アカウント名:
パスワード:
秘密のレベルによるでしょうけど、社外秘資料をメールに添付するのは問題ないんですか?
危険ですよね。>メールに添付パスワードを別のメールで送るっていう謎の習慣も、おまじない程度の安全性向上効果しかないと思うし。(パスワードをオフラインでやりとりするなら、だいぶマシになるけど)
うちは顧客とのやりとり用にTracやRedmineを用意して、チケットに添付したファイルのURLとか、共有リポジトリへのコミットといった方法でファイルのやりとりしてます。https 経由でのアクセスになるので、まあメールよりは安全かと。
一応こういうのもオンラインストレージという括りに入るんじゃないでしょうか。DropBox使うみたいな危険はないのでお勧めです。
Google Driveなどで適切なパーミッションを設定して公開するのと、独自にサーバ立てて管理するの、どちらが安全なんだろう。みんな、自分を過信してやしないかと。
元記事の「自社管理の・・」は、外部には公開されない社内LAN上のファイルサーバー上で、社内だけでファイル受け渡ししたり共有したりをしているだけと思われます。多少は、有償契約している外部ストレージも含んでいるでしょうが、アンケートに答えた企業の約三割が、自社で管理するサーバー上で外部とファイル共有をしているなんて(ご感想の通り) 今の日本ではとても考えられません。
過信以前に、機密保持的な意味で、Google Drive等は使えないことが多いと思いますよ。自社管理なら、適切な努力を払えば、一定の機密保持が可能ですが、Google Driveにその種の保証はないですよね。
https 経由でのアクセスになるので、まあメールよりは安全かと。
SSL/TLSだけど証明書がちゃんとしていない、っていうのはよくありますよね。いまの職場の環境がまさにそれです。
> SSL/TLSだけど証明書がちゃんとしていない、っていうのはよくありますよね。
え?
> いまの職場の環境がまさにそれです。
社内からしかアクセスできないサーバならいいけど(社員にあらかじめ証明書を配っておけばいいので)、顧客もアクセスするなら証明書買うべきでは?3000円ぐらいでも買えるんだし。(契約関係にあるどうしだったら、EV-SSL使ったりする必要はないわけで)
こっちが顧客です :)で、発注先が立てているのがそうなっているんです。
> こっちが顧客です :)> で、発注先が立てているのがそうなっているんです
^^;えーっと、その発注先は切って、うちに乗り換えた方がいいと思いますよ。(ぉぃ
むろん、ここに書くくらいなんで、私はそうしたいです。でもね。上司にはいくら説明しても理解が得られなくてねぇ....。
まず、SSL/TLSを理解してもらうところから始めないと納得得られなさそうです。
で。これも理解してもらえれば苦労はないわけで....。
はぁ..........。
そういえば国のサービス関係の証明書も「ちゃんとした」証明書じゃない場合が多いような気がする証明書が不正って表示されても承認してねって手順に書いてあって何これ?と思ったことが何回か
政府は認証局を運営してなかったかな?
これかな?https://www.gpki.go.jp/ [gpki.go.jp]
うちの会社のISMS規定では、お客様との合意がとれたケース以外では社用でwebメールやオンラインストレージの使用は禁止されているので、ASCIIが変なルールを提唱したところでどーにもこーにも。
>お客様との合意がとれたケース以外では社用でwebメールやオンラインストレージの使用は禁止されている
メールはOKなんだとすると、不思議な規定ですよね。
仕事で使うなら、そもそもファイルを暗号化もせずプレビューできるような状態で送ること自体が稀でしょう。
10年ぐらい前の話だけど、勝手にメイルサーバーで削除してくれてるので、ZIP添付なんて発想自体がない。
滅入るサーバーですね
#言ってみたかっただけ
そもそも、のぞき見とか紛失の恐れがあるスマートフォンで、社外秘のファイルを見るのはセキュリティリスクが高いのでは無いだろうか...
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
企業ではどうするべき? (スコア:2)
会社で用意されているストレージを使ったり、取引先と相互に合意しているのであれば構わないですが、外部のオンラインストレージを優先するのは無理があると思います。
#情報漏洩とかやらかされるとたまらん
そもそもスマートフォン前提なら、自分の端末ぐらい使いやすいようにカスタマイズしようよ...
Re:企業ではどうするべき? (スコア:1)
秘密のレベルによるでしょうけど、社外秘資料をメールに添付するのは問題ないんですか?
Re: (スコア:0)
危険ですよね。>メールに添付
パスワードを別のメールで送るっていう謎の習慣も、おまじない程度の
安全性向上効果しかないと思うし。
(パスワードをオフラインでやりとりするなら、だいぶマシになるけど)
うちは顧客とのやりとり用にTracやRedmineを用意して、チケットに添付
したファイルのURLとか、共有リポジトリへのコミットといった方法で
ファイルのやりとりしてます。
https 経由でのアクセスになるので、まあメールよりは安全かと。
一応こういうのもオンラインストレージという括りに入るんじゃないでしょうか。
DropBox使うみたいな危険はないのでお勧めです。
Re:企業ではどうするべき? (スコア:2)
Google Driveなどで適切なパーミッションを設定して公開するのと、独自にサーバ立てて管理するの、どちらが安全なんだろう。
みんな、自分を過信してやしないかと。
Re: (スコア:0)
元記事の「自社管理の・・」は、外部には公開されない社内LAN上のファイルサーバー上で、社内だけで
ファイル受け渡ししたり共有したりをしているだけと思われます。
多少は、有償契約している外部ストレージも含んでいるでしょうが、アンケートに答えた企業の約三割が、
自社で管理するサーバー上で外部とファイル共有をしているなんて(ご感想の通り) 今の日本ではとても
考えられません。
Re: (スコア:0)
過信以前に、機密保持的な意味で、Google Drive等は使えないことが多いと思いますよ。
自社管理なら、適切な努力を払えば、一定の機密保持が可能ですが、Google Driveにその種の保証はないですよね。
Re: (スコア:0)
SSL/TLSだけど証明書がちゃんとしていない、っていうのはよくありますよね。
いまの職場の環境がまさにそれです。
Re: (スコア:0)
> SSL/TLSだけど証明書がちゃんとしていない、っていうのはよくありますよね。
え?
> いまの職場の環境がまさにそれです。
社内からしかアクセスできないサーバならいいけど(社員にあらかじめ証明書を配っておけばいいので)、
顧客もアクセスするなら証明書買うべきでは?
3000円ぐらいでも買えるんだし。(契約関係にあるどうしだったら、EV-SSL使ったりする必要はないわけで)
Re: (スコア:0)
こっちが顧客です :)
で、発注先が立てているのがそうなっているんです。
Re: (スコア:0)
> こっちが顧客です :)
> で、発注先が立てているのがそうなっているんです
^^;
えーっと、
その発注先は切って、うちに乗り換えた方がいいと思いますよ。(ぉぃ
Re: (スコア:0)
むろん、ここに書くくらいなんで、私はそうしたいです。
でもね。
上司にはいくら説明しても理解が得られなくてねぇ....。
まず、SSL/TLSを理解してもらうところから始めないと納得得られなさそうです。
で。
これも理解してもらえれば苦労はないわけで....。
はぁ..........。
Re: (スコア:0)
そういえば国のサービス関係の証明書も「ちゃんとした」証明書じゃない場合が多いような気がする
証明書が不正って表示されても承認してねって手順に書いてあって何これ?と思ったことが何回か
Re:企業ではどうするべき? (スコア:1)
政府は認証局を運営してなかったかな?
これかな?
https://www.gpki.go.jp/ [gpki.go.jp]
Re:企業ではどうするべき? (スコア:1)
うちの会社のISMS規定では、お客様との合意がとれたケース以外では社用でwebメールやオンラインストレージの使用は禁止されているので、ASCIIが変なルールを提唱したところでどーにもこーにも。
Re:企業ではどうするべき? (スコア:2)
>お客様との合意がとれたケース以外では社用でwebメールやオンラインストレージの使用は禁止されている
メールはOKなんだとすると、不思議な規定ですよね。
Re: (スコア:0)
メールは記録が残ることになっているのでそれに抑止効果があると信じているのでしょう。
他に抜け道はいろいろあるので、カジュアルな漏洩を防げるだけで大した意味はないと思いますが。
Re: (スコア:0)
仕事で使うなら、そもそもファイルを暗号化もせず
プレビューできるような状態で送ること自体が稀でしょう。
Re:企業ではどうするべき? (スコア:2)
いわゆる、公衆の中で電話で話せる内容位の業務なんでしょうかな。なにやら割とヘビーなやつも平気でやっちゃう人もいる気もしますが
Re: (スコア:0)
10年ぐらい前の話だけど、勝手にメイルサーバーで削除してくれてるので、ZIP添付なんて発想自体がない。
Re:企業ではどうするべき? (スコア:1)
滅入るサーバーですね
#言ってみたかっただけ
Re: (スコア:0)
そもそも、のぞき見とか紛失の恐れがあるスマートフォンで、社外秘のファイルを見るのはセキュリティリスクが高いのでは無いだろうか...