自治体職員の勉強ブログ

日々少しずつでも成長

荻上チキ『災害支援手帖』(2016)

来月、東日本大震災に関連して、仕事で宮城県に行くことになりました。そして本書を事前に読むことにしました。

災害支援手帖

災害支援手帖


(折しも九州で大規模な地震が発生しました。これを書いている今も余震が続いています。犠牲者のご冥福と被災者のご無事を祈ります。)

本書では、避難訓練ならぬ支援訓練というものを提案します。
避難訓練が自分の命を守るためのものならば、支援訓練とは誰かを助けるためのもの。
避難訓練での「おかしも(押さない、駆けない、喋らない、戻らない)」が私たちの身体に染みついているように、支援訓練が適切な支援が私たちの身体に染みつき、同時に、私たちを適切な支援に衝き動かすこと、それが本書のねらいであるように思います。


【実は今になっても曖昧だった言葉】

まず、本書を読む中で、よく耳にしていたけれども、あらためて意味を確認すると、実は私の理解が曖昧であった言葉があることに気がつきました。

たとえば、

義援金・・・被災した人たちに対し公平性をもって直接配るための募金(受付機関がまとめるため、時間を要する)
支援金・・・被災者を支援しているNPOや民間ボランティアなどの特定の活動を支えるための募金
クラウドファンディング・・・インターネットでプロジェクト(ここでは被災者を支援するもの)を告知し、多くの人から少額の募金を集める方法
防災・・・災害を起こさないための対策
減災・・・災害が起こった時に被害を小さくするための備え

など。

恥ずかしながら私は義援金と支援金の違いもあまりはっきりとは分かっていませんでした。
それぞれの言葉の理解が曖昧なままであると、その行動をとるまでにはなかなか至らないですよね。


【支援の難しさ】

現地で支援できること、役に立つことはいくらでもあります。でも、かえって迷惑になってしまうことはもっとあります。
(本書p.22より抜粋、太字筆者)

このように本書では言っています。
現地支援に限らず、あいまいな理由で物資を支援したら、大量の支援ゴミとなりかえって負担になるという事態もあるそうです。
そういったことにならないためには、現地のニーズを知っている人と提携し、その人たちからの情報を頼りにすることが重要とのことです。


【自己完結型の支援を】

現地支援を行う場合には、自己完結型の支援が鉄則なのだと言います。「自己完結型」というのは、輸送や資材・食材確保、宿泊や食事、ゴミの処理などを全て自分たちで行うことを意味します。現地の食材を食べ尽くしたり、帰ったあとに多量のゴミを残していくようでは駄目ということです。


【「花形」だけがボランティアではない】

支援は、炊き出しやがれき撤去など、災害ボランティアとしてイメージのしやすい「花形」と目されるものばかりではありません。花形を支える裏方こそが目立たなくとも必要な場合が少なくなく、本書ではそれらも率先して引き受けることの重要性を説いています。


【募金やボランティアはなかなか続かない】

本書は、災害への関心が薄まるにつれて募金が集まらなくなること、「はやり」が過ぎればボランティアが少なくなることを指摘します。
本書で示される、日本財団実施の東日本大震災支援基金の推移では、2011年に約22億円であったものが2013年には約6千万円に、社会福祉協議会受付の東北3県(岩手・宮城・福島)へのボランティア活動者数の推移では、ピークの2011年5月には約20万人であったものが2014年1月にはその2%の4千人弱になっています。

ニーズの減少というだけの理由ではないでしょう。

このような時間という敵に対抗するには、私たちのあいだに支援の文化を育てていく必要があると言います。

*********************

東日本大震災が発生したのは2011年の3月。当時大学3回生であった私は、ちょうどその時、就職活動の面接で高層ビルの最上階にいました。向かいに建つビルはまるで蒟蒻のように揺れており、震源が東北地方(震源と私がいた場所との距離は600km以上は離れている)だと聞いた時、これは歴史に刻まれるような事態だと直感したのを覚えています。
地震後は高校同級生の有志が募金活動をしていたこともあり(今思えば義援金)、それに協力したことはありましたが、自らが現地に足を運んで支援を行うというようなことは結局ありませんでした。

そこには私を今いる場所に引き留める「何か」があったように感じます。

「良いこと」が自己満足になってしまう可能性に対しての漠然とした不安感や、好奇心に押されて行動を起こすことに対する自制心・・・。

その点、私には支援に対する心構えが大きく欠けていたのだとも言えます。

本書が提案する支援訓練に私は賛同します。支援のニーズがある時、何をすれば良いのか分からなくなってしまうのではなく、私たちの身体が適切な支援に向けて「さっ」と動き出すことは、これまでもこれからも必要であると思うからです。

新規採用者研修

昨日、新規採用者の研修で、私が働く部局に関する研修を行いました。

今回、「人前で話す」ということで、以前、プレゼンテーション研修を受けたことは、このブログでも書きました(プレゼンテーション研修 - 自治体職員の勉強ブログが、今回は忙しく本番まで時間がなかったため(いいわけ)、研修での教訓を活かしきれたかというとその点はかなり怪しいです。

プレゼンテーション研修を受けていたことから、是非とも新採研修で話してみたいという気持ちは前々からありましたが、準備期間が短くなりそうだったので、研修で話すと自ら名乗り出ることについては尻込みする気持ちもありました。

私の働く部局は、かといって、若い職員にとっては関わりも薄く、小難しい印象を与えがちなところなので、「如何にわかりやすく伝えるか」、「如何に身近なものとして感じてもらえるか」が今回の個人的なテーマでした。

人に伝えるということを意識して準備を行う過程で、部局に関することについて自分の中で曖昧だった部分も整理することができました。また、準備が何よりも重要だと思っていたのですが、ギリギリまで準備を重ねることがてきたこと(精神力)、そして、多少の度胸が身に付いたであろうことは、大きな収穫であったと思います。

私の職場において、3年目に入ったばかりの職員がこのような場で話す機会というのは決して多くありません。職場の方々からは温かい目で見守りつつ貴重な経験の場を与えていただきました。新規採用の方々には真剣な面持ちでお付き合いいただきました。大変ありがたく思います。

【ご報告】情報セキュリティ管理士認定試験に受かりました。

情報セキュリティ管理士認定試験の結果が3月14日に発表され、本日、合格証書と認定証カードが届きました。

<認定証カード>
f:id:fh19881028:20160317225331j:image
※ 一部、ぼかしを入れています。

<合格証書>
f:id:fh19881028:20160317225401j:image
※ 一部、ぼかしを入れています。

落ちた気しかしていなかったので、内心かなりほっとしています笑

ブログの方も何を書くのか若干行き詰まっていて、ここ最近は、ブログに関係なく読書などをしていました。
今回の合格をきっかけに、ブログの更新もぼちぼち再スタートしたいと思います。

中間報告(情報セキュリティ管理士認定試験を受けます。)

2月14日の情報セキュリティ管理士認定試験まで、あと1ヶ月となりました。

この試験を受験をすることにした経緯、試験の詳細などはこちら(↓)に。



ここで、試験勉強の中間報告をしたいと思いますが、簡単に言えば、現在、苦戦中です。

テキストも中盤をこえると、徐々に専門的な内容へと入っていき、内容を消化するのに時間がかかっています。IT用語には、いわゆる頭字語(とうじご)やカタカナ語によるものが多く、何を指し示すのかがイメージできないと、全然頭に入ってきません。
それもあってか、ブログの内容も、最近はキーワードを羅列したレジュメのようになってしまっています汗


もう終盤の内容は、時間も差し迫ってきたので、問題を解きながら学習していこうかなと考えています。
それに、あと1ヶ月は問題演習をメインに取り組みたいです。
とりあえずテキスト中の問題を解答し、必要あれば専用問題集を購入するかもしれません。
無料アプリ(↓)もあります。

f:id:fh19881028:20160114225957p:image

こちらのブログ(↓)では、試験の合格体験談を見ることができます。


筆者さんは「すべりどめ」に試験を受け、得られる知識も「それなり」だとおっしゃってます。
ITを専門にやってらっしゃる方にとっては、そのように見えるのですね汗

ただ、役所で働くITド素人の私は、この試験勉強を通じ、現在よりも幅広く知識を得られていると感じているし、自身の情報セキュリティに対する意識の高まりも感じているので、良かったなと思っています。

もう一踏ん張り、合格に向けて頑張ります。

情報資産に対する脅威と対策②-②

情報セキュリティ管理士認定試験公式テキスト(http://www.joho-gakushu.or.jp/isme/book.html 、2016年1月16日アクセス)の「Chapter Ⅲ 情報資産に対する脅威と対策②」の内容の一部を独自にまとめてみました。

(↑記事は読み飛ばしていただいても結構です。)  


【インターネット利用に関する脅威と対策(例)】

(脅威)
インターネット電子メールなどのネットワークを介しての情報に対しての脅威としては、盗聴(ネットワーク上の情報を盗み取ること)、不正アクセスや盗聴などによる漏えい、ファイルやデータの改ざんなどな考えられます。また、なりすましによっての不正アクセスや情報の漏えいなども考えられます。

その他、フィッシング(phishingコンピュータウイルススパイウェアキーロガーanonymous(匿名)FTPなどによる脅威もあります。

フィッシング・・・クレジット会社等の正規メールやWebサイトを装い、暗証番号やカード番号などを詐取する詐欺

コンピュータウイルス・・・ワーム(ネットワークを通じて他のコンピュータに伝染)、トロイの木馬(一見無害なプログラムを装う)、ボット(ネットを通じてコンピュータを外部から操るソフトウェア)、また、Winnyなどのファイル交換ソフトを悪用したウイルスがあります。

スパイウェア・・・コンピュータに保存されている個人情報やアクセス履歴などの情報を収集するプログラム。

キーロガー・・・キー入力情報を記録するソフトウェア。スパイウェアとして悪用されることもあります。

anonymous(匿名)FTP(File Transfer Protocol)・・・不特定多数が利用できるサーバで、第三者による不正中継に悪用される危険があります。

(対策)
盗聴・漏えい・・・暗号(内容が判別できないようにするため)

なりすまし・改ざん・・・デジタル署名メッセージ認証コードユーザ認証パスワード認証認証プロトコルPPPPAPCHAPなど))、メッセージ認証メッセージダイジェストPKIX.509公開かぎ証明書SSL

コンピュータウイルス・スパイウェアなど・・・既知のウイルスなどの特徴をパターンファイル(ただし、未知のウイルス(ゼロデイウイルス)については効果がありません。)に登録し、ウイルス検知を行います。ウイルスに感染した場合はコンティンジェンシープラン(緊急時対応計画)にて対応します。

暗号方式には、暗号化復号化に同じかぎを用いる共通かぎ暗号方式(必要なかぎ数=n(n−1)/2個)や異なるかぎを用いる公開かぎ暗号方式(必要なかぎ数=2n個)があります。
代表的な共通かぎ暗号方式には、DES(強度に問題あり)、AES(DESの後継)、RC(高速処理が可能)などがあり、代表的な公開かぎ暗号方式には、RSA(最も代表的な暗号方式)、楕円曲線暗号方式DSA(デジタル署名に利用)などがあります。
また、電子メールにおいては、S/MIME(電子メール暗号化とデジタル署名に関する国際規格)やPGP(電子メール暗号化ソフト)などの暗号化方式が使われます。

その他、セキュアな通信技術として、IPsecSSL-VPNL2TPなどがあります。

情報資産に対する脅威と対策②-①

情報セキュリティ管理士認定試験公式テキスト(http://www.joho-gakushu.or.jp/isme/book.html 、2016年1月11日アクセス)の「Chapter Ⅲ 情報資産に対する脅威と対策②」の内容の一部を独自にまとめてみました。

(↑記事は読み飛ばしていただいても結構です。)  


【コンピュータ利用に関する脅威と対策(例)】

(脅威)
コンピュータ利用に関する脅威としては、パスワードの悪用をきっかけとした不正侵入によるものが考えられます。パスワード取得のためには、辞書攻撃ブルートフォース攻撃オンライン攻撃オフライン攻撃や、なりすましスキャベンジンショルダーハッキングなどのソーシャルエンジニアリングが行われます。

辞書攻撃・・・パスワードになりそうな文字列や辞書に載ってる単語を試す手法。

ブルートフォース攻撃・・・パスワードに考えられる全ての組み合わせを試す手法。

オンライン攻撃・・・動作しているコンピュータにID・パスワードを順に送る手法。

オフライン攻撃・・・パスワードを格納している、もしくは、パスワードがかけられているファイルを入手する手法。

なりすまし・・・上司等のふりをして電話等でパスワード等を聞き出す手法。

スキャベンジン・・・ゴミ箱をあさるなどしてパスワード等を収集する手法。

ショルダーハッキング(ショルダーサーフィン)・・・パスワード等を入力する様子を背後等からのぞく手法。

ソーシャルエンジニアリング・・・技術的攻撃をかけるのではなく、パスワード等を知る人間やその周辺から入手する手法の総称。

(対策)
ユーザーID・パスワードについては、複数人で共有させない、IDごとに適切な長さの類推しにくい文字列のパスワードを設定、初期パスワードを速やかに変更し、その後もパスワードを定期的に変更紙などに記録しない、という管理が重要です。

また、アクセス管理を行うことにより、外部からの脅威を軽減できます..。アクセス管理には、セキュリティ管理者のみアクセス権限を変更でき、高レベルでセキュリティを確保できる、強制アクセスコントロール(MAC : Mandatory Access Control)方式や、セキュリティ管理者が対象となる情報資源の所有者にアクセス権限の設定をゆだねる、自由裁量的アクセスコントロール(DAC : Discretionary Access Control)方式があります。

さらに、ログを管理(収集・分析・保管)することによって、不正アクセスを未然に防止することができます。ログとは、コンピュータの利用状況を記録したファイルやデータのことです。

そして、もしも不正侵入によってデータ改ざんや破壊が行われた場合のために、データを定期的にバックアップしておき、そのデータをリストアする必要があります。
バックアップには、すべてのデータをバックアップするフルバックアップやその後の変更データのみをバックアップする差分バックアップがあり、前者の方が時間がかかる場合があるようです。


**********


昔、情報セキュリティ面でのよくある危険は後ろから覗き込まれること(いわゆるショルダーハッキングというソーシャルエンジニアリングの一つ)だとテレビでやっていて(といってもうろ覚え)、その原始的な方法に驚いた記憶があります。
確かに盗み見というのは、何か情報を得ようとする場合、一番にとるであろう方法であろうし、そうした形で見た人には、その情報を悪用しようという意図が既にある程度含まれる可能性も高いわけです。
情報セキュリティと聞けば「高度」な内容だと感じがちですが、意外と初歩的なことへの意識をもつことが実際は大切であるのかも知れません。

マイナンバー制度について

・本稿は法令(法律や条例)等に関するものですが、その解釈はこのブログ(『自治体職員の勉強ブログ』)筆者である私の独自のものであったり、誤りが含まれている可能性があります。

・法令等は日々更新されるものです。本稿に記載される法令名や条文等が最新のものとは限りませんし、最新情報を漏れなく補っていくことはしません。

・以上はこのブログに関する免責事項ですが、このブログの元となる研修や書籍等に対して上記の責任を帰するものでもありません。しかし、本稿を参考にされる場合、ご自身で書籍や法令等を一度ご確認いただくことを推奨いたします。

・また、このブログに記載されている内容は、このブログの筆者が所属する地方公共団体及び関連するその他の団体の意見を何ら代表するものではありません。


新年あけましておめでとうございます。
本年もどうぞよろしくお願いいたします。

さて、平成28年と言えば、「行政手続における特定の個人を識別するための番号の利用等に関する法律」施行に伴う制度、いわゆるマイナンバー(✳︎)制度の本格実施開始の年でもあります。

(✳︎)「マイナンバー」という呼称については、「マイホーム」や「マイカー」のように自主的に獲得するものではないということから、その「マイ○○」という呼称に対する否定的見解もあります。法令上は「個人番号」や「法人番号」と記載されますが、本稿ではひとまず「マイナンバー」と記載します。

マイナンバー制度の詳細について書けば複雑かつキリがないので、個人的に気になったところをピックアップして書いていきたいと思います。

  • 住民基本台帳制度との違い、そして関係は?
  • マイナンバーの安全管理体制はどうなっているのか?
  • 海外における番号制導入によるトラブル事例は?
ざっとこんな感じで。

ただその前に、マイナンバーについて簡単に書きます(ただし、説明については厳密性に欠けることを先にお詫びしておきます)。

マイナンバー(ここでは、法人番号を除く)は、日本に住所を有する国民(新生児含む)及び一定の外国人に対して配られる12桁の番号で、社会保障・税・災害対策分野及びこれらに類する事務で利用されるとされています。


住民基本台帳制度との違い、そして関係は?

マイナンバー制度住民基本台帳制度って、なんか似た感じしますよね?

    マイナンバー  ≒  住民票コード?
    マイナンバーカード  ≒  住基カード
    情報提供ネットワークシステム  ≒  住民基本台帳ネットワークシステム?

という具合に。

マイナンバー制度は、住基制度と趣旨情報の管理・連携)を同じにするが、対象範囲は異なる(住基制度は住民情報マイナンバー制度は行政事務・手続情報)とされます。そのため、マイナンバー制度が導入されても住基制度は廃止されません(ちなみに、マイナンバーは住民票コードを基にして作られています)。ただし、住基カードマイナンバーカードに今後置き換わっていきます


マイナンバーの安全管理体制はどうなっているのか?

マイナンバー制度で話題になるのは、やはりその情報漏えい等々に関する安全性についてです。

もちろん、完全に安全である状況というのはありえないと思いますが、ひとまず、危険性についてではなく、どのような安全措置が行われるのかを確認したいと思います。

[制度面における保護措置]
  1. 番号法の規定によるものを除き、特定個人情報(マイナンバーをその内容に含む個人情報)の収集・保管、特定個人情報ファイルの作成を禁止
  2. 特定個人情報保護委員会による監視・監督
  3. 特定個人情報保護評価
  4. 罰則の強化
  5. マイポータルによる情報提供等記録の確認
[システム面における保護措置]
  1. 個人情報を一元的に管理せずに、分散管理を実施
  2. 個人番号を直接用いず、符号を用いた情報連携を実施
  3. アクセス制御により、アクセスできる人の制限・管理を実施
  4. 通信の暗号化を実施
以上、内閣官房ホームページマイナンバー社会保障・税番号制度より(2016年1月1日アクセス)。


◯海外における番号制導入によるトラブル事例は?

海外に目を向ければ、マイナンバー制度に類似した制度というのは既に存在しています(ドイツ、アメリカ、スウェーデンノルウェーフィンランドアイスランドエストニア、イギリス、イタリア、オランダ、ベルギーハンガリーオーストリア、フランス、デンマーク、オーストラリア、カナダ、中国、インド、韓国、タイ、マレーシア、シンガポールetc.)。
海外の類似制度によるトラブル事例により、マイナンバー制度への反対というのが唱えられますが、有名どころでは、アメリカの社会保障番号(SSN : Social Security Number)制度や韓国の住民登録番号(PIN : Personal Identification Number)制度においては、実際なりすまし被害や個人情報流出は社会問題化しているようです。
制度や状況にも多少違いがあるので、マイナンバー制度の是非を直接示すわけではありませんが、先例に学び策を講ずることについては重要だと考えます。


今回参考にしたのは、

Q&A 番号法 (ジュリストブックス)

Q&A 番号法 (ジュリストブックス)

「マイナンバー法」を問う (岩波ブックレット)

「マイナンバー法」を問う (岩波ブックレット)

マイナンバー制度─番号管理から住民を守る

マイナンバー制度─番号管理から住民を守る

でした。