  |
はてなキーワード: 高木浩光とは
というかシンプルにマスコミは専門家のコメント裏取したうえで報じてくれればいいんだけどな。
セキュリティ上の問題だったら徳丸先生でもひろみちゅこと高木浩光先生にコメント取ったうえで報じればよいし。(まあ今回はそこまで取ってしまうと、「仕方がない」となってしまうので聞けないわけだが)
実行した場合の法的問題もそれこそ下記共同通信の記事のように弁護士がいくらでもコメントしてくれるだろ。
https://this.kiji.is/767295272963997696
記者は取材のプロであっても専門的価値判断のプロではないって話ないので、ちゃんとそこは詰めてほしいわ。きっかけは庶民感覚でも、庶民感覚で記事書いて終わりというのは素人だよ。
異議を唱えた高木浩光氏。
俺はあの人が嫌いだ。
よく露悪的な表現使うし、それを悪いことだと思ってるフシが無いし、信者ファンネル使って必要以上に叩くし。
なんというか平成を感じる。ある種の憎悪クリエーターだと思う。
でも今回の一連のツイートで同氏は特に露悪的では無かったし、そういう職業の人なのでこの指摘をする事も何の問題もないと思う。
だがお前らはなんだ。
「頑張って改善して欲しい」だの、
「つまらん指摘」だの。
あのさぁ、ガザ地区の話してるんじゃないんだよ。
もっとこう、肩の力を抜こうよ。
色々言うことがあるだろう。
もっと楽しめよ。
特に人が叩かれてる時。
一緒になって叩くか、叩いてる方を叩くだけ。
叩くな。もみほぐせ。
憎悪に惑わされるな。
https://togetter.com/li/1714221
高木浩光氏による「デジタル庁によるnote発信における問題点の指摘」が話題になっているが、この焦点となっている
「政府機関等の情報セキュリティ対策のための統一基準群」(通称:統一基準群)について、誤解を前提としたブコメがあまりに多いので簡単に概要説明。
あくまで「統一基準群って何?」という大前提についての話で、高木氏の指摘内容自体は説明しない。
●原本はここ
https://www.nisc.go.jp/active/general/kijun30.html
現在令和3年度版策定中なのでこれが現行。全文が公開されている。
「群」と言われている通り、規範-指針-基準及び基準策定ガイドライン、という階層構造の文書群。
専門家でなくても判るよう噛み砕いた文章にはなっているが、規定である以上正確性を担保した文章で、読み飛ばせないゆえに、全体理解には相当負荷のかかる文書群ではある。
但し無論根拠法は存在する。法律(サイバーセキュリティ基本法)において「国の行政機関等はサイバーセキュリティに関する対策の基準を作成しなければならない」と定められていて、「だったら個別に各機関で作るより統一基準を作ろう」という事で、内閣サイバーセキュリティ センター(NISC)が作成しているのがこの文書群。
中央省庁全てと国立行政法人の大半はこのセキュリティ基準を採用していて、ITシステムの導入/運用にあたっては、この基準を守らなければならないというルール。
なお法令ではない以上、破っても罰則があるわけではない。(法律上の義務も「基準の策定」であって「基準の遵守」ではない)
統一基準群は「基準策定ガイドライン」という文書が含まれているとおり、わりと大枠の基準。それなりの自由度が設定されていて、「これをベースラインとして現実的な対策/実要件はこの基準の範囲内で、各省庁(独法)で細部を定めてね」という主旨。
今回の件は(デジタル庁独自基準がどうなっていようと/例え実際のセキュリティ上の問題が無かろうとも)、そもそもこのベースラインの内容に反しているからダメなんじゃね?というのが高木氏の指摘。
膨大な文書であり、かつ行政文書にしてはしばしば改定される(セキュリティ対策なので当然の話)ので内容をきっちり把握している省庁の担当者は正直あまり多くない印象。
IT専門の部署でない部局が行うITシステムの調達では「セキュリティについては統一基準群に則ること」と仕様書に1行記載してすませる(=設計内容丸投げ)ケースも多い。
統一基準群に基づき独自の具体的基準をきっちり策定し、基準を順守した設計となっているか目を光らせている省庁部局となると非常に限られる。(もちろん厳しい所は厳しい)
セキュリティ基準の必要性は当然なのだが、ITシステムにおいて、何も言われなくても仕様書の「則ること」一行に対し数百項目の対策リストを出してくるような、統一基準群と標準ガイドライン群(注)に代表される中央省庁独自規則に精通した技術者を抱える特定ベンダに(入札自体はオープンで公平であっても)発注が集中してしまう実状を生んでいる一因でもある。
近年は統一基準群も標準ガイドライン群も「クラウド・バイ・デフォルト」を原則として、外部SaaS等の利用を積極的に推奨する方向の規定にしているのだが、そもそも統一基準群を把握している担当者が少ない現状では、方針がそうなっていてもなかなか浸透しないのが実態かと思われる。
把握できてない以上意図してなくても本件のようなやらかしを踏み抜く可能性がつきまとうわけで(SaaS事業者は統一基準群を守れているか、なんて回答してくれない)、そこを恐れる実務者の気持ちは分からないでもない。
(注) 標準ガイドライン群
正式名称「デジタル・ガバメント推進標準ガイドライン」。セキュリティ面以外のIT利活用の指針文書群。こちらも膨大な文書群で、中央省庁のIT関連ルールにおいて把握が大変な点で統一基準群と双璧。
| 時間 | 記事数 | 文字数 | 文字数平均 | 文字数中央値 |
|---|---|---|---|---|
| 00 | 69 | 11450 | 165.9 | 57 |
| 01 | 37 | 4296 | 116.1 | 46 |
| 02 | 46 | 5740 | 124.8 | 50 |
| 03 | 12 | 799 | 66.6 | 57 |
| 04 | 11 | 1019 | 92.6 | 78 |
| 05 | 10 | 6106 | 610.6 | 177.5 |
| 06 | 23 | 2784 | 121.0 | 81 |
| 07 | 34 | 7304 | 214.8 | 126.5 |
| 08 | 72 | 6580 | 91.4 | 44.5 |
| 09 | 84 | 10162 | 121.0 | 61.5 |
| 10 | 99 | 12235 | 123.6 | 65 |
| 11 | 89 | 13279 | 149.2 | 74 |
| 12 | 122 | 7080 | 58.0 | 36 |
| 13 | 127 | 12984 | 102.2 | 53 |
| 14 | 112 | 11947 | 106.7 | 60.5 |
| 15 | 144 | 13116 | 91.1 | 42 |
| 16 | 204 | 16800 | 82.4 | 55 |
| 17 | 157 | 14574 | 92.8 | 50 |
| 18 | 113 | 12472 | 110.4 | 45 |
| 19 | 123 | 18091 | 147.1 | 46 |
| 20 | 149 | 16751 | 112.4 | 47 |
| 21 | 161 | 14547 | 90.4 | 45 |
| 22 | 244 | 19576 | 80.2 | 46.5 |
| 23 | 180 | 21820 | 121.2 | 43.5 |
| 1日 | 2422 | 261512 | 108.0 | 50 |
富岳(4), 例外処理(11), COCOA(9), 富嶽(3), 非核(3), 高木浩光(7), 年パス(5), 女性化(3), 噺家(4), HiromitsuTakagi(4), 産総研(3), メールアドレス(15), 王子(14), 匿名性(13), 短期間(14), MS(10), 黒人差別(8), ルッキズム(10), インストール(12), 悪用(12), 誘う(10), いみ(11), アプリ(46), ジャニーズ(11), プログラマー(17), セキュリティ(10), 誘わ(12), ド(17), 不当(12), リリース(8), 手法(15), 黒人(31), 同意(37), 白人(20), 素人(26), 登録(22), 事前(16), 運用(16), 痴漢(50), エンジニア(22)
■なぜ酒がセーフなのかが分からない…… /20200622205006(26), ■接触確認アプリに関する炎上騒動と誹謗中傷問題 /20200623071250(22), ■ /20200623160415(13), ■私が接触確認アプリをインストールしない理由 /20200622163854(12), ■12年前にレジ袋を有料化した県に何が起こったか /20200622195053(12), ■日本の小児性愛者の大半は「女性」だよね /20200623115004(8), ■昨日道を歩いてたら前にいた女性がめっちゃ駆け足になって逃げていったんだけど /20200623073459(8), ■増田で同じ内容を投稿するのってあり? /20200623120022(7), ■富嶽1位取った富士通の技術力と評価 /20200623001201(7), ■ポケモン世界の風俗産業 /20200608213219(6), ■プログラマー連中にはもううんざり /20200623193731(6), ■学生アルバイトが仕事を舐めていて辛い /20200623215646(6), ■日本でgoogleが誕生しても絶対に潰されたよな。 /20200623221447(6), ■anond:20200623071250 /20200623074018(5), ■anond:20200623125511 /20200623125917(5), ■https://b.hatena.ne.jp/entry/s/www3.nhk.or.jp/news/html/20200623/k10012480321000.html /20200623135242(5), ■小説投稿サイトをよく観覧するのだけど /20200623143331(5), ■マジで今のインターネット「あああ!!敵対陣営のひとりがこんな酷いことを言った!!!叩け!!」の無限ループだよな /20200623145250(5), ■黒人の制度的差別に反対している人達って /20200623152303(5), ■「利己的な遺伝子」をちゃんと読んで /20200622052939(5), ■anond:20200623160735 /20200623161138(5), ■anond:20200623171321 /20200623171505(5), ■姉妹愛を描いた美しいアニメが見たいです /20200623224812(5), ■ /20200623223553(5), ■趣味で勝ち上がれなくて苦しい /20200623111102(5), ■なんでここに書き込んでる奴って /20200623095955(5), ■発達障害を自称する人間ってウザくない? /20200623115458(5)
高木浩光氏は情報法制研究所の理事なのだから、情報法制研究所は、ぜひネットにおける誹謗中傷についても研究していただきたい。
当該発言の元になった不具合って、他のものに例えればゲーム機買って最初の利用規約で電源切ったら起動しなくなったとか、そういうレベルのクソザコ不具合なわけじゃん。
っていうかド素人開発って、個人じゃなくてQA含めた開発体制に対する発言じゃん。
そもそもみんな「厚労省が出したアプリ」として評価してたわけで、厚労省相手にやいのやいのに言ってるのに、現場の開発者が心を痛める必要なんてないわけじゃん。
同じことは電通でも言えるよね。電通を叩いてる人が電通の中の人なんて気にしてない。
組織というのはそういう責任分散のためにあるわけで、勝手に被害妄想抱いて凹むのは繊細ヤクザ案件でしょ。
