管理のうちファイアウォールや IDS
の管理 (必要なら)クライアントの集中管理
教職員側では以下の管理を行う クライアントの(簡単な)管理 LAN の管理(その代わり LAN は基本的に L2 で設計し
ファイアウォールが必要な場所を最低限に) アウトソーシング先の監視
アウトソーシング先はヘルプデスクの機能も負う
基本的なシステム構成
データセンター
インターネットへ
VPNまたは専用線
学校(または地域イントラネット)
ファイアウォー
ル
侵入検知システム
ルー
タ
ルータ
ルー
タ生徒 PC
教員 PC
対内サーバ教材共有学務補助
グループウェアなど
対外サーバWeb サーバ
メールサーバファイルサーバ
コンテンツフィルタ
回線速度が稼げる場合はファイルサーバをデータセンター側に移すコストがかけられる場合は教員・生徒 PC を遠隔管理・監視する全サーバはウィルスチェックを一括管理(特に Proxy とメール)
ファイアウォール
システム管理者
Proxy サーバ
教育のために先生は学習を強いられている…
2009.4 「青少年インターネット環境の整備等に関する検討会」 2011 年度全教員に
情報モラル指導能力を 一方で教師の
平均年齢は上昇 H.19 の場合
小学校で平均 44.4 中学校で平均 43.8
小学校 教師年齢層別
学校は子どもに全く頼られていない「困ったとき、誰に相談しますか?」
1.(リアルな)ともだち2.ネットのともだち3.誰にも相談しない4.親に相談する
ランク外.先生に相談する26
さらなる問題:ケータイをどうする
実際には子どもにはパソコンよりケータイの方が問題が大きい
しかしケータイは… 授業で使われることはまずない そもそも学校に持ってきては駄目な所もある
そもそも「持たせない」運動とか条例があったり…
自動的に学校とは無関係→教育不要 ?!
そこで学校に対する教育アプローチ
かつてはいくつかのきっかけとなる事件があった ネオむぎ茶、佐世保・・・ その都度話題にはなるが、すぐに収まってしまっていた
今は「学校内でトラブルが起きて」駆け込まれる 「学校出張」講演会や PTA向け講習会実施
これを警察との協業事業に!(和歌山・奈良) 学校で講習できる「講師を養成する!」 JNSA インターネット安全教室や保安協会の教材に独自教材を加えたものを講師に渡して,学校で派遣するメソッド
NPO の 2 名程度の講師から既に数十名の講師が! 奈良では昨年度のべ 2500 名,今年度 4000 名目標
子どもとネットの現状
子どもとケータイNTT ドコモ モバイル社会研究所調べ(2007)
30Copyright 2008 RIIS All Rights Reserved.
子どもとパソコン内閣府 第5回情報化社会と青少年に関する意識調査( 2007 )
31Copyright 2008 RIIS All Rights Reserved.
32Copyright 2008 RIIS All Rights Reserved.
内閣府第 5回情報化社会と青少年に関する意識調査報告書( H19.12)
コミュニケーショ
ン
コミュニケーショ
ン調べ学習
調査
調査
エンターテイメント・学習
コミュニケーション
コミュニケーションゲーム?エンター
テイメント?
パソコンの使われ方
33Copyright 2008 RIIS All Rights Reserved.
内閣府調査より「保護者の心配事」
保護者はパソコンの何を?
34Copyright 2008 RIIS All Rights Reserved.
子どもは何に用心している?
ちゃんとセキュリティに気をつけている!(えらい!)
でもコミュニケーションに気を使っているかどうかは・・・・?
加害意識に至っては?
結論だけ先に申しますと・・・ ネットもケータイも社会に不可欠な道具
そのうち子どもにも不可欠になるだろう しかし「自己責任社会」という大前提に立った
設計のため、子どもを直接放り込むには不適当少なくとも大人の見守りが必要
保護者には子どもの監督責任がある!ネット社会で子どもに起きた問題は保護者の責任 被害者だけではなく加害者にもなりうる
子どもにネット上でのルールやマナーを守らせるのは保護者の責任!
35
子どもは何のためにネットやケータイを使うのか?
36Copyright 2008 RIIS All Rights Reserved.
暇だから・・・ゲーム・音楽・動画ネット小説やマンガ
友達たくさん欲しい彼氏 /彼女が欲しい
メール、掲示板ブログ・ SNS ・プロフ
目立ちたい有名になりたい
上記+ネット小説・まんが・動画投稿
無料で欲しいお金が欲しい
「無料」ファイル入手オークション・出会い系サイト等
ちょっと悪いことがしてみたい・度胸試し
違法・有害情報サイト掲示板荒らし・「祭り」
近頃ネットで流行るモノ ブログ=Web日記
世界のブログで最も多いのは日本語( 4割近い) ティーンエイジャーが多い?
SNS (ソーシャルネットワークサービス) mixiが有名だが年齢制限がある 子ども向けには「コミュ」機能付きのゲームサイトが事実上代替
チャット・ Twitter ・リアル 動画投稿サイト (YouTube ニコニコ動画 )
「やってみた」系はハイティーンが結構投稿している ネットワークゲーム
依存性が極めて高い 37Copyright 2008 RIIS All Rights Reserved.
ケータイ Web サービス花盛り 子どもに人気があるのは
「コミュニケーション」と「エンターテイメント」
38Copyright 2008 RIIS All Rights Reserved.
モバゲー TOWNゲーム+コミュニケーション
前略プロフィール「プロフ」の最大手
魔法の i らんどケータイ小説で有名に
これに弱い・「タダだよ!」・ナイショの・・・・有名に!・(ちょっと)悪いこと・(ちょっと)エッチ・お金・・・
コミュニケーション? 普通の「メール」
多くの場合は実際の友達との間での交流
まれに各種サイトなどを通じた付き合い 掲示板
趣味のサイト(特にゲーム)から学校裏サイトまで ブログ・個人ホームページ・プロフ
「交換日記」の Web 化の場合 「目立ちたい」場合
SNS ・コミュニケーションサイト ゲームなど何らかの「核」からネット上でのコミュニティを
Twitter/ リアル チャットは中毒性が高い 39Copyright 2008 RIIS All Rights
Reserved.
どんなコミュニケーション? もちろん真面目な相談や情報交換もある オトコノコは「エッチ」や「ちょい悪」に惹かれる
エッチ画像・小説・・・ ゲームのウラワザなど
オンナノコはひたすら「つながりたい」 友達を増やしたい・恋人欲しい 有名になりたい
共通するものとして「はけ口」になりやすい 愚痴を書く その延長にあるいじめ
40Copyright 2008 RIIS All Rights Reserved.
では、何が危険なのか 技術的に、犯罪的に、被害者になりやすいもの
ウィルスやスパイウェアなど 詐欺(ワンクリック詐欺 オークション詐欺 モデル詐欺など)
個人情報漏洩(フィッシング、ウィルス、 P2P )・盗聴 (女子は)オトナからの誘引 有害情報(麻薬・危険物・自殺・・・) ネットワーク依存・ゲーム依存
被害者にも加害者にもなりうるコミュニケーション 掲示板荒らし 「犯罪予告」など ネットいじめ メール /掲示板での誹謗中傷
「学校裏サイト」など 41Copyright 2008 RIIS All Rights Reserved.
詐欺で多いパターン ワンクリック詐欺 ネットオークション詐欺 落札して入金してもモノを届けない
当選詐欺 景品にあたったの
で・・・ モデル詐欺
「女子中高生のモデル 募集しています!」
42Copyright 2008 RIIS All Rights Reserved.
入会ありがとうございますつきましては入会金
10万円を11 月 5日までに
お振り込み下さい
請求番号: 1234567IP アドレス :
123.45.67.89
なお延滞した場合は上記の情報をもとに取り立てに・・・
でたらめ
IP アドレスだけでは困難
いままで
フィッシング詐欺
43Copyright 2008 RIIS All Rights Reserved.
To: XXXさまFrom: YYYYゲーム運営センター
YYYYゲーム登録ユーザの皆様
いつも YYYYゲームをご利用いただきましてありがとうございますこのたび、セキュリティ向上のためみなさまのパスワードを今までより長いものに更新していただくことになりましたお手数ですが下記 URL にアクセスの上、 ID と現在のパスワード、新しいパスワードをご入力くださいhttp://www.yyyy.jp/renewal/
メール差出人の詐称は簡単
正規に見えるが違うサイトにつながる
システムの管理者を装ってパスワードの変更を促すメールを送る本物そっくりに見えるが偽物でクリックしたサイトは別物ここでパスワードを入力すると盗まれる
まともな管理者はメールで重要な情報は伝えない
女子への大人からの誘引:コミュニケーション≒出会い系
「若い女の子と知り合いになれる」可能性があればいわゆる「出会い系」でなくとも男は狙う たとえ「男子禁制」で
も女の子になり済まして! 「ネカマ」の存在
子どもたちの「友達増やしたい」につけこむ
44Copyright 2008 RIIS All Rights Reserved.
ふみコミュ
有害情報 わいせつ画像 グロ画像 爆発物の作り方 「ハッキング」のやり方違法な「金儲け」
銃器・麻薬・向精神薬・・・ この辺は隠語が発達している
自殺サイト 違法ファイルダウンロード(無料着うたなど) そもそも「ガラが悪い」ところ・・・(匿名掲示板
等) フィルタリングなどがそこそこ有効
45Copyright 2008 RIIS All Rights Reserved.
ネットホリック(ネット依存症)
「コミュニケーション」があるものは依存症の可能性がある メール(一日 50通以上・・・) チャット
(数時間) ネットワークゲーム(特に中毒性が高い)
『メールの 30分ルール』(特に女子) 「すぐに(約 30分以内に)返事しないといけない」 特に直接の友達間の場合は大変多いルール これが原因でケンカやいじめに発展することも
食事時もケータイを離さなくなったら要注意!
46Copyright 2008 RIIS All Rights Reserved.
Copyright 2007 RIIS All Rights Reserved.
47NTT ドコモ HP よ
り
Copyright 2007 RIIS All Rights Reserved.
48 NTT ドコモ HP より
フレーミングとネットいじめ
ネットはケンカになりやすい / 「いじめ向き」メディア 受け止め方がまちまち きつい言葉になりやすい 匿名性を生かすと「手軽に」いじめられる コミュニティに疑心暗鬼が増幅しやすい
49Copyright 2008 RIIS All Rights Reserved.
バカ死ね
書き込み
ISP
誰が書いたの?消してもらえるの?
ネットのコミュニケーショントラブル
「ネット」は単にきっかけや道具であって、背後には現実での対人関係がかかわっている場合が多い(特に子どもは)
対処法: 誹謗中傷などの書き込みは管理者に削除要請
応対してくれない場合はプロバイダに要請 一度、当事者を「ネットから切り離す」 その後ゆっくり「リアルの」問題を解決すべき
多くの事例がNPO 情報セキュリティフォーラムによってまとめられているので参考になるhttp://www.isef.or.jp/rd/jirei_web/top.html
50Copyright 2008 RIIS All Rights Reserved.
その他ネットいじめの事例は・・・
いじめ防止ネットワークhttp://www.ijimesos.org/ に詳しい いじめ全般を扱う NPOだが、いまいかに
いじめにネットが「効果的に」使われているか判る
51Copyright 2008 RIIS All Rights Reserved.
そもそもの原因は・・・ ケータイは小さいが「地球の窓」である パソコンもそう しかも、「未来永劫」書き込みは残る
52Copyright 2008 RIIS All Rights Reserved.
やっほー
直観に合わないきちんと教えるべき
子どもが覚えておくべきこと 「あなたのカキコ」は、世界中から見られ
る 「あなたのカキコ」は、未来永劫残る 「あなたのカキコ」は、あなたのものだ
と判る 「他の人のカキコ」の真偽は、あなたが判断せねばならない
ネットの世界は全てではない 無視するチカラ=「スルー力」 ネット世界以外への興味を 53
保護者には何を伝えるべきか?
まずは「見守ろう!」 見守れる環境を作る=子どもが何をしているか
わかるほうがよい ルールを決めよう! 教えるべきは教えよう! セフティーネットを張ろう!だが・・・
フィルタリングは万能ではない 子どもの人気サイトはフィルタリングにひっかかる 「安心感」がコミュニケーションのトラブルを見逃す フィルタリングが親と子の間のケンカの元にも
54Copyright 2008 RIIS All Rights Reserved.
スローガン・「フィルタリングよりモニタリング」
フィルタリングをするには パソコンにも無料サービスがある
Yahoo! とマイクロソフト http://tetsu.kmc.jp/?free-web-filtering
ケータイは各社サービスがある
フィルタリングは「したら終わり」ではない必ず外さなくてはいけない時が来るがその時こそ問題
55Copyright 2008 RIIS All Rights Reserved.
Copyright 2008 RIIS All Rights Reserved.
56
有害サイトアクセス制限サービスのカテゴリー一覧
携帯電話のフィルタリングの実態は公式コンテンツ以外のサイト利用はほぼ不可(出会い系サイトを取り締まる→コミュニティサイトへの利用は出来なくなる:モバゲータウン他)
そもそも「何をしているか」見る=モニタリングが重要
小学生の間は「リビングにパソコン」ケータイはメール機能のみ中身を見ることを最初に宣言してしまう KDDI には転送サービスがあるので利用可能
中高生になったら親とのコミュニケーションで解決するしかない パソコンには「ペアレンタルコントロール機能」
としてそういう機能を持つソフトがあるが、思春期に入ると反発を招きやすい
見守りの中から普段と変わったことを察する57Copyright 2008 RIIS All Rights
Reserved.
事件が起きたら・・・
慌てない! 特に、攻撃的な誹謗中傷の書き込みに対して
は、
「反応してはいけない」 反応したら大炎上 思うツボである・・・
忘れることが一番 それでも放置しかねる、あるレベルを超えた
ら・・・ 「大人」を絡めて削除要請 警察の力を借りる 58Copyright 2008 RIIS All Rights
Reserved.
相談できる先は? 財団法人インターネット協会
ケータイやインターネットの相談窓口がある インターネットホットラインセンター
違法な書き込み・有害な情報の報告 各都道府県警サイバー犯罪対策室 和歌山の NPO も和歌山大学と合同で相談窓口開設を準備中
59Copyright 2008 RIIS All Rights Reserved.
よい教材を使って・・・ インターネットにおけるルールとマナー
こどもばん 公式テキスト インターネット協会版型 B5 、 112ページ 定価 1,680円
教材「みんなのケータイ」 http://www.moba-ken.jp/theme/kidsmobile/tex
tbook 「ちょっと待って、ケータイ」リーフレット
http://www.mext.go.jp/a_menu/sports/ikusei/taisaku/07011204.htm
ネット社会と子供たち協議会 ポータル http://net-society.org/index.html 60Copyright 2008 RIIS All Rights
Reserved.
参考文献 「学校裏サイト」 下田博次
東洋経済新聞社 1500円+税 「ケータイ世界の子どもたち」 藤川大祐
講談社 720円+税 ネットいじめ・言葉の暴力克服の取り組み
教育開発研究所 2400円+税 ケータイ、ネットの闇
金子書房「児童心理」臨時増刊 No.885
61Copyright 2008 RIIS All Rights Reserved.
自治体情報セキュリティと NPO
自治体情報セキュリティに対する危機感
NPO 設立当時自治体は追い詰められていた 住基ネットの稼動を受けて情報セキュリティポリシー
策定の期限が迫っているが金はない!人もいない!和歌山は小規模自治体だらけであまりに非力 自力でできないからアウトソーシングしたいが大企業は
田舎に来ない or 高い ほかに頼む先はないのか? 宇治市住民基本台帳漏洩事件+住基ネット騒動で社
会の目が自治体の個人情報に集まっている 個人情報はちゃんと守ってほしい だが「業者の食い物」になるのはカンベンしてほしい
そこで現実を調べてみると・・・・うわ・・うわぁ・・・・
住基ネット騒ぎがトリガになった「不幸のスパイラル」専門家としてできることはないのか?
現状の典型的自治体情報システム
住基
戸籍乳幼児選挙・・・
固定資産軽自動車・・・
税務
バッチ処理or 即時連携
閉鎖系 LAN( メインフレーム・オフコン )
ファイアウォー
ル
文書管理施設予約・・・
情報系 LAN(パソコン )
インター
ネッ
ト
インター
ネッ
ト
開放系 DMZ
Webメール
議会録提供・・
ファイアウォールまたは未接続
LGWANLGWAN
FW/文書交換システム等
住基ネット
住基ネット
FW/GW サーバ
FW
住基 CS
その情報システムの管理は?
早くから情報化を果たしたところほど「全て自分たちでやる」傾向が強い よってメインフレームがあるところは独自開発できるスタッフを多く抱えているところも
しかし多くは外注に出している アウトソーシング推進の影響
結果として「情報システム」を理解する正規職員が減少 極めて少ないスタッフで運営
情報課 or係が存在しない都道府県は 3つ市町村になると約 70% は専属スタッフがいない
システム管理で手一杯・セキュリティは??? そもそも都道府県・市町村とも 25% は CIO を任命し
ていない 電子自治体推進計画策定率も都道府県では 91%だが市町村で
は 39%
住民基本台帳ネットワーク 既存の住民基本台帳システムから基本四情
報を取り出し、 CS とよぶサーバに複製して交換するシステム
既存住基サーバ
CS
ファイアウォール
都道府県サーバ
CS
市区町村住基システム
全国サーバ
電子自治体の基盤システム
システムの異なる各自治体の住基サーバをつなぐための苦肉の策
単一実装
そもそも住民基本台帳とは? 「住民票」「選挙人名簿」の基となる台帳
戸籍とは異なる 全住民について「住民票の存在する自治
体」が以下の情報を保持する 氏名・生年月日・性別・住所=基本 4 情報 他に世帯主との関係・戸籍・転入日
・住民票コード・各種福祉関係など計 16項目 行政サービスを受けるための基礎、かつ納税などの義務の基礎情報
住民票コードとは 住民基本台帳そのものはもともと「書類」 しかし行政サービスの基礎となるため各自治体で電算化が進む
各自治体固有のシステムを国全体で統合するにあたって、一意性のあるコードが必要に
住民票記載の全国民に 11桁の一意の番号を付与 番号は基本的にランダム 住所変更しても番号は不変:事実上の国民総背番号 ただし本人からの申し出で番号を変更することはでき
る 変更の履歴は残るので追跡は可能
じゃあ住基ネットは何に使える?
要は・・・ 住民基本台帳に載っていることが
「役所の部門の壁を越えて」ネットで参照できる つまり住民票を持って行かなくてよい、だけ?
住基カードは? 現状では身分証明書&公的個人認証の入れ物でし
かない ただ IC カードとしては機能を付加できるので
それでいろいろ機能が加わるはずだったんだけど・・・ 批判に国がビビッてしまった /省庁の壁がまだ厚い69
70
住基ネット騒ぎの不幸 住基ネット騒ぎは「自治体情報システムの危機は住基ネット『以外』にある」ことを露わにしたのに、
それを理解した人は少なかった・・・・ 例えば長野県の侵入実験の報告書の報道
結局住基ネットは何なのかということについて正確な報道がされなかった 端的には「住民票」の提出を不要にするシステム
「住基ネットからの離脱」が何を意味するのか宇治住基台帳事件の『 1件 1万円の賠償』が意味するものは何か理解されているか?実はマトモな当事者意識がないんじゃないのか?
これで本当に民主主義といえるのか?
結局「リスクコミュニケーション」の要となる専門家が足りない!
市民=反対派 行政=推進派
専門家
危険!やめて!事故が起きたらどうするの!
業務効率化してサービス向上
するんですよ!
何でも反対なんだろ?
根深い対立と不信
まずは財政効果を示さないと説得力が出ません
よ?
リスクをある程度許容しないと
結局増税ですよ?
真の民主主義は妥協案の模索
予算と定員の確保は公務員の本能
税金泥棒どもめ!
NPO 活動は厳しいが楽しい 社会インフラの情報セキュリティ確保は
市民の当事者意識が必要! NPO はよい形 たかが弱小NPOだがやれることはずいぶんある
自治体情報セキュリティ 自分でやらねば」の意識改革に成功?「
これからは教育方面に力を入れたい 地域デジタルディバイドを解消 県のバックアップがあればこそいつもできている・感謝
今後は地域展開をしたい 同じ仕組みをあちこちに作れたらなぁ・・・
残る問題と,グチ…
次はシニアですよ
H21 通信利用動向調査より
一番扱いにくいシニア世代 情報セキュリティ教育を受けるモチベーションに欠ける 機会があっても来ない!
そもそも新しいものは覚えにくい人たち…
ほとんど No Idea! 振り込め詐欺と同じコトになりそう
公的補助考えて欲しい…
NPO 活動雑感 県との協業が多いという意味では
大変お世話になってはいるんだけど・・・そもそも県の感覚は NPO=CSR?! とても人件費が出ない
和歌山の NPOだと専業が4 人もいるんですけど ?!
今は団塊世代リタイア組のチカラが使えるが…
というわけで回し 続 けるのは大変 不景気になるととたんに大変! 政権が代わるともっと… 次の世代まで持たないかも…
セキュリティ研究雑感 要素技術の研究は多々あるが社会に応用しようと
するとバランスの悪い提案も少なくない 特に「原理主義的」研究 突き詰めるのは研究者の性だが
できれば社会に応用したときの議論が欲しいといつも思う
リスクというものを正しく伝えるのはセキュリティ研究者の大きな責務じゃないの? 正しく「だめ出し」できる能力があるのは研究者だけでは 「主観的リスク」に厳しいことを言えるのも研究者だけで
は 針小棒大ではだめだが 言うべき時は言うべき
例1:ケータイ Web の世界で最近こういうことが行われました
以前から一部のキャリアは「機器 ID 」をサーバに送る仕組みがあった(機器認証)
2008 年 4 月から、ケータイ各社において「各ケータイの固有の ID 」がケータイ Web サイトに「確認なしに」送られるようになった ID は個人名や電話番号がわかるものではない 利用者の利便のため:認証が大変楽になる モバイルコンテンツのさらなる発展のため 「犯罪予告」や「誹謗中傷」の追跡をさらに楽にするため?
79産業育成にもなる!社会安全にも繋がる!いいことじゃないか!
http://www.nttdocomo.co.jp/info/notice/page/080228_00.html
固定 ID 問題とは 「広く普遍的に」使われるものに・・・
固有で、変更が容易でなく 誰にでも読む取ることができ しかも利用者にその内容があまり意識されな
い ・・・ような番号は、与えるべきではない
たとえ個人情報が容易に復元できないとしても。
ただしセキュリティ上も問題がある場合もある
この問題は「プライバシー観」に大変密接に結びついているためなかなか理解されない! 「それでなにが怖いの?」
プライバシーとセキュリティが分離できてない人々が大変・・・
詐欺業者は今頃大喜びなんじゃないかなぁ・・・・
81
入会ありがとうございますつきましては入会金
10万円を11 月 5日までにお振り込み下さい
請求番号: 1234567IP アドレス :
123.45.67.89
なお延滞した場合は上記の情報をもとに取り立てに・・・
入会ありがとうございますつきましては入会金
10万円を11 月 5日までにお振り込み下さい
請求 ID:ABCXYZ請求先:上原哲太郎様
なお延滞した場合は上記の情報をもとに取り立てに・・・
ID:ABCXYZ名前:上原哲太郎住所 : 京都市西京区・・・TEL:090-1234-5678
ID に対応する名前のリストをどこかから手に入れる
これを使うと
でたらめ
IP アドレスだけでは困難
いままで これから
例2:無線 LAN の暗号化について
WEP は一瞬で解けるようになった もはや意味なし 理論的に可能であるだけではなく・・・ ところが「 NintendoDS 問題」がある 誰の責任?
WPA-TKIP も一部解読可能になった。 が!! このリスクはまだ大声で喧伝する段階ではない言い過ぎると WEP と同じ轍を踏む
ただし「 Xbox 問題」というのが存在する何も言わなくて言い訳ではない
WPA-AES なら大丈夫 か?! 今あるリスクはどこにあるのか ちゃんと言わないと
参考:「無線 LAN の『現在の脅威』」日経 PCオンライン http://pc.nikkeibp.co.jp/article/column/20090820/1017930/
おわりに 情報セキュリティとプライバシーは社会の問題
しかし社会基盤の疲弊が激しくて,行政には全く頼れなくなり,手が回らないところが増えてる だからこそ,私たちみたいな公的立場の人間が今後社会活動に力を注ぐべきなんじゃないかな
だから今後こういうNPO 協業スキームは増える?
だったら持続 可能性のある仕組みにして欲しい!