アカウント名:
パスワード:
> 一割しか引っかからなかったのは、評価したいですけど標的型攻撃への完全防御は無理ゲーですよ。私も「一割か。意外と優秀じゃない?」と思った。(それはそれで政府機関に失望しすぎ?という気もするけれど)
実際のプログラムがどの程度まで内部を分かっている人間が仕掛けてきた想定でやってるかで「一割が優秀かどうか」っていうところも感じ方がだいぶ変わるとは思うけれど。訓練である以上、本当に内部の人がやっているわけで、その人達が知っている情報を駆使して可能な限り悪辣に仕掛けてたら引っかからない人が一割居るか?位になりそうだし。
.
SMTPを捨ててしまえ!っていうのは気持ちはすごい分かるけれど、政府機関(特に日本の)にどうにか出来るものじゃないよなぁ・・・ とも思う。
リンク先のPDFを読むと、go.jpのドメインのSPF設定をし始めているっぽい。コストバランスの取れる範囲ではシステム的な対策もすすめてるね、と一応思った。
「個人情報漏えい防止の為、ccではなくbccを使いましょう。」なんて掛け声だけで、利用者の注意力だけで何とか対処しようとしている姿勢もなー。
そこまで言うならcc欄のないメールクライアント、せめてcc欄を閉じることのできるメールクライアントにして欲しいものだけど、そういう気配はないんだよね。いつものように大事故が起きるまでは何もしないパターン。まあ、実害が起きないと予算が着かない、という事情も判るけどさ。
>現実社会でも、ネット社会でも、こうやって善意は死んでいくんだなと感じました。
同様の懸念というか残念感があるのは踏まえた上で、
本来はそういうのって「よく会話等をする顔見知り」がほとんどで「他人」にそういう思いを向けるのはごく限られた機会だったから成り立ったんだと思うんですよ。それが「よく知ってる人」と「全然知らない人」の間にたくさん人数が居ることで上手く回らなくなってる。
被害者なり困ってる人なりひき逃げされた子供なりが顔見知り、もしくはその縁者だと分かってたら手をさしのべやすいはず。
そしてだからこそ、人となりを深く知ることをあえて避ける傾向のある[要出展]ネット社会では、善意を装って手を伸ばして来る者こそ信用できないわけで。契約なり利害関係なり何か確実に関係性を測れる繋がりを持たない、「善意」を期待した関係って奴を築けないのは無理もないことと思います。
そうだ! FAXを使えば良いんだ!
# 本当にこういう会社がまだあるから困る
そうだ! FAXを使えば良いんだ!# 本当にこういう会社がまだあるから困る
今は無き以前務めていた工場の上司たちがそう言ってました。幹部社員以外のメールアカウントの外部発信資格を取り消して。社外とのやり取りはFAXと電話だけにしろとのこと。
主目的の書類はメール添付ファイルを送っても、関連する機密・機微情報だけは事前に送付を電話で連絡後FAX送信、事後に電話で送信済確認するくらいの職場はあるでしょう(そういうところに7年前居たが今に至るまでルールが変わる理由が見出せない)。
また、会社ではないですが防衛省とかいろいろ厄介な部署であれば外部からFAX送信を考えなしにしてしまうと怒られることがあるとも思うのです。緊急連絡がとれなくなって作戦行動ができないとかいろいろ理由があるでしょうが。こっちもルールが変わったということもなさそう。営業部で依頼された見積書送ったらすぐ後で防衛庁のどこぞの部署に怒られたというのを間近で見たことがある。
SMTP廃止の実現性は兎も角、一理ある意見だと思います。
今回は約1割が「感染」したとのことですが、ではこれが1%だったら問題ないでしょうか?0.1%だったら、いや、1人だったら問題ない?
もし1人でも感染者がいたら、そこから社内情報は漏れるでしょう。1割の場合と比べ被害は少ないはずですが、なくなりません。
ITリテラシの啓蒙は必要でしょうが、そもそも「SPAM・ウィルスメールが届かない」「感染PCが社外に情報を送信できない」という状況を作らなければ、被害をなくすことはできません。
もちろんゲートウェイでの対策も行っている上でのこの訓練なのでしょうが、「ITリテラシの低さだけが問題」というミスリードになっている気がします。
# 正直ユーザレベルでのセキュリティ対策は、もう時代遅れだと思う……。
「SPAM・ウィルスメールが届かない」「感染PCが社外に情報を送信できない」
これが無理。今日は成立していても、明日は崩れてるかもしれない。
セキュリティの強度は最も脆弱な鎖の輪の強度と同じ。つまり人間を強化しないとセキュリティ強度は上がらない。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
個々のリテラシーに頼るのは無理があります。 (スコア:4, 興味深い)
標的型攻撃への完全防御は無理ゲーですよ。普通の人は善意を信じて生きているんですから。
これを機会に、smtpベースのインターネットメールなんて廃止してしまえばいいんですよ。インターネット草創期じゃあるまいし、仕事用のメッセージ交換システムを無理にインターネットに接続する必要なんてもう無いですよ。文章交換が必要な相手には証明書付きの端末を支給すればいい。一般向けの窓口はそれこそ交換手がメールの真贋を判断して必要な担当者に配布するとか。
Re:個々のリテラシーに頼るのは無理があります。 (スコア:3)
> 一割しか引っかからなかったのは、評価したいですけど標的型攻撃への完全防御は無理ゲーですよ。
私も「一割か。意外と優秀じゃない?」と思った。
(それはそれで政府機関に失望しすぎ?という気もするけれど)
実際のプログラムがどの程度まで内部を分かっている人間が仕掛けてきた想定でやってるかで「一割が優秀かどうか」っていうところも感じ方がだいぶ変わるとは思うけれど。
訓練である以上、本当に内部の人がやっているわけで、その人達が知っている情報を駆使して可能な限り悪辣に仕掛けてたら引っかからない人が一割居るか?位になりそうだし。
.
SMTPを捨ててしまえ!っていうのは気持ちはすごい分かるけれど、政府機関(特に日本の)にどうにか出来るものじゃないよなぁ・・・ とも思う。
リンク先のPDFを読むと、go.jpのドメインのSPF設定をし始めているっぽい。
コストバランスの取れる範囲ではシステム的な対策もすすめてるね、と一応思った。
Re: (スコア:0)
「個人情報漏えい防止の為、ccではなくbccを使いましょう。」
なんて掛け声だけで、利用者の注意力だけで何とか対処しようとしている姿勢もなー。
そこまで言うならcc欄のないメールクライアント、
せめてcc欄を閉じることのできるメールクライアントにして欲しいものだけど、
そういう気配はないんだよね。
いつものように大事故が起きるまでは何もしないパターン。
まあ、実害が起きないと予算が着かない、という事情も判るけどさ。
Re: (スコア:0)
送信元のGMailアドレスで検索すると、論文の著者にもなっていて、まぁ送信先メアドのタイプミスなんでしょうが、
万が一にもフィッシングや標的型攻撃や間違いに見せかけたスパム送信先収集かもしれないと思うと、無視してしまいます。
善意につけこむ攻撃や詐欺がある以上、善意は捨てざるを得ません。
被害者もグルの詐欺かもしれないから、暴力を無視する。
物を売りつけられるかもしれないから、困っているように見える人を無視する。
詐欺かもしれないからひき逃げされた子供を見捨てる。
(中国の事件ですが、実際に中国では事故のフリをして、助けた第三者から高額な医療費をとる詐欺があるそうです)。
攻撃かもしれないから間違いメールを無視する。
現実社会でも、ネット社会でも、こうやって善意は死んでいくんだなと感じました。
Re:個々のリテラシーに頼るのは無理があります。 (スコア:1)
>現実社会でも、ネット社会でも、こうやって善意は死んでいくんだなと感じました。
同様の懸念というか残念感があるのは踏まえた上で、
本来はそういうのって「よく会話等をする顔見知り」がほとんどで「他人」にそういう思いを向けるのはごく限られた機会だったから成り立ったんだと思うんですよ。
それが「よく知ってる人」と「全然知らない人」の間にたくさん人数が居ることで上手く回らなくなってる。
被害者なり困ってる人なりひき逃げされた子供なりが顔見知り、もしくはその縁者だと分かってたら手をさしのべやすいはず。
そしてだからこそ、人となりを深く知ることをあえて避ける傾向のある[要出展]ネット社会では、善意を装って手を伸ばして来る者こそ信用できないわけで。
契約なり利害関係なり何か確実に関係性を測れる繋がりを持たない、「善意」を期待した関係って奴を築けないのは無理もないことと思います。
Re: (スコア:0)
そうだ! FAXを使えば良いんだ!
# 本当にこういう会社がまだあるから困る
Re:個々のリテラシーに頼るのは無理があります。 (スコア:1)
今は無き以前務めていた工場の上司たちがそう言ってました。
幹部社員以外のメールアカウントの外部発信資格を取り消して。
社外とのやり取りはFAXと電話だけにしろとのこと。
Re:個々のリテラシーに頼るのは無理があります。 (スコア:1)
主目的の書類はメール添付ファイルを送っても、関連する機密・機微情報だけは事前に送付を電話で連絡後FAX送信、事後に電話で送信済確認するくらいの職場はあるでしょう(そういうところに7年前居たが今に至るまでルールが変わる理由が見出せない)。
また、会社ではないですが防衛省とかいろいろ厄介な部署であれば外部からFAX送信を考えなしにしてしまうと怒られることがあるとも思うのです。緊急連絡がとれなくなって作戦行動ができないとかいろいろ理由があるでしょうが。こっちもルールが変わったということもなさそう。
営業部で依頼された見積書送ったらすぐ後で防衛庁のどこぞの部署に怒られたというのを間近で見たことがある。
Re: (スコア:0)
SMTP廃止の実現性は兎も角、一理ある意見だと思います。
今回は約1割が「感染」したとのことですが、
ではこれが1%だったら問題ないでしょうか?
0.1%だったら、いや、1人だったら問題ない?
もし1人でも感染者がいたら、そこから社内情報は漏れるでしょう。
1割の場合と比べ被害は少ないはずですが、なくなりません。
ITリテラシの啓蒙は必要でしょうが、そもそも「SPAM・ウィルスメールが届かない」
「感染PCが社外に情報を送信できない」という状況を作らなければ、
被害をなくすことはできません。
もちろんゲートウェイでの対策も行っている上でのこの訓練なのでしょうが、
「ITリテラシの低さだけが問題」というミスリードになっている気がします。
# 正直ユーザレベルでのセキュリティ対策は、もう時代遅れだと思う……。
Re: (スコア:0)
これが無理。
今日は成立していても、明日は崩れてるかもしれない。
セキュリティの強度は最も脆弱な鎖の輪の強度と同じ。
つまり人間を強化しないとセキュリティ強度は上がらない。