いつもの
#URL #GDPR #ドメイン #ドロップキャッチ #フィッシング #ハッキング #サイバー攻撃 #ウイルス #ワクチン #コロナ禍 「ワクチン接種の実施は自治体~委託者~受託側に丸投げ~目的外使用~知らない事業者が勝手に個人情報を収集」
ワクサイト自体、アヤシイサイトだったからね
公共のサイトについては誰でも取得可能なドメインでは無く、go.jpドメインなどで運営するのを必須にするべきではないのか。
行政機関がgo. jpドメインを使わないことを違法化しないと駄目なのでは。なにか理由あるのか?外注先が自由にいじれないとか?デジタル庁って何の仕事やってるのだろうな。スマホ中毒の人を大臣に据えるためのポスト?
"根が深い問題" / “役所には「原課調達主義」という考え方があり、各原課(=業務を担当する課)が業務で使用する情報システムを個別に申請・調達・運用" / "定期的な異動でさまざまなノウハウが喪失”
使わなくなったドメインの保持期間の予算が取れなかったり、goやlgドメイン配下に作る権限が現場にないのも(特にワクチンは急を要するから一般ドメインを使うと)。根本から変えるべきだが行政の足並みが揃わない。
ドメイン残すには少額でもお金かかるから、予算が必要ってこと。役所の場合、プロジェクト終わったらそういう予算が取れないんでは。デジタル庁とかが音頭とって安全なドメイン廃止方法とかまとめた方がいいんでは
なぜ一般ドメインを使ってしまうんだろうか?政府機関系ドメインなら防げると思うんだけど
「さすがに10年もたてば、十分に廃れるとは思いますが」←最初から長期で登録しておけ、と思うが(.comは一気に10年登録できるけど).jpは1年単位なんだよな。“安いレジストラで登録して移管”を避けるためだろうけど。
.go.jp 強制化すればよさそう。あと、金融機関も認証取らないと取れない系ドメイン(現状ないと思うので .bank.jp とか?)にすればよさそう。フィッシングは防げないけどドメイン乗っ取りは防げる
上位コメが全て。そもそもドメインは汎用や属性型で目的が分かれているわけで。そこを何も考えない企業が事業を受託して適当に作るからこうなる。今後この手のやらかしをする企業は入札停止措置が妥当だと僕は思うよ
go.jp や lg.jp を「使う」ための内部手続きが別組織への申請を含んで煩雑すぎるのに対し、「使わない」ことへの歯止めがないからそちらへ流れるのでは。バランスを逆転させないと永遠に終わらないと思う。
ドメインは商標と同じと考えればいい。そんな簡単に取って簡単に捨てていいもんじゃない。
go.jpドメインを取るまでに稟議を延々回して開設までに半年かかるとかなら笑う
まぁこういうのって決定権持ってる人がドメインを理解するだけのリテラシもって無いとかありそう…
使い終わったドメイン名を保持する目的は、「そのドメイン名を手放すことで発生するリスクが“受容可能になるまで”の時間を稼ぐ(確保する)」 こと / “原課調達主義”
こういうときどこか適切な省庁がドメイン用意して各機関にサブドメイン使わせるとかじゃだめのかな。
委託者(自治体)が受託側に丸投げしてしまうだけになってしまうと、例えば「lg.jp」ドメイン名を使うことができるのかという疑問が出てくる > ここですよ、ここ。
デジタル庁が汎用的なgo.jpドメイン運用して、そのサブドメインをカジュアルに発行&プロジェクトが終わって予算取れなくなった後もずっとタダで残せる仕組みを作って欲しい。
↓ほんとそれな。サブドメインという概念が浸透してなさすぎなんじゃないか。デベロッパーはもっとサブドメイン推そう。
現状でも「委託業者に終了後10年維持してもらうのを契約に入れる。その分の費用を構築時に計上する」とすればいけるのかなぁ(そういう契約ができない何かがある?)
.jpの一年単位でしか更新できない変な方針は早く改善して。終わったプロジェクトのために毎年予算を確保するのは困難。他のドメインのように10年まとめて更新できるようになるだけで様々なな問題が解決する。
ドメインの取得に制約が多かったころを知っている身からすると、ちゃんとした属性ドメインには信頼を置いている。よほどの事情がない限り汎用ドメインを使わせないようにすべきでは
こんなの初期の初期からわかってたんじゃないの?なんでもだけど的にやるのが常態化してる?
そもそも論だがドメイン取得の仕組みも変えなきゃいけない時代
偉い人に限って独自ドメイン取りたがるんだよね、最近は減ったけど
意図しない入力補完による情報の詐取はそもそもサイトを改竄しないと無理という問題はそういうのができそうなドメインをドロップキャッチすればいいのか。
公的なものはgo.jpかlg.jpしか使ってはいけないとしないとだめ。サブドメインは適切に委託先に払い出す形で。
行政サービスやるような運営元ならgo.jpドメイン持ってるんだろうから、そのサブドメインでやることを条件にするとなくなるのでは?……まあ、そんな単純じゃないんだろうけど。
「「(受託者側に善管注意義務があるとしても)ワクチン接種の実施は自治体が行っていると認識されるはず〜個人情報取扱事業者としての責任は免れない」」/複数業者がlg.jp共同利用したらcookieどうなるんや
何か新しいのとをやるときには専用のドメインをとるもの、っていう悪しきミーハー文化の帰結
例えば厚労省だったら mhlw.go.jp のサブドメインはサクッと発行できるような仕組みを整えないと厳しいよな
サブドメインの存在と、階層単位でアクセス制限できることをちゃんと教育するべきだと思う
ここでも機械的な人事異動が問題の一画にあるのね/地方自治体でlg.jpドメインを使用している場合、LGWANとかいう組織が関わるらしいのだが、サブドメインの新規利用についての運用規則とかどうなってんだろ。
デベ側がサブドメインを推そうとしても、間の担当者がわかっていなかったり縦割りで稟議が複雑だったりで話が進まんのじゃよ……
少なくとも.go.jpに関してはデジタル庁が強く主導すべき案件じゃないかしら。
おかしいな知らないでツッコミ講演してんのかな?
うーむ
またドメイン拾われ問題か。ドメイン料自体は安いのだから最初から10年は見ておけば良かったのに
公共のサイトがgoなりの専用ドメイン以外取るの原則禁止すべき。百害あって一理もない。というか新規に取る必要すらなく、持ってるドメインのサブドメイン使うだけでいい
デジ庁は行政サービスはgo.jpドメイン使う指示出してる。担当者と業者が政府内のルール違反をしてるだけ
「原課調達主義」知らなかった。たしかにそれだと適当になりそうだわね
使い捨てみたいにドメイン取得するの止めれ。
民間でもそうだが、ITのことを知らない現場担当は自社の情報部門にサブドメイン発行頼めば良いことなんて知らずに丸投げするのよ。情報部門がルールを出しても自業務に関係あると担当が気が付かなきゃそれまでよ。
ドメイン発行者の責務にすべきだと思うんだけど。月額は上がるだろうが…
ワクチン予約サイトのその後:「使い終わったドメイン名」が第三者に取得され、怪しいサイトになってしまったら……【DNS Summer Day 2025】
いつもの
#URL #GDPR #ドメイン #ドロップキャッチ #フィッシング #ハッキング #サイバー攻撃 #ウイルス #ワクチン #コロナ禍 「ワクチン接種の実施は自治体~委託者~受託側に丸投げ~目的外使用~知らない事業者が勝手に個人情報を収集」
ワクサイト自体、アヤシイサイトだったからね
公共のサイトについては誰でも取得可能なドメインでは無く、go.jpドメインなどで運営するのを必須にするべきではないのか。
行政機関がgo. jpドメインを使わないことを違法化しないと駄目なのでは。なにか理由あるのか?外注先が自由にいじれないとか?デジタル庁って何の仕事やってるのだろうな。スマホ中毒の人を大臣に据えるためのポスト?
"根が深い問題" / “役所には「原課調達主義」という考え方があり、各原課(=業務を担当する課)が業務で使用する情報システムを個別に申請・調達・運用" / "定期的な異動でさまざまなノウハウが喪失”
使わなくなったドメインの保持期間の予算が取れなかったり、goやlgドメイン配下に作る権限が現場にないのも(特にワクチンは急を要するから一般ドメインを使うと)。根本から変えるべきだが行政の足並みが揃わない。
ドメイン残すには少額でもお金かかるから、予算が必要ってこと。役所の場合、プロジェクト終わったらそういう予算が取れないんでは。デジタル庁とかが音頭とって安全なドメイン廃止方法とかまとめた方がいいんでは
なぜ一般ドメインを使ってしまうんだろうか?政府機関系ドメインなら防げると思うんだけど
「さすがに10年もたてば、十分に廃れるとは思いますが」←最初から長期で登録しておけ、と思うが(.comは一気に10年登録できるけど).jpは1年単位なんだよな。“安いレジストラで登録して移管”を避けるためだろうけど。
.go.jp 強制化すればよさそう。あと、金融機関も認証取らないと取れない系ドメイン(現状ないと思うので .bank.jp とか?)にすればよさそう。フィッシングは防げないけどドメイン乗っ取りは防げる
上位コメが全て。そもそもドメインは汎用や属性型で目的が分かれているわけで。そこを何も考えない企業が事業を受託して適当に作るからこうなる。今後この手のやらかしをする企業は入札停止措置が妥当だと僕は思うよ
go.jp や lg.jp を「使う」ための内部手続きが別組織への申請を含んで煩雑すぎるのに対し、「使わない」ことへの歯止めがないからそちらへ流れるのでは。バランスを逆転させないと永遠に終わらないと思う。
ドメインは商標と同じと考えればいい。そんな簡単に取って簡単に捨てていいもんじゃない。
go.jpドメインを取るまでに稟議を延々回して開設までに半年かかるとかなら笑う
まぁこういうのって決定権持ってる人がドメインを理解するだけのリテラシもって無いとかありそう…
使い終わったドメイン名を保持する目的は、「そのドメイン名を手放すことで発生するリスクが“受容可能になるまで”の時間を稼ぐ(確保する)」 こと / “原課調達主義”
こういうときどこか適切な省庁がドメイン用意して各機関にサブドメイン使わせるとかじゃだめのかな。
委託者(自治体)が受託側に丸投げしてしまうだけになってしまうと、例えば「lg.jp」ドメイン名を使うことができるのかという疑問が出てくる > ここですよ、ここ。
デジタル庁が汎用的なgo.jpドメイン運用して、そのサブドメインをカジュアルに発行&プロジェクトが終わって予算取れなくなった後もずっとタダで残せる仕組みを作って欲しい。
↓ほんとそれな。サブドメインという概念が浸透してなさすぎなんじゃないか。デベロッパーはもっとサブドメイン推そう。
現状でも「委託業者に終了後10年維持してもらうのを契約に入れる。その分の費用を構築時に計上する」とすればいけるのかなぁ(そういう契約ができない何かがある?)
.jpの一年単位でしか更新できない変な方針は早く改善して。終わったプロジェクトのために毎年予算を確保するのは困難。他のドメインのように10年まとめて更新できるようになるだけで様々なな問題が解決する。
ドメインの取得に制約が多かったころを知っている身からすると、ちゃんとした属性ドメインには信頼を置いている。よほどの事情がない限り汎用ドメインを使わせないようにすべきでは
こんなの初期の初期からわかってたんじゃないの?なんでもだけど的にやるのが常態化してる?
そもそも論だがドメイン取得の仕組みも変えなきゃいけない時代
偉い人に限って独自ドメイン取りたがるんだよね、最近は減ったけど
意図しない入力補完による情報の詐取はそもそもサイトを改竄しないと無理という問題はそういうのができそうなドメインをドロップキャッチすればいいのか。
公的なものはgo.jpかlg.jpしか使ってはいけないとしないとだめ。サブドメインは適切に委託先に払い出す形で。
行政サービスやるような運営元ならgo.jpドメイン持ってるんだろうから、そのサブドメインでやることを条件にするとなくなるのでは?……まあ、そんな単純じゃないんだろうけど。
「「(受託者側に善管注意義務があるとしても)ワクチン接種の実施は自治体が行っていると認識されるはず〜個人情報取扱事業者としての責任は免れない」」/複数業者がlg.jp共同利用したらcookieどうなるんや
何か新しいのとをやるときには専用のドメインをとるもの、っていう悪しきミーハー文化の帰結
例えば厚労省だったら mhlw.go.jp のサブドメインはサクッと発行できるような仕組みを整えないと厳しいよな
サブドメインの存在と、階層単位でアクセス制限できることをちゃんと教育するべきだと思う
ここでも機械的な人事異動が問題の一画にあるのね/地方自治体でlg.jpドメインを使用している場合、LGWANとかいう組織が関わるらしいのだが、サブドメインの新規利用についての運用規則とかどうなってんだろ。
デベ側がサブドメインを推そうとしても、間の担当者がわかっていなかったり縦割りで稟議が複雑だったりで話が進まんのじゃよ……
少なくとも.go.jpに関してはデジタル庁が強く主導すべき案件じゃないかしら。
おかしいな知らないでツッコミ講演してんのかな?
うーむ
またドメイン拾われ問題か。ドメイン料自体は安いのだから最初から10年は見ておけば良かったのに
公共のサイトがgoなりの専用ドメイン以外取るの原則禁止すべき。百害あって一理もない。というか新規に取る必要すらなく、持ってるドメインのサブドメイン使うだけでいい
デジ庁は行政サービスはgo.jpドメイン使う指示出してる。担当者と業者が政府内のルール違反をしてるだけ
「原課調達主義」知らなかった。たしかにそれだと適当になりそうだわね
使い捨てみたいにドメイン取得するの止めれ。
民間でもそうだが、ITのことを知らない現場担当は自社の情報部門にサブドメイン発行頼めば良いことなんて知らずに丸投げするのよ。情報部門がルールを出しても自業務に関係あると担当が気が付かなきゃそれまでよ。
ドメイン発行者の責務にすべきだと思うんだけど。月額は上がるだろうが…