HIEDA NET Corpration
 > これは変だよ  > セキュリティの話は以前からしているが…


 

ドキュメント管理とアクセス権について

三菱電機子会社の従業員が私物PCにWinnyを入れていてVirusに感染し、そこに会社から持ち帰ったモバイルHDDを接続したものだから、発電所データが流出した。

Winnyについては警察官のWinnyでも書いている。警察ではセキュリティポリシーが有ってもそんなことが理解出来ないお馬鹿な警察官だらけ、なのだろうが、今回の三菱電機の場合は、セキュリティポリシーを理解出来るエンジニアとは思うが、セキュリティポリシーを遵守する気がなかったのだろうか?

セキュリティの話は以前からしているが、

  • そこそこPCを使いこなせて、
  • 更にMCxxCCNx等のネットワークのスキルが有るというだけで、
  • 或は、日本の通信技術を担ってきた超有名企業に勤めているエンジニアというだけで
僕ってセキュリティの知識もそこそこあるでよ
なんて考えてしまって、
  • 頭隠して尻隠さず状態の、実は穴だらけ、
なんてことをしてしまっていても気付かないことがある。随分警告しているのだが、聴く耳持つ者はほとんどいない。

最近、世間では、物理ディスクを盗まれないために

  • 紐をつけたり
  • ローカルディスクを廃止したり
すれば、ユーザ教育はしなくても大丈夫とばかりに、ハード技術で押さえる事が流行りのようだ。ユーザ教育だけでもモラルが向上する組織と駄目な組織とあるだろうから、ハード技術で押さえる事も必要ではあろう。しかし、ユーザ教育をしていないというのもどうかしているなと思う。

かつて、省資源をうたい文句にシンクライアントが出て来た時は流行にはならなかった。今はローカルディスクレスということで注目が集まっている。なるほど、必要が無いと呼ばれないということね。

となると、ユーザ教育をしていない組織はまだまだその必要を感じていないほど、危機に出会っていない(と考えている)ということなのだろう。

使用してみようとは考えない人たちには理解も出来ないだろうが、

  • 見る事も出来ない
  • 見る事は出来る人もいる
  • 更に印刷も出来る人もいる
  • 更に書込み(編集)が出来る人もいる
  • 更に持ち出す事が出来る人もいる
などと様々なアクセス管理をアプリケーションで実現する出来る技術もある。そろそろ考慮してみてもいいんじゃないか?

オレオレサーバ(偽装しているサイトに接続している可能性)

ITの知識もないアホウな自治体だけでなく、ITエンジニアに特化した人材派遣会社のサイトでオレオレサーバでSSLを運用しているサイトを見つけた。以前期限の切れた商用のサーバ証明書で運営していたときにも警告したが、その対処としてオレオレサーバに移行しただけなのである。社長さんと電話でお話すると理解はしていないものの、天災さんの言う事だからと聴く耳は持ってくれた。何度が連絡して実現した経営者との話なのだが、間に説明を受けた人や、折り返し連絡をくれるはずの担当さんがこの程度のセキュリティを理解していないのだ。

  • オレオレサーバ自分達専用のサーバのみ使用すること
しかし、これでさえ、秘密鍵が洩れてしまったら自分達専用と思わせられた偽サーバにアクセスしているかもね。

彼らが判っていない事

いくらSSLが効いていても盗聴者から丸見えかもしれないという可能性が否定できないということ。そして、閲覧者(ユーザ)がその事を確認する方法が無いってことなんだ。本物のサーバ設置者偽者
  • このサーバは安全ですよ
と言っている(自己申告)に過ぎない。

webブラウザでセキュリティの警告が出た時には、秘密鍵が洩れていない自分達専用のサーバでない限り、いいえを押さなければいけない。ましてや、派遣会社のスタッフIDISPの会員IDパスワード等という個人情報に紐付いている準個人情報の入力なんて以っての外だし、公共的性格を帯びる機関でこんなサーバを立てて一般利用者にサービス提供してはいけない。


この警告が出た時には偽装しているサイト接続しようとしている可能性がある!

※ IEならば↑この程度↑の警告文だがNetscapeだと、
  • あなたの個人情報を入手するためにctx.flexsnet.comであると偽装しているサイトに接続しようとしています
と出るぞ!(例示のURLはあくまでも例である。こんなサイト名があるかどうかは知らない。)
※ LGPKIかオレオレサーバか忘れたが、自治体サイトのなりすましは既に出現している。その自治体はなりすましされたサービスを停止した。
※ オレオレサーバでもプライベートルート証明書をwebブラウザにインストールするとこの警告は出なくはなるが、そのルート証明書をコンピュータネットワーク経由で提供・配布しては全く意味が無い。この時点でこれが本物?という疑いが発生するから。CD-ROMでの直接手渡し書留郵便にでもしないといけない。
※ 何らかの会員ID・ユーザIDとは別送でルート証明書の入ったCD-ROMのみ書留郵便で送付の場合は意味が無い
※ 偽装しているサイトに接続しているかも…

webmaster注:インターネットmailではどうですか?という質問が来た!May 24 2005

送信者アドレスを偽装可能だから駄目です!

勿体ないサーバ証明書

世の中には、

  • 信頼済みとして登録してある認証機関から発行されたサーバ証明書と、
  • 信頼済みルート認証機関から発行されたサーバ証明書
の違いが判らない人もいるからね。

金使い放題の無駄遣いしてんじゃねぇよ!この、ぶぁかがぁ〜。知らなかったから許されるではなく、知らないってことがいけないんだよ!僕はこの手の私は何でも知っていると思っていて聴く耳持たないタイプって嫌いだ。

お勧めリンク

と書いても読まない人もいる。
  「知っているよ!判っているよ!」
という人もいる。それにしては頭隠して尻隠さずなのはなぜなんだろうね?

お勧めリンク2

僕の著作では嫌な人は
を読め!(話題が別なものになっていしまうが)、 なんて知識もなく、プライバシー保護の考えも及ばない人たちは特にね。
Webmaster注:ついにSuica番号がメールアドレスと結び付けられ始めたぞ!
Webmaster注:請負(業務委託)契約・労働契約を結ぶとお客様・経営者・上司という立場ならば、従業員にプライバシーは無い!と考えるアホウなお客様・経営者・上司っているよね。

高木浩光がどんな人か知りたい人はこちら

May 24 2005 追記:お願いです!。警告画面の意味を理解してください!

以下のリンクを読んで警告画面の意味を理解してください!

リンク追加 May 26 2005



初出 23 Jun 2005
最終更新日 26 Jun 2005


 

 (C)2003 HIEDA NET Corporation All rights reserved.