アカウント名:
パスワード:
GitHubに次いで今度はSalesforceというクラウドサービスでも情報漏洩したらしい。対策としてどちらも会社からのアクセスを禁止しよう。下っ端共が業務に影響があると騒いでいる?知らん知らん情報漏洩対策が何より重要だ。
いっそのこと、イソターネット禁止にしたほうがいいよ全部FAXと電話にすれば流出もない
専務:FAXも禁止な、何度注意喚起しても誤送信事故が耐えない。電話も禁止。セキュリティ対策が全く成されていないものを使うなんて言語道断だ。宅急便も禁止とする。機密漏洩対策として宅急便の中身をチェックする部門が宛先を間違える事故が起きたからな。手紙も同じ理由で駄目だ。今後、社外に貨物や情報を出す場合は、取引先に引き取りに来てもらうことにする。
#などと引き締めすぎると、隠れたやり取りが増えて漏洩しやすくなる罠
専務:コロナ下では感染を避けるため、みんな在宅勤務!
専務!社外の方に貨物や情報があることはどうやってお伝えしましょうか?
第三者から丸見えなのだが。江戸中期から明治期の米相場などの旗振り通信ですら暗号化していたのだがね。
くるっぽーバサバサバサバサ
Password Pigeon And Passage プロトコル?
出入り業者が増えすぎると知らない奴が入ってこれてしまうので逆にこちらから出向くべき。
あさたくセソセイに怒られますよ。isotarnetはそんなメディアじゃないって。
冗談抜きに禁止にするのが順当。公開可能なサービスでも、正しく設定して運用すれば安全だが、絶対に間違えないように運用し続ければ良いなんてのは根性論でしかない。人間はどこかで間違える。個人情報など機密性の高いデータを扱うシステムは、公開設定などない安全性の高い場所に置いておき、公開サービスはそれとは独立して立ち上げるべき。
オンラインバンキングや通販サイト全否定でワラタ
オンラインバンキングがSalesforceで運用されることを考えたらゾッとするな。
公開サイトと、安全に設計されたバックグラウンドのAPIの組み合わせでやれ。
どんな設計しても公開サイト側がタコなら情報は漏れうる。
バックグラウンドのAPIが安全に設計されていることは誰が保証してくれるんです?それが保証できるならSalesforceが正しく設定されていることも保証できるでしょ。
APIくん味占めちゃったねえ
通信するならABIレベルの安全性がほしい…
データベースの設定とかネットワークの設定を間違えてなんてのもあるのでまあダメな時はダメナンジャない?
DMZの設定間違えるかもしれないしインターネットには接続しない方がいいっすよね!
DMZの設定間違えただけで、外部に個人情報が公開されてしまうシステムってかなりヤバくない?そんなの作る奴にシステムの設計を任せてはいけない。
機械的に否定文に書き換えてるだけで具体性がないなぁ具体的にどういうシステムを想定してるの? 想定があるからコメントしてるんだろうし教えて欲しいなぁw
GitHub禁止は「正気か?」と思うが、Salesforce禁止は特になんとも思わんな。今回の件といい普通にダメなんじゃないの?
これ系の「○○が起きたから禁止」に上がるものは、現時点から製品開発や商品の拡販を一切行わず既存製品の在庫払底をもって会社を清算して廃業する前提なら一切不要な類のサービスだと思ってる
つまり禁止を叫ぶ人の本音は「これ以上のバカな操業を止め速やかにこの会社を俺用の年金運用組織に切り替えて欲しい」だと思う
単なる商売敵の嫌がらせじゃないのかな。
Salesforceって会社が契約して導入する有償CRMだから、Salesforceを既に使ってる場合は、他の代替CRMを選定してからじゃないと、簡単に”んじゃ止めます”というのは無理じゃね?
ゲストユーザアクセスをデフォルト許可で機能追加するようなSalesforceは使っちゃダメだなデフォルト無効で追加すべき機能だった
MicrosoftのTeamsもそうなので気を付けましょう。
Salesforceはそろそろ消えてくれると色々と面白くなるなとは思う
おいおい、リンク先を読み給え
これは、Salesforce プラットフォーム固有の脆弱性に起因するものではなく、お客様のアクセス制御の権限設定が適切に行われていない場合に発生する可能性があります。
サービスの問題ではなく、利用者の問題だぞ。「わからないこと」を聞かないで「自分勝手な思い込み」で判断するからこうなるんだぞwww
運用開始後にSalesforceがおもらし状態で機能を追加したんだよ
彼は自己紹介しただけなんだ
そうだぞ、GitHubだってサービスの問題ではなく利用者の問題だぞ。だがあちらのトピックを見るに、それが分からない奴が山のように居るようなんだ。
そりゃ、Salesforceはそう言うだろうさ。自分の不備を認めたら、損害賠償の話になってしまうわけだし。
でも、顧客管理システムにゲストユーザーって必要?仮に必須だったとしても、ゲストユーザーが顧客情報を閲覧可能にしておく必要ある?
SalesforceもGitHubだけでは無いですが一昔前だとオンプレでインフラ含めてゼロからサーバを構築する必要があったため最低限の知識レベル必要でしたが最近のクラウド系のサービスは高性能化した結果なのか「何となく判ってる」レベルでそれなりに動くレベルになってしまうんですよねしかもサービスによっては勝手に新機能などが追加されたりして常に勉強し続けないと追従できないなってことも
自前で開発しない企業は開発ベンダーの知識レベルを見極めるだけでなく、開発後に適切な脆弱性診断が出来る別なベンダーを見付ける能力が必要なのでしょうが現実的にはじゃなかろうか・・・
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie
Salesforceを使用禁止にしよう (スコア:1)
GitHubに次いで今度はSalesforceというクラウドサービスでも情報漏洩したらしい。
対策としてどちらも会社からのアクセスを禁止しよう。
下っ端共が業務に影響があると騒いでいる?知らん知らん情報漏洩対策が何より重要だ。
Re:Salesforceを使用禁止にしよう (スコア:1)
いっそのこと、イソターネット禁止にしたほうがいいよ
全部FAXと電話にすれば流出もない
Re:Salesforceを使用禁止にしよう (スコア:1)
専務:
FAXも禁止な、何度注意喚起しても誤送信事故が耐えない。
電話も禁止。セキュリティ対策が全く成されていないものを使うなんて言語道断だ。
宅急便も禁止とする。機密漏洩対策として宅急便の中身をチェックする部門が宛先を間違える事故が起きたからな。
手紙も同じ理由で駄目だ。
今後、社外に貨物や情報を出す場合は、取引先に引き取りに来てもらうことにする。
#などと引き締めすぎると、隠れたやり取りが増えて漏洩しやすくなる罠
Re:Salesforceを使用禁止にしよう (スコア:1)
専務:
コロナ下では感染を避けるため、みんな在宅勤務!
-- う~ん、バッドノウハウ?
Re: (スコア:0)
専務!社外の方に貨物や情報があることはどうやってお伝えしましょうか?
Re: (スコア:0)
旗でも屋上に立てておきなさい。
そう、赤い旗や黄・黒の虎縞旗や・・・
Re: (スコア:0)
第三者から丸見えなのだが。
江戸中期から明治期の米相場などの旗振り通信ですら暗号化していたのだがね。
Re: (スコア:0)
くるっぽー
バサバサバサバサ
Re:Salesforceを使用禁止にしよう (スコア:1)
Re: (スコア:0)
Password Pigeon And Passage プロトコル?
Re: (スコア:0)
出入り業者が増えすぎると知らない奴が入ってこれてしまうので逆にこちらから出向くべき。
Re: (スコア:0)
あさたくセソセイに怒られますよ。
isotarnetはそんなメディアじゃないって。
Re:Salesforceを使用禁止にしよう (スコア:1)
冗談抜きに禁止にするのが順当。
公開可能なサービスでも、正しく設定して運用すれば安全だが、絶対に間違えないように運用し続ければ良いなんてのは根性論でしかない。
人間はどこかで間違える。
個人情報など機密性の高いデータを扱うシステムは、公開設定などない安全性の高い場所に置いておき、公開サービスはそれとは独立して立ち上げるべき。
Re: (スコア:0)
オンラインバンキングや通販サイト全否定でワラタ
Re:Salesforceを使用禁止にしよう (スコア:1)
オンラインバンキングがSalesforceで運用されることを考えたらゾッとするな。
Re: (スコア:0)
公開サイトと、安全に設計されたバックグラウンドのAPIの組み合わせでやれ。
Re: (スコア:0)
公開サイトと、安全に設計されたバックグラウンドのAPIの組み合わせでやれ。
どんな設計しても公開サイト側がタコなら情報は漏れうる。
Re: (スコア:0)
バックグラウンドのAPIが安全に設計されていることは誰が保証してくれるんです?
それが保証できるならSalesforceが正しく設定されていることも保証できるでしょ。
Re: (スコア:0)
APIくん味占めちゃったねえ
Re: (スコア:0)
通信するならABIレベルの安全性がほしい…
Re: (スコア:0)
データベースの設定とかネットワークの設定を間違えてなんてのもあるのでまあダメな時はダメナンジャない?
Re: (スコア:0)
DMZの設定間違えるかもしれないしインターネットには接続しない方がいいっすよね!
Re: (スコア:0)
DMZの設定間違えただけで、外部に個人情報が公開されてしまうシステムってかなりヤバくない?
そんなの作る奴にシステムの設計を任せてはいけない。
Re: (スコア:0)
機械的に否定文に書き換えてるだけで具体性がないなぁ
具体的にどういうシステムを想定してるの? 想定があるからコメントしてるんだろうし教えて欲しいなぁw
Re: (スコア:0)
GitHub禁止は「正気か?」と思うが、Salesforce禁止は特になんとも思わんな。
今回の件といい普通にダメなんじゃないの?
Re: (スコア:0)
これ系の「○○が起きたから禁止」に上がるものは、現時点から製品開発や商品の拡販を一切行わず
既存製品の在庫払底をもって会社を清算して廃業する前提なら一切不要な類のサービスだと思ってる
つまり禁止を叫ぶ人の本音は「これ以上のバカな操業を止め速やかにこの会社を俺用の年金運用組織に切り替えて欲しい」だと思う
Re: (スコア:0)
単なる商売敵の嫌がらせじゃないのかな。
Re: (スコア:0)
Salesforceって会社が契約して導入する有償CRMだから、Salesforceを既に使ってる場合は、
他の代替CRMを選定してからじゃないと、簡単に”んじゃ止めます”というのは無理じゃね?
Re: (スコア:0)
ゲストユーザアクセスをデフォルト許可で機能追加するようなSalesforceは使っちゃダメだな
デフォルト無効で追加すべき機能だった
Re: (スコア:0)
MicrosoftのTeamsもそうなので気を付けましょう。
Re: (スコア:0)
Salesforceはそろそろ消えてくれると色々と面白くなるなとは思う
Re: (スコア:0)
おいおい、リンク先を読み給え
これは、Salesforce プラットフォーム固有の脆弱性に起因するものではなく、お客様のアクセス制御の権限設定が適切に行われていない場合に発生する可能性があります。
サービスの問題ではなく、利用者の問題だぞ。「わからないこと」を聞かないで「自分勝手な思い込み」で判断するからこうなるんだぞwww
Re: (スコア:0)
運用開始後にSalesforceがおもらし状態で機能を追加したんだよ
Re: (スコア:0)
彼は自己紹介しただけなんだ
Re: (スコア:0)
そうだぞ、GitHubだってサービスの問題ではなく利用者の問題だぞ。
だがあちらのトピックを見るに、それが分からない奴が山のように居るようなんだ。
Re: (スコア:0)
そりゃ、Salesforceはそう言うだろうさ。
自分の不備を認めたら、損害賠償の話になってしまうわけだし。
でも、顧客管理システムにゲストユーザーって必要?
仮に必須だったとしても、ゲストユーザーが顧客情報を閲覧可能にしておく必要ある?
Re: (スコア:0)
SalesforceもGitHubだけでは無いですが
一昔前だとオンプレでインフラ含めてゼロからサーバを構築する必要があったため最低限の知識レベル必要でしたが
最近のクラウド系のサービスは高性能化した結果なのか「何となく判ってる」レベルでそれなりに動くレベルになってしまうんですよね
しかもサービスによっては勝手に新機能などが追加されたりして常に勉強し続けないと追従できないなってことも
自前で開発しない企業は開発ベンダーの知識レベルを見極めるだけでなく、開発後に適切な脆弱性診断が出来る別なベンダーを見付ける能力が必要なのでしょうが現実的にはじゃなかろうか・・・