  |
はてなキーワード: Ismsとは
明らかになんか仕込まれてる気配がする、デッド・キャット・バウンス、ワイがハッカーグループなら~などいろいろあれど、
やっぱ、ワイの投資解禁はまだまだ先やな・・・(破滅する予感しかしない) という感想
エルデの好調を汲んでも、上がる材料皆無で、底は2500円じゃないだろ
かわんご「KADOKAWA社長の夏野剛のXアカウントが乗っ取られました」
ニコニコ公式アカウント「弊社代表取締役のXアカウントは乗っ取られていません」
乗っ取られたかどうかは不明だけどニコニコ公式アナウンスを信じるならこうやね
そら株価も下がる (お金持っているIT苦手なおじいちゃんたちがどの程度理解できたかは不明だが)
漏れてないのに委員会への報告したのも謎だが、漏れてるなら本人への通知も義務 があるやで
>情報漏洩に関しては調査中です。なお、個人情報・クレジットカード情報などの漏洩は現時点では確認されておりませんが、引き続き調査を進めてまいります。
↑ そっか漏洩しなかったんだ
>また、個人情報保護委員会に本件を報告済みです。
↑ ⁉️
▼スマートフォンからブラウザで登録する
メールアドレスもしくは携帯電話番号とニックネームを入力し、「会員登録」を押す
会員登録
メールアドレスもしくは携帯電話番号宛にパスワードが書かれたメール(SMS)が送付されるので確認しておく
▼携帯電話番号で会員登録したIDでログインができない
回答
携帯電話番号でのログインに対応しているデバイスは、以下になります。
電話番号で会員登録されたアカウントを使用して、非対応端末でログインを行う際は、PCもしくはスマートフォンブラウザ版ニコニコで、ご利用中のアカウントにメールアドレスを登録していただき、認証されたメールアドレスを使ってログインをしてください。
25歳以下限定!年額プレミアム会員費が最大6,600円現金で戻ってくるキャンペーン!!
▼提出書類について
・メールアドレスは、ドワンゴから連絡およびキャッシュバック情報の送付に使用します
・年齢確認書類は、生年月日が記載されている下記いずれかの書類を添付してください。生年月日が記載されている面を撮影してお送りください
マイナンバーカード(表面) ※1
学生証
健康保険証 ※2
回答
クリエイター奨励プログラムに参加するには、プレミアム会員登録、又は、本人確認書類を提出の上で本人確認手続きを完了させる必要があります。
一般会員の方で本人確認書類を提出の上でお手続きを希望される場合は、以降の内容を必ずご確認ください。
本人確認書類は、1種類だけで有効な本人確認書類と、一緒に住所確認書類の提示が必要な本人確認書類があります。
※マイナンバー(個人番号)が記載されている書類につきましては、
お取り扱いできないため、添付しないようにしてください。※
運転免許証・マイナンバーカード(表面)・写真付き住民基本台帳カード・在留カード・特別永住者証明書
※マイナンバー(個人番号)が記載された書類は、お取り扱いできません。マイナンバーカードの裏面など、マイナンバー(個人番号)が写っている画像は絶対に添付しないでください。
上記+公共料金の領収書もしくは住民票(発行日から3ヶ月以内のもの)
※健康保険証は、「記号」「番号」「保険者番号」「QRコード・枝番(印刷されている場合のみ)」を付箋等で隠して撮影する、または画像内で塗りつぶした上で添付してください。
えらい人が無茶苦茶しただけだぞ、そもそもニコニコはクラウドちゃんと移行済みだし
最低限やらないといけないお仕事はしてるし、最低限出さないといけないアナウンスも出したぞ
ニコニコ動画においてはサイバー攻撃を検知した6月8日に、それ以外のサービスにおいても順次、サービス側より、連携アプリの無効化(revoke)を実施済みです。
なお、当該代表取締役のXアカウントには、ニコニコを含むドワンゴ・KADOKAWAのサービスとのアプリ連携は登録されていませんでした。
本事象にともなって、ユーザーのみなさまに特段ご対応をいただく必要はないと考えておりますが、ご不安な場合は、Xアカウントのパスワードを変更・二段階認証の設定・不要なアプリ連携の解除など、通常のセキュリティ対策を実施いただければと存じます。
ちなみに、Oracle出身の人に「ドフラット」な社内ネットワークだったから被害が拡大したのでは?とTVで言われてるけど、
日本オラクル株式会社社外取締役 で 近畿大学情報学研究所所長兼特別招聘教授 の夏野氏は抗議しなくていいのだろうか?ってずっと気になってる
笑えない…ニコニコ動画 「復旧まで1カ月超」なぜ?【日経プラス9】
あと、夏野氏は『グーグルに依存し、アマゾンを真似るバカ企業』https://www.gentosha.co.jp/book/detail/9784344981355 っていう
ありがたい本を出しているけど、どういう設計になってたか、日本のシステム担当者がみんな気になってるので後学のために公開して欲しい
かわんご「KADOKAWA社長の夏野剛のXアカウントが乗っ取られました」
ニコニコ公式アカウント「弊社代表取締役のXアカウントは乗っ取られていません」
乗っ取られたかどうかは不明だけどニコニコ公式アナウンスを信じるならこうやね
そら株価も下がる (お金持っているIT苦手なおじいちゃんたちがどの程度理解できたかは不明だが)
漏れてないのに委員会への報告したのも謎だが、漏れてるなら本人への通知も義務 があるやで
>情報漏洩に関しては調査中です。なお、個人情報・クレジットカード情報などの漏洩は現時点では確認されておりませんが、引き続き調査を進めてまいります。
↑ そっか漏洩しなかったんだ
>また、個人情報保護委員会に本件を報告済みです。
↑ ⁉️
そうはならんでしょ
ISMS取得~とかやってる会社だと詳しいとか詳しくないとか関係ないしに
考えてみた。思い付き羅列。
企業側がこれくらいしっかりやらないと安心して利用しないだろうなと。マッチングアプリじゃなくてちゃんとした紹介所レベルだな。ちなワイ、シングルマザーのITおばさん。件のアプリは適当な情報で会員登録して触ったけど、微妙。だいたいなんで20代前半の男とかおるんだよ、ホストか結婚詐欺だろ。とくにシングルマザーの世帯年収中央値が200万ちょいなんだから、心細くて必死だろうよ、そういうのに漬け込む奴はたくさんいるだろ。あとおおよその地域で子供の学区特定余裕なんだから危ないわ。アプリも子供の顔写真を載せるときは気をけてね!的な軽い注意文言で済ますなや。あほか
それは考え方が逆で、他人のあらゆることに興味が無いので、
コミュニケーションのお作法以外で他人に興味関心を持つ人が意味がわからなすぎるから嫌なの
もちろん、コミュニケーションの手法で親近感を持たせるため自己開示は基礎中の基礎だけど、
それお前にとって自己開示の道具に使っていい道具だったの?みたいな
大抵は家族の写真・好きな芸能人・キャラだったりするので、ダメそうようね?
まぁわざわざ置いてるから話のネタとして拾う分には困らないけどね
ポジティブに言えば守るべき小動物が巣を作っているのを眺める感覚だな
三十代半ばまでプログラマーだったけど、やりたいことがあって別の業界に転職した。
自分が新卒のころ、その業界の知名度は今よりもずっと低かったから、どうすればその道に進めるのかずっとわからないでいた。だから、おっさんになってから転職した。
大企業から案件のおこぼれをもらって、それで基礎を学んだ。仕事量は多いけど、手取り 20 万なかった。
仕事に慣れたころ、会社の経営が傾き始めた。他部署の業績悪化が足を引っぱり、テコ入れに精神論を売りにする外部のコンサルを雇うようになった。
自分のいた部署は堅実に売上を伸ばしていたのだけど、そのことが逆に経営層から疎まれ、最後は部門ごと他社へ移籍することとなった。
営業部の力が強く、どの営業担当から案件を回してもらうかで社内での立ち位置が変わった。
営業担当も互いに自分の影響力を伸ばそうと躍起になっていたから、社内はコップの中の嵐というより序列を争うホストクラブのようだった。
ここでも基本的な仕事内容は変わらなかったけど、プログラミングでの開発やブログ記事の執筆もやった。資産管理や部屋の掃除(引き出しはGの排泄物でいっぱいだった)なんかもやった。
書いた記事はまずまずの PV だったと思う。業務上の必要から ISMS も取得したし、案件入札に必要になるからと自前で資格も取った。給料は 5,000 円アップした。
半年くらいいると、世事に疎い自分にも徐々に社内の様子がわかってきた。要は自社経営の IT スクールの受講生を、自社運営の就職サイトで他社に斡旋する、あるいは IT スクールの講師をさせる、そういうカラクリをエコシステムと呼んでいた。
ある日、上司に昼飯に行こうと誘われ、料理を待つ間に派遣先を告げられた。社内にいる人間は人件費がアレだから外に出て稼いで来い、そう営業からお達しがあったと言う。
こうして入社から一年で派遣社員となり、送別の昼飯はワリカンだった。
プロパーどうしは人間関係がちょっとギスギスしており、派遣社員はプロパーに取り入りつつ、ちょっとした手抜きや仮病は見逃してもらっているようだった。
自分は自社の喧騒から距離をおけるようになった分、業務に集中するよう努めた。ただ、毎月サブロク協定の上限まで残業させられるので、月によっては時給換算で 1,000 円ちょっとになってしまうのが痛手だった。
生活のため食費を削っていたし、職場は密閉状態だったから、風邪やインフルで倒れないよう健康にだけは気をつけた。
自分以外の派遣社員はみな二十代で、業務中もゲームに興じる廃課金ユーザーが多かった。意外だったのは、自分たちを派遣先に送り込んだ上司は何のケアもしない高給取りの無能呼ばわりされていたことだった(自分は非常に高スペックな人だと認識していた)
年を越して、4/1 から自社に引き揚げて開発プロジェクトに投入されるという話が進んでいることを知った。どうも次年度の契約で派遣先と折り合いがつかず、交渉が決裂したようだ。派遣先の課長が「あなたの会社の営業さんはなんであんな(強気)なんスかね?どうにかなんないんスか?」とこぼしていたが、何の権限もない自分にはどうしようもなかった。
ただ、自社に戻って開発をしたり、上司や営業と顔を合わせてやりとりをする自分はどうしても想像できなかったので、自社の場当たり的な方針に依存するわけにもいかないだろうと強く自分に言い聞かせていた。
タイムリミットが迫るにつれ、次年度の希望を聞かれる機会が何度かあった。自分は業務優先で返事を先延ばしにしながら、周囲に悟られないよう履歴書を用意したり、面接を申し込んだりして少しずつ転職活動を進めていた。
年度末を迎え、担当営業からメールで次の配属先の発表があった。自分は最後まで希望を伝えなかったこともあり、おつかれさまでしたの一言だけだった(これは自分が悪いのでしかたがない)上司とは結局、送別の昼飯以降は会うことがなかったように思う。
数日後、本社に出向いて退職手続を済ませ、4 月中旬までに希望の 1 社に絞って面接をくりかえしたり、SPI を受検したり、必要書類を揃えたり、そこそこ忙しかった。
ここまでくるのに 4 年ほどかかったけど、正直言うと本当に大変だったのはここからだったと思う。
まわりの若い同僚はこれまで見てきた人たちと違って教えられたことをすぐに再現できたり、適切に応用することができる人たちばかりなので、そこからさらに 4 年間は取り残されないよう無理をしたと思う(実際、ちょっと体を壊してしまった)
今の職場も仕事量が多くて辛抱の毎日だけど、もう少しがんばってみようと思っている。
……
ちょうど 10 年くらいになるので、これまでの整理の意味で振り返っておこうと思った。
就職氷河期世代だから貯金だけはするようにしていて、老後の備えは何とかなるかもしれない。
おっさんになって人生をやり直す形になってしまったけど、いつも懸命だったし、自分との約束は守れたんじゃないかな(と思いたい)
Pマーク(or ISMS)が批判されているが、皆どんなチェックがされるのか知ってるの? 内容を知らないのでイマイチ批判の波に乗れないんだよね。自分の検索能力が低いだけかも知れないけど、公開されていないようで文書が見つからず真偽を確かめられないし。
なので、ここから先は自分の推測。間違っていたら指摘して欲しい。
PマークやISMSの認定では「パスワード付きzipしろ」と明言されているわけではなく、「メールでファイルを送るなら暗号化しなさい」くらいの話だと想像している。
もちろん、「パスワード付きzipで送付します!」に対してダメと言わないPマークが悪いとも言えるが、以下が担保されればセキュリティとしては問題ないように思う。
審査がザルなんだろうとは思うけど、受ける側が嘘ついてたらどうしようもないし、PPAPが手間が掛かる/非効率である点はPマーク側がどうこう言う話ではない(本当はコストを考慮した上でのセキュリティであって欲しいけどね)。
あと、別ソリューションとしてよく挙げられる外部ストレージサービスの活用について、Pマーク側が禁止しているわけじゃないよね? 禁止していないなら、それを採用しないお宅が悪いのであってPマークを批判するのはお門違いなのでは?と思っている。
とりとめもなく書いたが、思っていたことをぶち撒けられてスッキリした。
じゃあな。
場所はあんまりいうとバレるから関東近郊のDCを借りて、酒と食べ物買って飲み食いしながら夜はめちゃくちゃに障害復旧するっていう催し。
こういういわゆる障パを主催している幹事に誘われて初めて参加した。
インシデントバー(インシデントばっかり発生する)とか少しだけ行ったことあって、技術的好奇心があったから参加した。
リビングで適当に酒飲んだりご飯食べてたら、いきなりKubernetesをオンプレに展開したいとか唐突に言い出して、障害パーティーがスタートした。
適当に近くの運用担当とペアになってどんどん運用部屋(ISMSで規定されている)に吸い込まれていく。
1回1時間弱くらいで手順を確認して、コンソールからコマンド打って、復旧確認して休憩して、また近くのダブルチェック担当と障害復旧しに行く。
部屋中に溢れる指さし確認の声がうるさくて眠たくならない。
これまで、無理に安全側に倒す方ではなかったけど、転職イベントとかで口説かれたりして転職するかしないかという駆け引きのコミュニケーションばかりしていた。
この回転寿司のように障害復旧を繰り返す姿はスポーツのような動物園に来たような気がした。
正直、全然酒に酔えなくて全く楽しめなかった。全然技術的達成感を感じなかった
幹事には楽しかったからまた誘ってとか社交辞令を言ったけど、多分もう障害パーティーはいかないだろうな。
ISUCONみたいな絡みが好きみたいな感じで、ああいう作業だけしてる場はある意味人間の動物的な本質なのかもしれないが理解できなかった。
金払ってまで障害復旧はしたくはねーな。
ここ連日騒がれている7pay。
パスワードリセットリンク送付先のメールアドレスに対して設計上の問題で脆弱性が発覚して大変な事態に発展しています。
昨日の会見では社長のITリテラシ不足が露呈したり、サービス継続が表明されたりして、いわゆる「祭」の様相を呈しています。
また、会見内で「セキュリティー審査を実施した」と明言がされました。
https://www.asahi.com/articles/ASM745HHHM74ULFA01Y.html
セキュリティー審査を実施していたにも関わらず、何故今回の問題が見逃されたのか。
非常に稚拙な推測ですが個人的に考えられる可能性をまとめてみようかなと思います。
その名の通り、サービスローンチ前に実施する、脆弱性や問題がないかの審査の事・・・だと解釈しました。
一般的には脆弱性診断とかセキュリティ検査とも呼ばれています。私はこちらの呼び方の方がしっくりきます。
「実施した」とはいっても、どういった内容を実施したかはわかりません。
ただ、7payは「一般に公開する」「お金を扱うサービス」になるため、ガチガチな脆弱性診断を実施すべきでしょうし、実際に実施したのではないかと思います。
通常、脆弱性診断というと、以下のような項目があげられると思います。
抜け漏れあると思うけど、大体どこのセキュリティベンダーでも上記のような項目を診断しているんじゃないかなあと思います。
詳しくは各ベンダの診断内容のページを見てみると更に詳しく載っています。
LAC、CyberDefence、NRIセキュア、ブロードバンドセキュリティ、スプラウトなど。
ただ、今回の脆弱性診断が外部ベンダで実施されたのか、内部で実施されたのかはわかりません。
以下、推測をつらつら書いていきます。
脆弱性診断はモノによりますが、診断内容をマシマシにするとエラい額が掛かります。
Webサービス診断は見積もり方法が各社違ったり、ツールを使うか手動とするかによって金額も大きく変わってきます。
また、数量計算もベンダによってまちまちです。ページ単位であったり、画面遷移単位であったり、SPAであればAPI単位であったり、複合での計算だったりします。
お願いすれば見積もり時にステージング環境で動いているWebサービスをクロールして、各ページの評価を付けてくれるベンダもあります。
規模と見積もり内容にもよりますが、100~200万といったところでしょうか。
スマホアプリ診断は一本幾らという場合が多いような気がしますね。相場としては50万~100万程度でしょうか。
プラットフォーム診断も内容によるとは思いますが、大体100万くらいかなあと思います。
これ以外にWebSocketを使っていたり、別のサービスと連携していたりするとその辺りの通信も含まれてくるのでまた金額は上がる可能性もあります。
Webサービス200万、スマホアプリ(iOS、Android)100万*2、プラットフォーム100万とすると、500万円掛かるわけですね。
脆弱性診断をするだけでこれだけのお金が吹っ飛んでしまうわけです。
そしてこれをそのまま発注するかと言われると、多分しないでしょう。
セキュリティはお金が掛かる割にリターンが少なく、目に見える結果が必ず出てくるとも限りません。
経営層は中々首を縦には振らないでしょう。
会見でも明らかになったことですが、社長のITリテラシはあまり高そうにありません。
こうなると脆弱性診断の稟議を通すのは中々容易ではなかった可能性もありそうです。
また7月1日に間に合わせたようなところもあるっぽい(?)ので、開発側に資金を全振りしていた可能性もあり、診断に費用を掛けられなかったのかもしれません。
いずれにせよ、全く実施しないのはまずいし重要そうな部分だけピックアップして実施しましょうという話にはなるでしょう。
削れるものをあげていってみましょう。
例えば、iOS用スマホアプリは実施しなくても良いかもしれません。iOS上で動くアプリは確かサンドボックス構造になっているはずで、ローカルに何かしらのデータを持っていても外部からのアクセスは基本不可であるためです。確か。
そもそもスマホアプリ自体不要かもしれません。7payのサービスへのアクセス用インターフェイスとしてのアプリしか提供していないのであれば、取り扱うデータはほとんどないと考えられるためです。そのため、スマホアプリAndroidのみ、もしくは両方実施しなくても大きな問題は発生しないのではないかと思います。
・・・この辺り私の勘違いというか、「最優先でやるべきだろjk」といった考えがあれば指摘ください。
プラットフォームも、ベンダによりますが実施しなくとも良いとも思います。
ベンダの説明でも、主にポートスキャンをして、空いているポートに対してtelnetで色々したりするといった説明がなされたと思います。
Webサービスなら443と、空いていても80くらいしか外部には公開していないので、これは実施しないという選択をしても不思議ではないと思います。
サーバのコンフィグも、DocumentRootがおかしいとか致命的な設定ミスをしていない限りは見てもらう必要はないでしょう。
そもそも構築手順等はノウハウもあるでしょうし、わざわざ見てもらう必要性はほとんどないわけです。
ワイドショーでは「不正は海外IPからで、国外からのアクセスを許可していた」事が取り上げられていましたが、例えプラットフォーム診断をしていても、この辺りは指摘されなかった可能性があります。
実施していればもしかしたら備考レベルでの注意や、口頭で「国内のみに留めておいた方がいいかも」といったことは伝えられたかもしれませんが、「利便性」という観点から実行されることはなかったんじゃないかなと思います。
Webサービスですが、ログイン・ログアウト処理は必須でしょう。また、新規登録、情報変更、退会処理も重要です。
パスワードリセットはどうでしょうか。正直これも重要です。なので、ベンダに依頼するにあたってはここも診断対象としていたはずです。
ところで今回の件では協力会社について様々な憶測が飛んでいますが、NRI説が結構人気みたいです。
ただ、NRIにはNRIセキュアというセキュリティに特化した子会社が存在しています。
もし脆弱性診断をするとなった場合、そこを使わないという手はあまり考えられません。そもそも発注時にそれを見越して診断費も開発の見積もりに含まれているのではないかと思います。
ただし、セブン側が「脆弱性診断はこちら側で発注します」と言っていれば話は別です。
NRIセキュアは診断費用が高いらしいので、コストダウンするために別ベンダに診断部分のみ発注する可能性はあります。
別のベンダに発注したことで、抜け落ちた可能性はゼロではないかもしれません。
また、NRIセキュアが実施する場合においても、「ここは抑えておいた方が良い」という機能毎やページ毎にランク付けした資料をセブン側に提出することと思われますが、どこを実施してどこを削るかの最終的な判断はセブンに委ねられます。
考えられる事としてはパスワードリセットの処理を診断対象外としたことですが・・・そうする理由もわからないので、うーん・・・。
ただ、こうして対象を削りまくることで100万程度、もしくはそれ以下まで診断費用を抑えることができます。
使ったことはありませんが、SecurityBlanket 365というサービスは自動での定期診断が可能なようです。
ライセンスやどういった動き方をするのかはいまいちわかりませんが、ベンダに逐次依頼する脆弱性診断よりかは安く済むはずです。
ただ、自動診断となると設計上の不備やそれに伴う問題は検出できないはずです。
ツールの手が届く範囲での、XSSやPoC、ヘッダの有無など、ごく一般的な脆弱性診断になると考えられます。
でも手軽そうで安価っぽいなので、これで済ませていても不思議ではないです。
脆弱性診断ツールはOSSのものもあればベンダが販売していたり、SaaSで提供しているものもあります。
OSSならOWASP ZAPやw3afがWebサービスの診断が可能です。また、phpcs-security-auditなど、ソースコードを解析し脆弱な箇所がないかを診断するものもあります。
ちなみにWebサービスに対する診断を「DAST」、ソースコードに対する診断を「SAST」と言ったりします。
有償のものとなると、DASTは先程のSecurityBlanket、AppScan、Nessus、Vex、VAddyが挙げられると思います。
SASTになると、RIPS TECH、Contrast Securityなどでしょうか。
上記のようなツールを用いて、セブン内で脆弱性診断を実施することでセキュリティの知見を高めたり、内部で完結させるための動きを取っていたかもしれません。
こういった動きは結構色んな組織で見受けられます。外部の手を借りずに診断ができれば、関係者間の調整も楽ですし、それと比べると費用も安く済みますからね。
ただし、社内のエンジニアに任せる事になるため、片手間になってしまう可能性があります。
また、ツールの使用方法についてのノウハウは溜まるかもしれませんが、それとセキュリティの知見が溜まるかどうかは別の問題としてあると思います。
・・・とは言ってもセブンにはCSIRT部隊がちゃんとあるんですよね。
https://www.nca.gr.jp/member/7icsirt.html
『7&i CSIRT は、7&i グループの CSIRT として設置され、グループ企業に対してサービスを提供しています。』と記載があります。
また、『7&i CSIRT は、7&i HLDGS. の組織内に専任要員を以て設置され、インシデント発生時の対応だけでなく、インシデント発生の未然防止にも注力しています。
グループ企業の情報システム部門と連携し、7&i グループ内で発生するインシデントに対する未然防止のための調査・分析とリスク情報の共有、ならびにインシデント対応活動を行なっています。』
という記載もあるため、今回の7payも、7&i CSIRTが動いてセキュリティ関連のチェックをしていたのではないかと思います。「情報システム部門」とはありますが。
組織図上にはありませんが、デジタル推進戦略本部の下か、リスクマネジメント委員会、情報管理委員会のどこかに所属しているんじゃないかと思われます。
日本CSIRT協議会にも名を連ねているわけですし、CSIRTメンバーは専任要因ともありますし、セキュリティ関連の技術知識は十二分にあると思うんですよね。
なので、内部でツールを使って実施していたからといって、こんな重大な不備を見逃すというのはちょっと考え辛いなあ・・・と思います。
会見内で言われた二段階認証も検討事項に上がらなかったのかなあ・・・と。
で、これを書いている最中に気付いたのですが以下のようなリリースが出ていたんですね。
https://www.7pay.co.jp/news/news_20190705_01.pdf
これを見ると内部のCSIRTが機能していなかったか、力不足と判断されたかどちらかになるのかな・・・と。
実際はどうだかわかりませんけど・・・。
これも有り得る話かなあ・・・と。
開発やベンダやCSIRT部隊が情報共有したとしても、POが忘れていたとか、伝えたつもりが曖昧な表現で伝わっていなかったとか・・・。
ベンダが実施して指摘事項として伝えていたけど、いつの間にやら抜け落ちていてそのままサービスイン・・・というのもシナリオとしては考えられますね。
7payは社内的にも一大プロジェクトだったはずで、スケジュールも決まっている場合、余計なことを物申すと手戻りや対応に時間を取られることになります。
そういった事を許さない空気が出来上がっていると、まあ中々上には上がってきづらいです。
これも十分にありえる話ですかね。ないといいんですけど。
どうしても『審査』という言葉に引っかかっています。『検査』ならまだわかるんですが。
そこで思ったのですが、情報セキュリティ基本方針と個人情報保護方針を元にしたチェックリストのようなものがセブン内にあって、それを埋めた・・・みたいなことを「セキュリティー審査」と言っていたりするのかなと思ってしまったんですね。
でもこれはセブンペイの社長が個人情報保護管理責任者ということで、ISMSやPMS等で慣れ親しんだ単語である『審査』を使っただけかもしれません。
そもそもそれで終わらせるなんて事ないでしょう。セブン程の企業が・・・。
大穴ですね。いやこれはないと思いますよ。あったら大問題じゃないですか・・・。
というわけで、なんとなく「こうだったりして・・・」みたいな事をつらつら書いてみました。
そういえばomni7で以下のお知らせが上がっていましたね。
https://www.omni7.jp/general/static/info190705
『定期的にパスワードを変更いただきますようお願い申し上げます。』とのことです。CSIRTはもしかしたらもう機能していないのかもしれないですね。
もしくはわかりやすい対策を提示しろと言われたのかもしれません。それなら仕方ないんですけど。
以上。
一部typoとか指摘事項を修正しました(役不足→力不足 etc)。
ついでに時間経ってるけど追記します。もう誰も見ないでしょうけど。
ちゃんと読んでいただけましたか?全文通して私の主張が「監査をしっかりやれば防げた」という意味と捉えられているのでしょうか。そんなに分かりづらい文章を書いた覚えもないのですが・・・。
一番上でも記載していますが、私は今回の7payの「セキュリティ審査」は、「脆弱性や問題がないかの審査の事」、つまり「脆弱性診断」を指していると仮定して本エントリを書いています。
そういう意味で、ここで私が指している「審査」と貴方が指している「監査」は似て非なるものです。字面は少し似ていますがね。
監査は貴方の記載する通り「ある事象・対象に関し、遵守すべき法令や社内規程などの規準に照らして、業務や成果物がそれらに則っているかどうかの証拠を収集し、その証拠に基づいて、監査対象の有効性を利害関係者に合理的に保証すること」です。
貴方の言う「監査」に近いことは「セキュリティー審査自体が、情報セキュリティ基本方針と個人情報保護方針に沿った内容かどうかを確かめただけだった」の見出し部分で触れていますが、それで終わらせているわ Permalink | 記事への反応(2) | 05:48
最初は腹抱えて笑ってたけど、ふと周りを見たら笑えなくなった。
多分、分かってる技術者もいっぱい居たと思うんだけど、複数の企業とか絡んでて仕様変更出来なかったんじゃないかと思う。
上司、自部門、自社トップ、他社、セブンのシステム子会社、セブン本体・・・俺だったら絶対何もしない。中途半端に対策案とか出してこのカオスに何回も相手に合わせた説明資料作ってとかできない。
これで間に合わなかったら分かってて対策案出さなかったとかで責められるのが目に見えてるからだ。
セキュリティって簡単に見つかったりするくせに直そうとするととんでもなく苦労する。仕様変更だからリグレッションテストとか発生する。その工数誰が出すんだ。保守費でよろしく。いや、想定外に高くなります。そんなの仕様が書いたおたくが悪いんでしょ・・・
日本じゃ金出した奴が偉いんだ。お客様は神様です。フランチャイズだけは金を取ってる方が偉いけどな。
はっきり言うと、ちゃんとしたベンダーじゃない限りIDを使ったサービスなんて自前でしない方が良い。個人情報を扱うならなおさらだ。
どうしろと?firebase使えよ。
コメント読んで、単価、フリーソフト、中抜きやピンハネについてのみ言及しときます。
未経験で入社したというのと、客先は3つ経験したのですが、これは2つ目の客先の単価だからです。
だいたい入社してから5ヶ月経った時の単価で、ある程度の予想が含まれます。
この時は仲介業者(大手SIer)の営業さんに「安ければ安いほどいいので業務経験がなくても大丈夫です」などと言われて入った客先なので、安く買い叩かれてて当然だと思います。
たぶんISMSの規約とかに「フリーソフトは個々でダウンロードせず、一括でダウンロードしたインストーラーをプロジェクト参加者で共有すべきである」とか追加されると、変わるのではないか、と思います。
実利益の2/3ほどを会社の運営費にしないと会社がうまく回らないというのは知っています。
そのため単価60〜70万が20ほどに減るのは一般論的には変なことではないのも知っています。
単価が目に見えるのがかなりの悪であることと、普通の派遣会社を経由した時給でのお仕事であれば同じような仕事をしているのに2/3も削られないため、ピンハネされていると考えてしまうのだと思います。
IPAが公開している電子メール利用時の危険対策のしおりの影響
https://www.ipa.go.jp/security/antivirus/documents/07_mail.pdf
‘電子メールを安全に送受信するために、メールの本文や添付ファイルを暗号化することができます。‘
普通の会社は安く手軽なセキュリティを好む、暗号化は簡単だ問題は暗号の解除だ
そこでこんなサービスが登場する「パスワードは別メールで送信元に自動で同時送信」と言うものだググれば腐るほど出てくる
システムさえ入れればお手軽なセキュリティしてますアピールが出来て漏洩したとしても言い訳がしやすい
https://www.jisa.or.jp/service/privacy/tabid/831/Default.aspx?itemid=31
‘【第23条】個人情報を含む添付ファイルを取扱う際に、セキュリティ対策(データの暗号化、パスワード設定など)の措置を講じることを新たに追加した。‘
ISMS認証にも似たような審査基準が記載されている、気になるなら自分で文章探すんだな
お客様に「うちはセキュリティ対策に社全体で取り組んでいます」アピールと安心感を持たせるためには必要なPマークとISMS認証のためなんや
労働者の無駄とか不便とかどうでもいいんや、そんなのに答えたらPマークと認証外されちゃうからな
上記の再送システムも付ければ最高のセキュリティ対策になるとお上の方々は思ってるんやで
「21世紀の人類がZIPのパスワードを直後のメールで送るのは、なぜデスか?」ってタイトルの@ITの記事、大元のitmediaもPマークを持っているわけだが
どうやって客や取引先にファイルを送っているのか教えて欲しい、パスワード付きzipを叩くぐらいだ画期的なセキュリティ対策をしているのだろう
