アカウント名:
パスワード:
お客様からは、「サウンドハウスの個人情報管理が甘かったのではないか」という管理責任を問う声を頂きました。(略)それに対して弊社の率直な答えは、通常、企業が取るべき対策は取っており、完璧ではないが、落ち度があったと言われるレベルでもない、ということです。(略) 弊社のWEBサイトは全て自社開発をしており、セキュリティ面に関しましては、24時間体制のシステム管理者が、外部のアドバイス、指導を受けて構築してきております。そのシステムのセキュリテ
お客様からは、「サウンドハウスの個人情報管理が甘かったのではないか」という管理責任を問う声を頂きました。(略)それに対して弊社の率直な答えは、通常、企業が取るべき対策は取っており、完璧ではないが、落ち度があったと言われるレベルでもない、ということです。(略)
弊社のWEBサイトは全て自社開発をしており、セキュリティ面に関しましては、24時間体制のシステム管理者が、外部のアドバイス、指導を受けて構築してきております。そのシステムのセキュリテ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
要するに (スコア:3, 興味深い)
Re: (スコア:5, 参考になる)
全く知らないのでなく、セキュリティには金を払っているのだから、
これで防げるのではないかと思っていたという事でしょ。
技術の専門家で無かった自分は「ハッカーセーフ」とやらの謳い文句が、
十分投資に見合った体制だと思っていたと20ページ目に書いている。
技術の専門家だったら責めるのも解るけど、エンドユーザーの態度としては、
こんなもんじゃないかなあとも思うんだけど。
>知らなかったのは行政のせいだなんて
この会社、この社長の発言全てを弁護するわけじゃないがOffice氏の事件以降、
善意の第三者が危険な状態になっている事を
Re: (スコア:2, 参考になる)
>Office氏の事件以降、善意の第三者が危険な状態になっている事をお知らせというのは激減している。
そのOffice事件を受けてIPAやJPCERTなどの取り組みが制度的に整備されました。
そののち、それまで問題点を発見しても誤解されることを恐れて通報を躊躇していた善意の第三者の皆さんは、多少の不安も感じながらそれらの取り組みに加わっています。
したがって、善意の第三者が直接「問題のある組織団体」や「ネット上」へ危険な状態になっている事をお知らせというのは激減していますが、それは当たり前のことで、むしろ通報する側される側とも余計なリス
Re: (スコア:2, 興味深い)
(略)
>その教訓はきちんと生かされているのではないでしょうか。
レスありがとうございます。
この部分、自分でも最後まで触れずにいようかと思いましたが、やはり触れることにしました。
このようなツッコミが入る程度には、IPAの活動は周知されているのか、普通にOffice事件から
進展がないと受け止めている人が多いのか解らなかったからです。
あれ以降、確かに軽微なものはリスクを負う事無く報告されるようになりました。
そして問題が起きた後のインシデントレスポンスの体制は整ったかもしれません。
しかし、
ファーストサーバーの社長が逮捕されたので (スコア:1, 興味深い)
久保田理事がこんなことを言ってたんですね。
レンタルサーバー会社の安全性を認証する第三者機関を~ACCS久保田理事
http://internet.watch.impress.co.jp/cda/event/2004/09/30/4793.html
「レンタルサーバーを借りるときに、きちんとそのサーバー会社がセキュリティに対して適切な体制を整えているかをチェックしないと、実際に情報が漏洩した際にそのサーバー会社を選んだことに対して委託元としての法的な管理責任を問われる可能性が高いが、個々の企業にはそのようなチェックを行なうノウハウがないために実質的にはチェックは困難」と指摘。「そのような問題を避けるためにも、サーバー会社が適切な管理を行なっているかどうかを認証する第三者のチェック機関が必要だ」と訴えた。
これがサウンドハウスの社長を含めて一般的な経営者の感覚そのものなのでしょう。
そして、その感覚は過去も現在も変わっていない、と。
ホスティング会社に限らずセキュリティサービスを提供する企業の格付けが必要であることは間違いないでしょうが、ではそれをどこの誰がやるのかが問題になります。
それについてなにかアイディアをお持ちでしょうか。
ご指摘のとうり、IPAやJPCERTの枠組みは完璧ではありませんが、改善させることは可能です。
また格付けそのものではなくガイドラインのような形式でもよいのかも知れません。
いずれにしても、実務経験から得られた問題点や改善点についてのご意見や提案をおもちなのでしたらそれらは公の場に問うてみてはいかがでしょうか。
ひとりでぐちぐち悩んでいるよりは問題意識を共有している方々と前向きに取り組んでみてはいかがでしょうか。
(#1332755)の内容には大筋で同意しますし(#1333162)の内容は大方は理解できます。
ただ、正式なセキュリティ監査案件で受注したのではなく当事者間の口約束みたいなことで相談に乗る、というは内部統制(セキュリティ管理統制)の面で問題ありすぎなので、用心にされた方がよろしいかと。
技術屋としての良心というかお気持ちはわかりますが、そのような場合には、やはりきちんとしたセキュリティベンダーへ相談することを勧めるにとどめるのがIT分野のプロとしてのたしなみではないでしょうか。
約10万件、カード会社二社からの通報で発覚と言うことは既に流出したカードが悪用されていたことになります。
決済時期が国内使用とずれる海外で悪用されていたことが発覚すればカード会社は金融庁の聴取を受けることになるでしょう。
クレジットカード (日本) - Wikipedia
http://ja.wikipedia.org/wiki/%E3%82%AF%E3%83%AC%E3%82%B8%E3%83%83%E3%83%88%E3%82%AB%E3%83%BC%E3%83%89_%28%E6%97%A5%E6%9C%AC%29#.E6.97.A5.E6.9C.AC.E3.81.AB.E3.81.8A.E3.81.91.E3.82.8B.E3.82.AF.E3.83.AC.E3.82.B8.E3.83.83.E3.83.88.E3.82.AB.E3.83.BC.E3.83.89.E3.81.AE.E6.B3.95.E8.A6.8F.E5.88.B6
カード会社は加盟店契約を行う場合に審査を行いますが、セキュリティ面での対応が適切であるかどうか技術的なことまでは踏み込みません。
恐らくカード会社はサウンドハウスはハッカーセーフを導入していたことから優良加盟店として認識していたのではないかと思われます。
そのうちクレジット会社主導でセキュリティ格付け制度が立ち上がるかもしれません。
Re:ファーストサーバーの社長が逮捕されたので (スコア:1, 参考になる)
ハッカーセーフは、既にクレジットカード会社公認のようですよ。
ビザ・インターナショナル『日本初のインターネット脆弱性スキャニングとセキュリティ診断の無料サービス』を開始 [hackersafe.jp]
ハッカーセーフのサイトにありますが、ビザインターナショナルのリリースのようです。