  |
はてなキーワード: セキュリティインシデントとは
反撃でぶち殺されるに決まってるのに。
書きぶりからしてChatGPTとかAIに聞いてそうなんだよな。
ChatGPT特にセキュリティ周りの情報がクソで。なんで買って言うと世の中にはセキュリティ企業のクソアフィ文章が溢れててそれで学習情報が汚染されてんのな。
セキュリティ煽るのが仕事で、嘘とか紛らわしいエッジケースとか、この世に存在しない机上のインシデントとかの文章でwebが汚染されてるせいで、ChatGPTもクソみたいなセキュリティ知識の応答してる気がする。
全然セキュリティの要件満たしてない妄想の産物みたいなのが多い。
完全には防げない。とか、とはいい切れない。みたいなエクスキューズかマシまくるんだが、完全に防げないケースや言い切れない場合はどういったケースが考えられるか?みたいなのを激詰めすると、最終的にそのようなセキュリティインシデントへの到達プロセスはありません。みたいに謝るんよね。
Web自体がすでにセキュリティ情報錯綜しているせいで学習情報汚染されてて狂ってる感じがある。
同じように健康情報とか美容についても、ChatGPTとかのAIはゴミ応答よくする。
若手騎手6人が開催期間中にスマホ閲覧で処分されたという事件。
内容を見る限り、Z世代特有の価値観がこの事件につながったと見るべきだ。
まずはこれ。最近の闇バイト問題や昨年の給付金詐欺事案が典型例だが、違法・ルール違反だと分かっていても「タイパよく稼げる」ならそっちに傾いてしまうのがこの世代。
他世代なら違反と分かった時点でほとんどの人は「怪しい」と忌避するようなことでもタイパの良さをアピールすればZ世代はなびいてしまう。
今回処分された6人中4人は、スマホでインターネットにつないで研究のために過去のレース動画を見ていたことが処分の対象になった。
実はスマホでの動画閲覧は「ネットにつながず、あらかじめダウンロードしていた動画を見る」のであればOKなのだが、タイパ重視の彼女ら(注:この4人は全員女性騎手)は別日にダウンロードと言うタイパが下がることを嫌がってこのような行動を犯した。
もちろん本来のルールはきっちりと教育されているのだが、ルールよりもタイパを重視するのがZ世代の特徴。
今回処分されたことで、一見タイパが悪い「事前ダウンロード」のほうが(30日騎乗停止とかの処分が無いから)タイパが良いことが実証されたのだが、今でも「ルールが悪い」と思っている節が見られるので、騎乗停止明けもそれなりの管理、注意が必要だろう。
Z世代は自分達より年上の世代をとにかく下に見る。今自分達が厳しいのは上の世代がまともにやってこなかったからだ、と思っている。
だから年上の言うことは、現在進行形で凄い実績を挙げている人以外の言うことはあまり聞かない。
今回唯一処分されなかった女性騎手である藤田菜七子は後輩の女性騎手たちに注意喚起出来たが、昨年から彼女は騎乗機会を減らしているので、注意しても「ババアがうるさい」以上の受け取り方はされていなかったと思われる。
一方で「現在進行形で凄い実績を挙げている人」には取り入る。そのほうがタイパがいいからだ。今村聖奈が福永祐一、永島まなみが横山典弘に取り入っていたのは記事にもなっていたので知っている人も多いだろう。
これもタイパ重視・コンプラ軽視というZ世代の特徴に関連する話だが、Z世代は深い腹落ちをとにかく求める。
例えば今回の事件は、今までの騎手なら「八百長やインサイダー防止のため」と一言いえば防げたが、Z世代はそういう1段階の理由付けでは腹落ちしてくれない。「スマホ使っていても、八百長やインサイダーしなければいいじゃん」になってしまうのだ。先述の動画閲覧や、角田大河・今村聖奈の2名による通話もその流れで起きたと考えられる。
「八百長やインサイダーを疑われると、ファンから強い非難を浴びせられるなど、今後のあなた達の活動に大きな制約がかかる。最悪引退だ。だから疑われる可能性のある行動は絶対NGである」というように2段階以上の理由付けをした上で教育しないといけない。
今回の事件後、この6人には強い非難が浴びせられている。他競技の話を持ち出して「1年間騎乗停止にしろ」という声も多く出てるし、角田大河・今村聖奈の2名に至っては昨年末の特定レースの騎乗ぶりを持ち出して「本当に八百長したのでは?」という疑惑が拡散し始めている。
「疑われる」ということがどういうことか、ようやくこの6人は身を以て知ったはずだ。はっきり言えばZ世代は教育コストが悪い世代なのだが、そういう世代であることを教育側は甘受しないといけないのかもしれない。
彼・彼女らはコンプラ意識が薄く、タイパが何より正義の世代だ。特にセキュリティ方面との相性が極めて悪い。
過去の世代なら起きなかった機密漏洩とかを普通に起こしてしまうリスクが高い世代である。
セキュリティインシデントが起きたら所属企業と本人にどういう弊害が起きるか、それは何故なのかを事細かに言語化して教育しないといけない。ただし細かすぎると「知るタイパが悪い」と見なされてスルーされるし、教える側は「社内の有力者」でないとZ世代は聞いてくれない。
ブコメで指摘されているが、上の世代の騎手でも単発的に規則違反で騎乗停止を食らった事例があることは知ってるよ。今回の件、競馬板のあるスレでは「集団大江原か?」(大江原騎手が過去にスマホ持ち込み違反をやらかしたことに因む)と言われてたりする。
■尼崎のUSBフラッシュメモリに関するはてなブックマーカーの反応
甘すぎない!?
見つかって良かったね~。一件落着!
みたいな意見が多くてビックリしたし、終わった一件に対してどうこう言うのは野暮、みたいな意見もあってヤフコメ表示してるのかと思って混乱しちゃった。
はてなにいる人は、ITとかセキュリティに関してはある程度理解がある人が多いかと思ってたけど、今となっては利用者層が変わってしまったのを感じる。
担当者を責めてはいけないという意見や、インシデント発生の報告が早く比較的良い組織であるという意見はその通りだと思った。
以下、蛇足
セキュリティレベル規定外のユーザーが、機密情報にアクセス可能であることや、
規定されたセキュリティエリア外にファイル(が保存されたUSBフラッシュメモリ)が移動した時点でインシデント発生となり、
メモリの紛失や回収成否は関係なく、データ漏洩済みとして扱う。
また、USBフラッシュメモリがマンション敷地内で回収できたという報道があったものの、データ漏洩を阻止できた、とは断言できないのが困ったところで、
データ窃取した後、カバンに入れ戻された可能性があるため、「漏えいしていない保証はない」といったまわりくどい言い方をせざるを得ないのもそれが理由。
もし攻撃者がいた場合、尼崎市側がデータ漏洩済みか否か確定出来ない状態にあり続けるのがもっとも有利であることや、
悪意あるプログラムを仕込んだUSBフラッシュメモリを再度使わせ、そこを起点にさらにデータ窃取が可能である点から、
USBフラッシュメモリをカバンに戻すモチベーションが十分あり得るという困った部分もある。
続報で、カバンやUSBフラッシュメモリに担当者以外の指紋がないって報道もあったため、今回は大丈夫そうかなとぼんやり思いつつ、二次災害はありそうな気はしている。
「実はデータ漏洩していました!情報を削除するためにお金を振り込んでください。」みたいな。
自分もたまに機微情報を扱うことがあるので、こういう報道があるたびに担当者の胸中を察して胃がキュッとなるし、セキュリティコンプラについて振り返ってみるかという気になる。
甘すぎない!?
見つかって良かったね~。一件落着!
みたいな意見が多くてビックリしたし、終わった一件に対してどうこう言うのは野暮、みたいな意見もあってヤフコメ表示してるのかと思って混乱しちゃった。
はてなにいる人は、ITとかセキュリティに関してはある程度理解がある人が多いかと思ってたけど、今となっては利用者層が変わってしまったのを感じる。
担当者を責めてはいけないという意見や、インシデント発生の報告が早く比較的良い組織であるという意見はその通りだと思った。
以下、蛇足
セキュリティレベル規定外のユーザーが、機密情報にアクセス可能であることや、
規定されたセキュリティエリア外にファイル(が保存されたUSBフラッシュメモリ)が移動した時点でインシデント発生となり、
メモリの紛失や回収成否は関係なく、データ漏洩済みとして扱う。
また、USBフラッシュメモリがマンション敷地内で回収できたという報道があったものの、データ漏洩を阻止できた、とは断言できないのが困ったところで、
データ窃取した後、カバンに入れ戻された可能性があるため、「漏えいしていない保証はない」といったまわりくどい言い方をせざるを得ないのもそれが理由。
もし攻撃者がいた場合、尼崎市側がデータ漏洩済みか否か確定出来ない状態にあり続けるのがもっとも有利であることや、
悪意あるプログラムを仕込んだUSBフラッシュメモリを再度使わせ、そこを起点にさらにデータ窃取が可能である点から、
USBフラッシュメモリをカバンに戻すモチベーションが十分あり得るという困った部分もある。
続報で、カバンやUSBフラッシュメモリに担当者以外の指紋がないって報道もあったため、今回は大丈夫そうかなとぼんやり思いつつ、二次災害はありそうな気はしている。
「実はデータ漏洩していました!情報を削除するためにお金を振り込んでください。」みたいな。
自分もたまに機微情報を扱うことがあるので、こういう報道があるたびに担当者の胸中を察して胃がキュッとなるし、セキュリティコンプラについて振り返ってみるかという気になる。
事実は小説よりも〜というが、IT人材なら毎年受ける社内セミナーのインシデント事例に載っているような情報セキュリティインシデントはやはり起こり得る。
今日ニュースを騒がせた事例で言うと、「外部に持ち出し許可されていない重大な情報をUSBで持ち出し」「途中で寄り道をして(あろうことか1番の悪手である飲酒を行い)」「それを鞄ごと無くした挙句」「後の記者会見でパスワードの桁数と使用している文字種別まで言ってしまう」というお粗末加減。
これだけで30分くらいの教材が出来てしまう満漢全席フルコース事例である。今って令和だよな??
この事例の中で特にやばかったのは、
「後の記者会見でパスワードの桁数と使用している文字種別まで言ってしまう」
だろう。
桁数と文字種別まで言ってしまえば、総当り攻撃用のツールを使えば簡単に解析されてしまう、というITに携わる人間なら当たり前のように知っているであろうことを知ってか知らずか情報開示してしまった時点で、相当ITリテラシーが低いんだろうな…と思わざるを得ない。
自治体名のアルファベットがTwitterのトレンドに乗ってしまった今回のインシデントだが、
「そもそもなんでそんなに簡単なパスワードを設定した」と推測され、トレンドになってしまうほど騒がれたのだろうか。
俺は、未だにそういう自治体が多いから(もっと言うと、ネットでは馬鹿にしつつ、そういったパスワードで運用に携わったことのある人が多いから)だと思っている。
あっ、俺?言わせんなよ。
1番の要因は、「扱う人が非常に多いから」だ。
システムの種類や大小によって様々だと思うが、システムの開発先、運用者、また顧客側の担当者など、多くのステークホルダーが関わっている場合、そのシステムの利用者が一定分かり良いパスワードに設定されることが多い。
(自治体で内部向けヘルプデスクを設置している場合、各担当者からパスワードを確認された際に電話口で分かりやすいアナウンスが出来るよう『配慮』されているパターンもあるだろう)
開発と運用が同一ベンダーの場合、比較的ランダムなパスワードを設定することがあるが、入札によって対応ベンダーを決定する自治体という特性上、異なるベンダーに分かれてシステム運用がなされるケースもあり、その場合は自治体名などを文字ったパスワードが設定されることが多いと考えられる。
また、セキュリティの観点から定期的にパスワードを変更する運用が理想とされているが、それらステークホルダー全員への周知を行うのが手間という理由から、大体1年に1回、場合によってはシステム導入から1回もパスワードを変更していないという自治体も非常に多い。
とはいえ、自治体名をそのままパスワードに用いている運用は少ないだろう(……だよな?)
通常、情シス担当として気休め程度にはパスワードにランダム性を導入したいというのが心情だろう。
啓発の意味を込めて紹介するが、多いケースとしては以下であろうか。
・自治体名に何かの単語をつけるパターン(city,system,unyo,そのシステムに固有する単語等。taxとか)
・"i"を"1"や"!"、"a"を"@"、"z"を"2"など、見た目が近いものに置換するパターン
etc.....
こういうパスワード運用をしているやつ、内心ヒヤヒヤしてるんじゃないか?
俺?だから言わせんなって。
■最後に
どこかの自治体や企業のシステムを運用している人達には、同様のパスワード設定がなされていないか、パスワードの変更が定期的になされているかの確認が飛んでくるだろう。
ご愁傷さまだが、これを見直すいい機会にしようぜ。
俺もお前もな。
Pixel 6シリーズはGoogleが示唆する「30Wの急速充電」が不可能という実験結果
https://gigazine.net/news/20211109-google-pixel-6-cant-30-w-charging/
GoogleはAMP以外の広告の読み込み時間に1秒の遅延を加えていた
https://gigazine.net/news/20211108-google-amp-trust/
もはや中国のトップブランドの方がよっぽど実直なモノづくりをしている印象。Xiaomiなんかは定価3.4万で買えるミドルハイ機種(11 Lite)でも33W充電がちゃんと機能してるし、ハイエンドも去年の時点で66W、今年の5.5万のハイエンド級(11T)でも66W出てるし、ハイエンド(11T Pro)に至っては7.0万機種で120W対応してる。コスパでは劣るけどOppoやOneplusのような中華ブランドも同水準の技術は提供できているし、よっぽど信頼できる。
まあ確かにネットでは中華に時代遅れのネガティブイメージを持ち続けている人がたくさんいて、謎通信がどうの反日がどうのと突っかかってくるのを各所で見かける。でもそれらはどうせ自分でパケット解析もできんのに胡散臭い技術系でもないソースや、ヘイトを煽るだけの追跡調査などろくにしないゴシップサイトを鵜呑みにしているだけで、実際にモノに触れていないくせにネットの偏見に塗れた聞きかじりだけですべてを判断できるという傲慢に溺れてる素人思考。ああいうのも、ただ自社クラウドと通信してる程度のをどうにかして悪い見方しようとしているだけの、疑心暗鬼こじらせたみたいな状況。少なくともそこらの落ちぶれてる日本企業なんかより中華トップ企業の方がよっぽどセキュリティやプライバシーの重要さを分かっているしそれを守るだけの技術と人材も持ってるわけよ普通に考えて。とはいえ中華全肯定したい訳じゃなく、日本のAmazonに出店してるレベルの適当な名前の中華セラーみたいなのはあらゆる面でお粗末な事もそこそこあるわけで、ピンキリが激しいことは申し添えておく。とはいえ初歩的なレベルの情報セキュリティインシデント起こしてるニュースはだいたい日本企業ってイメージがある。楽天は常連だけどもIIJとかですらやらかしてるからね。日本のIT系はアメリカにすら及ばんレベルで信用できない。そのアメリカだってFacebookとか悪例は無数にあるわけで、今回のGoogleも、AppleのBatteryGateの時とかもそうだし、ユーザーを騙すようなことをしれっとやってるわけよ。中には中華使うと共産党に筒抜けだから、みたいな政治絡めて言ってくる人がいるが、過剰な被害妄想だと自覚してないんだよね。政府がその一存で顧客情報を開示させる仕組みなんて日本も米国もどの国だってあるわけで、Huaweiみたいな共産党に近いほぼ国営みたいな企業であれば国による不適切な介入も跳ね除けられない可能性はあるけども、民間企業はどこだって基本的にはユーザーを守ろうとするもんだよ。どの国の民間企業だろうと。そのレベルで信じられないのならどの企業の製品だって使うことができないし、地球上のどこかの国に受け入れがたい思想の政権が存在している限りグローバル企業とは縁を切って鎖国して自給自足するしかなくなってしまうだろう。あまりにもヒステリックな素人反応を「中国政治通だから俺は正しく怖がってるんだぞ」風の顔でしてくる人、そういう手のつけられんレベルで起こってもいないことに対する過剰反応の連鎖を助長してしまう所は、ネットの限界みたいなのを感じるね。実際に起きたことだけをちゃんとテクニカルに理解していけばいいのに。私はテクニカルなオタク。わかる?単純作業じゃないわけ。
この、“だが、しかし、”の部分は徹底的に無視していくスタイルなんだなと感じた。
IPは変化する場合が多いとはいっても、固定の場合もあれば、稀にしか変わらない場合もある。
そのケースが全体に対して少数の一部だったとしても、セキュリティインシデントでは、些細な問題とは言えない。
対象者全員が何らかの被害を被らなくとも、その中の一部が“あたり”であれば、その情報を利用する人にとっては目的を遂げえる。
また、IPで直接的には特定できずとも、書き込み内容等を合わせて、特定の材料として強く機能することは十分にありうる。
それでも本人とは言い切れないだろうと言う意見があるかもしれない。
しかし、それで実際に本人に紐づいた情報が見えてしまっている当人からすれば、
非常に大きなストレスや手間が生じることには変わりない。
はてブのホットエントリ(総合)で月内に数多く[あとで読む]タグを集めたエントリ
506あとで/2747users 3年弱をかけ、ほぼ原付だけで日本全国の全市町村を回った人のブログ『名前も知らず興味も持たなかった町のページを開いてもめちゃくちゃ良い写真が出てきてしまう』 - Togetter
501あとで/4649users 普通の人が資産運用で99点をとる方法とその考え方 - hayato
422あとで/3111users この英単語を覚えるだけで、英文の9割は読めるようになるという話【NGSL,NAWL,TSL,BSL】|かわんじ #BooQs|note
343あとで/2716users ぼくは見た、国の消滅を | NHKニュース
336あとで/2885users 脅しも謝罪も必要ナシ。スゴ腕の債権回収OLに教わった、「人の動かし方」がスゴい | Dybe!
287あとで/1547users 機械学習の短期集中コース - Learn | Microsoft Docs
247あとで/2094users 中古物件に暮らす仲介のプロ秘伝の中古マンション注意点209個|中古マンションのリノベーションならゼロリノべ
198あとで/1127users ふるさとの手帖
193あとで/1407users デザインが苦手な人へ。デザインの四大原則を押さえれば格段にクオリティ上がるよ→素人が作るチラシや仕様書などにも有益 - Togetter
187あとで/1969users 100分de名著シリーズのバックナンバー約100冊を読破したら人生変わった
185あとで/1274users 【全文無料】総目次 世界史/日本史のまとめ|みんなの世界史|note
183あとで/1101users 【全部無料】ハマると時間が秒で過ぎる英語圏のプログラミング系サイトまとめ【英語学習】 - Qiita
175あとで/1452users 2020年のIT業界で働く人に読んでほしい10冊|マスク・ド・アナライズ|note
170あとで/1530users Netflixで英語が勉強できる「LLN」がすごい! 字幕の同時表示・速さ調整・辞書機能ありと至れり尽くせりだよ | Pouch[ポーチ]
170あとで/880users 架空企業「オニギリペイ」に学ぶ、セキュリティインシデント対策 (1/3):徳丸浩氏が8つの試練を基に解説 - @IT
167あとで/1236users その本は、長く出版禁止だった。語られなかった〈女たちの戦争〉を今マンガで届ける理由――『戦争は女の顔をしていない』インタビュー
166あとで/1171users 要件定義~システム設計ができる人材になれる記事 - Qiita
163あとで/1490users ミルクボーイがアジャイルを説明したら - Tommy - Medium
157あとで/1488users 君はPornhubを知っているか - ゆーすけべー日記
154あとで/800users アプリケーションにおける権限設計の課題 - kenfdev’s blog
149あとで/1159users 読みやすい文章のために、極力削るべき言葉リスト|桜川和樹|note
149あとで/1425users クエン酸、重曹、セスキなど使い分けがわからない時に役立ちそうな表がとても有能と話題に「お掃除はRPG」 - Togetter
147あとで/870users ITエンジニアが投票した「ITエンジニア本大賞2020」ベスト10発表。「ドラゴンクエストXを支える技術」 「ダークウェブの教科書」など - Publickey
136あとで/1017users 三大読ませるWikipedia記事として「三毛別羆事件」「岡田更生館事件」「地方病」が話題に→みんなのオススメ記事が集まる - Togetter
130あとで/626users 現場で役立つシステム設計の原則メモ - Qiita
129あとで/924users 高校生がリアルタイム投票サイトを公開したらいきなり1万PVを記録した話 - Qiita
127あとで/748users 【2020年】AWS全サービスまとめ | Developers.IO
124あとで/1279users 転職の際にもらえる「再就職手当」「就業促進定着手当」合わせて数十万もらえることもあるので、ぜひ知っておきたい - Togetter
123あとで/1052users ラズベリーパイ使って宅配便の再配達を撲滅した話(総集編) - West Gate Laboratory
122あとで/1029users 現職のGoogleのエンジニアの半年の勉強量がこちら - Togetter
1番あとで読むを集めたTogetterは当時参照先のブログがアクセス過多で見られなかったらしく、あとで読む付けておくしか無いよな。7番目にある「ふるさとの手帳」https://katsuo247.jp/と言うのがその見えなかったブログらしい。
株式会社ナノオプト・メディアが主催/運営の Security Days Fall 2019 / Email Security Conference 2019 の「講演資料DLサービス開始のご案内」のメールで、メール冒頭の氏名・会社名に他人の情報が記載されていた。
下記URLの株式会社ナノオプト・メディアの「個人情報保護方針」及び「プライバシーポリシー」に沿って適切に扱われていない。
https://www.f2ff.jp/events/privacy/
昨今流行りのNTTの退職エントリの大半において、NTTの評価は
・福利厚生は良い
・人も良い
・待遇も悪くはない
・的外れなセキュリティ対策にガチガチに縛られていて作業効率最悪
という感じなのだが、まさにその通りなので、退職する気はないが、現役社員として実例を示しておく。
私が所属する組織では、ここ数年で情報セキュリティインシデントが多発している。
具体的には、取引先のベンダーA社の情報が、B社に開示されてしまうという情報漏洩だ。
その大半が、弊社の独自システム(以降「システムX」と呼ぶ)上、あるいはその周辺で発生している。
システムXは、弊社と多種多様なジャンルのベンダーが仕様書やソースコード、バグ票やQAコメントのやりとりなどを行うためのプラットフォームなのだが、その歴史は古く、運用開始は2000年代前半。
運用当初から現在に至るまで無秩序な機能の追加や他システムとの統合を繰り返した結果、その全貌を知るものは最早いないのではないかという複雑怪奇なシステムとなっている。
それゆえに情報管理・権限管理の仕組みは非常に難解で、「どうぞヒューマンエラーを引き起こしてください」と言わんばかりの罠が方々に散りばめられている。
「A社宛の起票のつもりだったが、なぜか権限設定に不備があり、B社も閲覧可能になっている」といった具合だ。
さらにシステムXへのユーザアカウント追加/削除や権限設定は、これまた極めて複雑かつ前時代的なエクセルフォーマットに記入してメールで申請しなければならず、この申請方法に起因したヒューマンエラーによる情報漏洩も後を絶たない。
日本語の読み書きとITパスポートレベルの知識があれば、わが組織で発生している情報セキュリティインシデントの癌はシステムXだということがわかるはずだ。
システムXの問題点を洗い出し、別のシステムでの代用を考えるのが筋道であろう。
現に、開発プロジェクト単位でシステムXを使わずにbacklogやJIRAといった権限の管理が容易かつ確実に行えるシステムへの移管が進んでいる。
問題。情報セキュリティインシデントの多発に伴い、社長や直属役員からお叱りを受けた組織長が取った対応策は何か。
もちろん本日記のタイトルからお察しの通り的外れなのだが、その度合いがヤバい。心して聞いてほしい。
・メールやシステム(システムX以外も含む)で社外に添付ファイルを送信する際は、課長職以上の管理職から送ることとする。
・具体的には、係長以下の社員が添付ファイルの所在および送信方法の下書き(メールやチケット)をメールで管理職に送り、管理職が先方に送信する。
・・・え?
システムXが糞過ぎてヒューマンエラー多発してるだけなのに、全てのファイル送信を管理職が送ることで何か解決するの?
というかメール/JIRA/backlog/Redmine etc・・・で日に何十も何百もファイル送信が行われるのに、全部管理職を経由させるの?
ログファイル1件、スクリーンショット1枚送るのに課長にメールで依頼して、対応を待たなきゃいけないの?
働き方改革だ、業務効率化だと言っていたのはどこの誰でしたっけ?
もうね、怒りを通り越して笑いがこみ上げてきたよ。
この対策(笑)が意味を成さないこと、むしろ無駄に人手をかければ更にヒューマンエラーが発生する確率が上がることくらい、ちょっと賢い小学生でも理解できる。
気づいてる管理職も大勢いるはずなのに、誰も異論を唱えず、淡々と部下に"ルール"として周知する。
多くの部下を抱え、毎日大量のファイル送信が必要な管理職は、ノートPCを持ち帰り、帰宅後だろうと年休中だろうと遠隔でファイル送信の対応に追われている。
わが組織に「ボトルネック生成によるヒューマンエラー促進法」が施行されて数日後、めでたく情報セキュリティインシデントが発生した。
具体的な内容と原因については知らされていないが、推して知るべしといったところ。
いっそのこと、ファイルは全部組織長が送信したらどうっすかね?むしろ、社長にしますか?いや、それでも危ないから、全部手渡しにしましょうか?(鼻ホジ)
ウチは300人ちょっとの会社で、業務内容はほぼ海外取引オンリー。
だからバックヤード部門を除き社長からヒラに至るまで、正社員は必ず年数回、海外出張に出かける。
というか人によっては、日本にいるのは1年のうち数日だけなんてケースもある。
かと思えば春節かよ!とツッコみたくなる帰国ラッシュが年数回あったり。
社員が使うPCは基本Windowsだが、中にはMacという人もいる(正直やめてほしいが)。
そんな会社でITを支える我が情シスは、以下のメンバーで成り立っている。
ここで問題になっているのが、最後に挙げたセキュリティ・PC担当の定着率。
基本的に新人も中途も、登竜門として最も技術的難易度が低いというか、そこまでガッツリ勉強しなくとも務まるセキュリティ・PC担当で仕事力を鍛えてもらう。
しかし、さほど難しくないはずの当該業務は、現実としてデキる人と全然ダメな人にはっきり分かれてしまう。
ちなみに全然ダメなのは決まってプログラマ上がりないし、「学校ではプログラミング好きだったんですよー」というタイプ。
たいてい、毎日3時間も4時間も謎の残業をした挙げ句、それだけ頑張っても3ヶ月と保たず業務に支障を来たし、「すいませんクビにしてください」と言って辞めてしまう。
これが不思議でならない。
だって業務と言っても、大して難しくない、こまごましたタスクがあるだけなのだから。
一応列挙すると
だいたいこんな感じである。
というわけで、一つ一つの作業は大した事ないというか、むしろ簡単なのがおわかりいただけるだろうか。
それこそマニュアルも不要なレベルだし実際マニュアルはないし、それでも今の社員数なら一人で回せる。
だから、プログラムなんてバカには絶対できない作業が行える人間が、この程度のことでつまずくというのが、ちょっと信じ難いのだ。
何が問題なのか、教えてほしいわ。
ありとあらゆる国内の証券会社で、株取引画面にアクセスする際のスマートフォンやアクセストークンによる二段階認証(多要素認証)などの、ログイン用のIDとパスワードが流出してしまった”後”の対策が一切されていない。
つまりIDとパスワードが流出した時点で、第三者によって自由に株取引がされてしまうリスクを利用者は常に負っているということになる。
例えばGoogleやYahooやAmazonでは、認証されていない端末やブラウザからアクセスがあった場合は、登録されている電話番号へSMSを送信し、本文に記載されているワンタイムパスワードを入力しないとログインができないようにする二段階認証を採用している。
国内でも、大手銀行のネットバンキングでは、出金手続きをする際は専用のアクセストークンやスマホアプリに表示されるワンタイムパスワードの入力を求められる。
しかし、何故か国内企業の証券口座に関してはこういったIDやパスワードが流出してしまった”後”の対策が一切されていない。
証券会社側の弁護もしておくと、銀行口座への出金に関しては、契約者の名義と出金先の銀行口座名義の姓名がカタカナで一致しないと出金できない仕様になっているところが多いようだ。
しかし株取引に関してはIDとパスワードだけで自由に行うことができてしまい、ネット上でのイタズラ目的などで不正な取引をされ、結果的に莫大な金銭的損失を被る可能性は常にある上に、登録されている個人情報に関しては見られ放題で、まさにやりたい放題ということになる。
個人的に気に食わない身近な人物のログイン情報をソーシャルエンジニアリングで抜き取ったり、株関連のブロガーや株取引を実況する動画配信者などのネットで活躍する人物にターゲットをしぼってログイン情報を抜き取り、不正な株取引で金銭的な損害をあたえることは充分に可能ということになる。torをつかってIPアドレスを偽装してしまえば、刑事事件に発展したとしてもIPアドレスから犯人を特定することは実質的に不可能になってしまい、中学生でも簡単に完全犯罪ができてしまうということになる。
もちろん、前述のような対策をとったからといってフィッシングサイトでワンタイムパスワードを入力させられる等の手口もあるため100%リスクを回避できるというわけはないが、現時点で一般的に実施されているIDとパスワードによる認証に加えて、SMSやワンタイムトークンによる二段階認証を採用すれば、IDとパスワードの流出に起因する不正アスセスのリスクの大部分は回避できるであろうと思われるのにも関わらず、国内の多くの証券会社がその対応をしていないのは、単純に対応を怠っているとしか思えない。
私が確認したところでは
においては、この記事の執筆時点ではIDとパスワードが流出した”後”におけるこれらの対策はされていないようだった。
以前、何社かにこれらのセキュリティリスクについて電話窓口で指摘したところ、例のごとく「パスワードを定期的に変更(以下略」と言われてしまった。
しかしこの「パスワードの定期変更」については以前から、定期変更を繰り返すことで必然的に覚えやすい簡単なパスワードを設定するユーザーが増えてしまう、毎回複雑なパスワードを設定したとしても覚えられない為にメモを残してしまいそれがセキュリティリスクになる等の問題点が指摘されており、2018年からは総務省でも「パスワードの定期変更は不要」という見解を示している。
利用者としては、大金を預けている以上は最低限のセキュリティ対策をしてほしいところではあるが、専用窓口でその旨を伝えても「面倒くさい人が来た」という対応をされてしまい、何だかなぁという感じだった。
(2020/09/16)
報道各社によると、SBI証券で悪意のある第三者による不正アクセスにより利用者の有価証券売却および、偽造した本人確認書類を利用するなどして、当該銀行口座そのものを不正に開設した“偽口座”への出金が複数件確認されたとのこと。被害総額は現時点で9864万円とのことらしい。第三者の不正アクセスによる有価証券の不正取引どころか、偽口座へ出金までされる事態になってしまった。SBI証券では、利用者の任意ではあるが「PC登録あんしんサービス」というサービス名でメールアドレスによる二段階認証を早期に導入した数少ない証券会社であっただけに残念。余談ですが、この記事を最初に投稿してから以降、7ペイ騒動等の相次ぐセキュリティインシデントの発覚を受けて、松井証券など一部の証券会社では電話番号等による二段階認証を導入している。しかしこれらの利用はあくまで任意であり、セキュリティ意識の高い利用者以外は従来通りのIDとパスワードだけの認証に留まっているのが現状のようです。
重大なセキュリティインシデントを公開するなよバカっていうのはあるけど、英語を読めない人って大変だな。
もう https://github.com/tootsuite/mastodon/pull/2182 で直っているよ。
自分は IT 業界の人間なんだけど、ある時期以降日常業務におけるセキュリティに関する対応が増えていて、(たぶん、どこもそうなんだろうけど)それについてモヤモヤしてることを吐き出しておきたい。
末端で働く側から見ると、セキュリティインシデント対策/予防のメインは「末端に対する注意喚起と教育」に見えるんだよね。
「常に気を付けろ!」「セキュリティ意識高めろ!」みたいな精神論に終始しているように見える。
あげく「セキュリティ事故があったらたいへんなんだぞ!」みたいなビデオだの見せられた日には「精神論の次は脅しかー」と思う。
ついでに誓約書まで書かされたりして、マイルドパワハラとでも呼びたいぐらいだ。そのうち血判状とか言い出しかねない。
これって、末端に対するしわ寄せだよなあ。と思うわけです。
「何かあったら意識が低いお前が悪いんだからな!」とでも言わんばかり。業務は組織としてやってることなのに、問題があったらいきなり個人の資質にその原因を求めんのかよ?と思うわけ。
現場はあれこれのデータを扱ったり持ち出したりせざるを得ない状況があるわけで(そんなのおれたちだって望んでいない)、どんなに気を付けて意識高く持っていてもゼロリスクはあり得ないし事故は起こる。
実際のところ、組織はそれなりにいろいろやってるとは思う(てか思いたい)。
・(中位)インシデントを防ぐ仕組みを導入
・(上位)インシデントの損害をあらかじめ折り込む
下位についてはそのまま。中位については、アクセス権の管理や、認証技術の導入、ワークスペースのゾーニングとかかな。上位については、食べ物屋さんの廃棄率とか工場の歩留まり率みたいな話。
そうした取り組みって末端の現場にはあまり説明されていなくて、精神論をキーキー押し付けられてるようにしか見えないんだよね。(仕組みは変わったら嫌でもわかるけど。)
加えてモヤモヤするのは、インシデント対策として業務プロセスが変わって、業務コストが上がってるのに、その分のコスト増はプロセス上は無視されて、ウヤムヤのうちに現場に押し付けられてるケースが多いこと。
今までオフィスでやってた仕事が、インシデント予防のため特定のロケーションでしか行えないことになって、片道1時間の移動コストがかかりますと。でも、そのコストはどっからも補てんされない。みたいな話はよく見るわけで。仕方ないのでそれを案件のコストに乗せると、「コスト減らせ!」みたいなメールが飛んでくる。そらみんな鬱にもなりますわ。
なんか、話が飛び飛びになってるけど。。何が言いたいかって言うと、「どう分析して何をやってるのか、ちゃんと説明すれば?」ってこと。
現場への注意喚起と教育だけじゃ「また上が現場の事もわからず勝手なこと言ってるぜ。クソが。」としか思われないってこと。
以下蛇足
末端の人間で、「セキュリティ事故の原因は個人の意識の問題だと思いマース。」みたいなこと言う人って、明日は我が身なのを想像できないのかね。。自分で自分の首絞めてるってゆーか。上からのウケが良いからそう言ってる部分もあるだろうけど。
----
