企業ユーザーの6%はメールで機密情報を漏洩 43
ストーリー by yoosee
あなたのメールも転送されていませんか? 部門より
あなたのメールも転送されていませんか? 部門より
Anonymous Coward曰く、"
ITmediaの記事に出ているが、
Mirapoint社の調査によれば、企業の電子メールユーザー363人より回答を得た調査にて、6%のユーザーが「許可されていない相手に対して会社の機密情報を電子メールで送信したことがある」と答えたそうだ。
更に企業のメールボックスに格納されるメールのうち、23%は個人的な用途のものであり、回答者の25%は会社のメールをメール監視の目が届かない個人のメールアカウントに日常的に転送し、62%は業務に関わるメールを個人アカウントに転送しているとのこと。
企業統治強化が叫ばれている昨今だが、機密漏洩を阻止することは難しいことは確かだ。"
転送しないと怒られる (スコア:5, 興味深い)
VPNもSSHも用意されていないので会社のアカウントは社内からしか見れず、携帯や個人のメール(私の場合はYahooのメール)に転送して休みの日でも対応できるようにしておかないと「なんですぐに返信しないんだ」と怒られます。
セキュリティを厳しくすると結果的にセキュリティ上のリスクが発生する例です。パスワードをこまめに変えるように強制するとパスワードを書いた付箋がディスプレイの周りにたくさん貼り付けられるようになるというのとにています。
屍体メモ [windy.cx]
セキュリティホールです (スコア:5, おもしろおかしい)
#いい加減休みを取らせてください!とかいうの見ちゃった((((;゚Д゚)))ガクガクブルブル
Re:セキュリティホールです (スコア:3, おもしろおかしい)
で、女の子同士のメールで痛烈な上司批判だったり。
一切無かった事にしてましたけどね。
#過去の話なのでID
凛々しく、あほらしく。
マシンだけを見守るのが仕事ではないのだ (スコア:2, おもしろおかしい)
数年間,2人の結婚式当日まで心にしまっておきました.
ユーザの幸せを見守るのも,システム管理者の仕事なのだなあ.
from もなか
Re:マシンだけを見守るのが仕事ではないのだ (スコア:1)
結婚式というタイミングを狙って、事実を告げたわけですね。
この手の問題は (スコア:3, 興味深い)
超一部のガチガチ(にできるコストを掛けられる重要な部署)を除けば、出そうと試みればナンボでも出せるんですよね…。
# まあ規制してる連中も所詮ポーズなんでしょうけど。
Re:この手の問題は (スコア:5, 興味深い)
ああ、そうだよ。
セキュリティ対策なんてどんなにやったって「完璧」はないんでね。
何らかの穴はあるもんだ。
でも、だからと言って何もしないと「安全管理措置を怠った」
ということで各方面からお叱りを受けるんでね。
コストと時間の許す範囲で、まずまずの効果があって、
現場が実施可能で、なおかつ上司なりお上なりが満足しそうな
「できること」をする。
それが俺たち「規制してる連中」の鬱陶しい仕事さ。
モラル? そりゃ俺たちだって性善説に立てるならそれに越したことはないぜ。
でもな、「規制の穴を突くこと」ばかり考えている坊やたちが
「規則に書いてないからいいだろ」とかいって問題を起こすたびに
決めなくてもいい規則を作って縛らなくちゃいけなくなるんだよ。
常識もモラルもあったもんじゃねぇよ。
教育? もちろんやってるよ。
本当に受けてほしい連中は寝てるがな。
Re:この手の問題は (スコア:1)
> 本当に受けてほしい連中は寝てるがな。
それだとやっている内に入らないのでは?
内部セキュリティに関しては、技術的な対策は補助として利用されるべきものであり、きちんとしたポリシーとその運用、そして教育が根本的な対策です。
「SoftEther禁止」だと「http tunnel はいいのか」という話になります。こういうのはあくまで「例示」であって、本当は「社内ネットワークを、許可された、安全な利用法以外でインターネットと接続することで機密情報等の漏出の危険性を高める行為」が禁止なのです。
で、何がそのような行為に当たるのかは、各自が判断出来なくてはなりませんし、それを出来るようにするのが教育です。
Re:この手の問題は (スコア:0)
お説ごもっとも。そうあってしかるべきです。
しかし、すべてのネットワークユーザーにそれを教えるのは、膨大な人的リソースの無駄遣いでしょう。教える側も教わる側も。
この手の教育を担当すればすぐにわかることです。だからみんな苦労しているわけで....
#担当なのでAC
Re:この手の問題は (スコア:2, すばらしい洞察)
「この通りにしていれば、道を外れることはありません」というやつです。細かなルール作りに汲々とするのもリソースの無駄ですから、詳しい人はきっちり躾けて身内にすると。
自動車も、詳しい人は自分で改造するし、詳しくないひとは日常の整備も人任せじゃないですか。しかし、安全性にかかわるルールは明確でなくてはならないと。
Re:この手の問題は (スコア:0)
> しかし、安全性にかかわるルールは明確でなくてはならない
では上記を踏まえて、「きちんとしたポリシー」とはどういうものか、「明確」に定義していただけますか?
揚げ足を取る形になって申し訳ないですが、
業界的にもココが最大の「触れちゃいけないところ」になっていてスルーされている気がします。
私自身、『経営も含めた総合的な判断が必要』のような説明で逃げることが多いですが、
ポリシーを決める側にとって、「きちんとした」なんて曖昧な表現では何の手助けにもならないことは事実。
Re:この手の問題は (スコア:1)
ポリシーは抽象的だけども単純で、一例をあげると「顧客企業の機密情報、個人情報保護法における個人情報、自社の機密情報を漏出せしめてはならない」ということですよね。
私もセキュリティコンサルタントの端くれですが、巷間には「セキュリティポリシー」を、「オフィスのドアには生体認証装置をつける」とか具体的な技術論に落とし込んでしまう議論が多すぎると思います。
ポリシーはポリシーですから、従業員をどのくらい信じるのか(金融機関は従業員といえど殆ど信用出来ないでしょうし、普通の事業会社では一定の教育を施す前提である程度信用するしかないとでしょう)、誰が責任者になるのか(最終責任者は経営でいいのですが、現場で誰が判断するのか)、機密情報にはどんな種類が(顧客の機密情報、経営情報、個人情報)あって、それぞれ誰がアクセスしてよくて、誰が管理責任者なのかなどを決めれば十分だと思います。
それが決まれば個々の対策や行動はそれに照らして判断すればいいですし、それが決まらないまま下位の規定(SoftEther禁止とか)を決めても無意味でしょう。
Re:この手の問題は (スコア:0)
道を外れても命にもかかわらないし、ケーサツにもつかまらないことを守らせることのほうが大変かもしれません。モデルから外れる人は必ずいるし、そういう人が問題を起こすんですから。
雇用契約?就業規則?説明してますよ、当然。トレースバックできることだって説明しますよ。それでも....頭痛いです。
#やっぱりAC
暗号化ってどう? (スコア:3, 興味深い)
あて先を2回指定・確認(指差し確認)することになり誤り率が下がる。
間違ったあて先に送信したり途中で釣りとかしている受信者は内容を見ることができない。
PC落としたり(きんた●ウィルスに感染しても)しても暗号化された
状態で保持していれば、一応安心(暗号化して故意に流出させる人は別)。
とおもうのですが、利用率ってどうなんでしょうか?
#東京地検の人が来たら、パスフレーズおしえなきゃいけないんでしょうけど。。
Re:暗号化ってどう? (スコア:1)
あるかは状況しだいとしか言いようがないのでは。
一般に、トロイの木馬が暗号化データを復号できる環境で動いている場合、暗号化の意味は
ないような気がするのですが。
Re:暗号化ってどう? (スコア:0)
Re:暗号化ってどう? (スコア:0)
Re:暗号化ってどう? (スコア:0)
363人 (スコア:3, すばらしい洞察)
Re:363人 (スコア:2, 興味深い)
363人から回答を得るために何人にアンケートを依頼したかも気になります。
公開することも重要でしょう (スコア:2, 興味深い)
幸いにも、外向けのwebメールが公開されてる会社にいるので、漏れの場合は転送とかする必要がないですが。
この方法は、アドレス帳を会社アカウントに封じる意味でも結構有効な手段と思います。
もっとも、ASPサービスでも使わない限り導入に関する敷居が結構高いですが。
---- 何ぃ!ザシャー
Re:公開することも重要でしょう (スコア:2, すばらしい洞察)
外から読めるというこの段階ですでに,今回の調査で問題とされている
「メール監視の目が届かない個人のメールアカウントに日常的に転送し」
と同じなのでは・・・
Re:公開することも重要でしょう (スコア:1)
会社のメールサーバに蓄えられているメールを外から読むことができる訳ですから、メール監視の目が届いているサーバから直接読んでいるだけだと思いますが。
IMAP 的な運用をしている会社のパターンとかをご存知ありませんか。
日常的に転送しているような人の、会社のメールを個人アドレスへ転送→アドレスを打ち間違っていて……といった誤射漏洩を減らす効果はあるでしょうね。
Re:公開することも重要でしょう (スコア:1)
ああ,そういう意味だったんですか.
てっきり「業務上のデータ等は決して外部へ持ち出さない」(無論外での
仕事に必要な分は除きますが)という制限もありえるので,そういうのに
違反することを問題視しているのかと.
#ということは自動的に自分の他のアドレスに転送するようなのはOK
#ということ?
Re:公開することも重要でしょう (スコア:1)
いずれにせよ、機密情報をなんらかの形で外に持ち出せれば後はなんでもやりたい放題ですよね。ファイルであろうが、文字であろうが。
めいるでの漏洩 (スコア:1, 興味深い)
個人的に 中堅社員に重要メイルを送ろうとして
ドメインのスペルミスをして送信
で
そのスペルミスをしたドメインが運用されており
まったく関係の無い起業に転送されてしまった・。・・・
けいけんがありんす
Re:めいるでの漏洩 (スコア:2, 興味深い)
時々届きます。
中には、社内連絡っぽいメールもあったりしてちょっと生々しい…
ま、そーいうのはメールに限らないというか、
・市外局番が違うが同じ市内番号宛の間違いFAX
(当方大阪ですが、大阪→東京で、市外局番入れずに送信したらしい)
送信元が一ヶ所だけじゃなかったので、送信先の企業の方が、市外局番無しで電話番号を伝えて回ってるっぽい。
というのもありした。
音声通話なら口頭で間違いだと伝えられるのですが、
メールやFAXだとどうしようもないんですよね。
最初のうちは、律儀に再送信したげてたのですが
あまりに多いというか、いつまで経っても無くならない
(とは言っても月1ぐらいかな)ので、
間違いFAXはなにもせずに廃棄することに…
Re:めいるでの漏洩 (スコア:0)
Re:めいるでの漏洩 (スコア:1, 興味深い)
どうにかしてほしいです。
大学とかって、ウイルス来たからなんとかしろ、といっても調査します、だけで結果がこないんだよな・・・。
Re:めいるでの漏洩 (スコア:0)
# 開発系っぽくないが
Re:めいるでの漏洩 (スコア:3, おもしろおかしい)
経営者自身が犯罪者であれば (スコア:1, おもしろおかしい)
# なんちゃって。
タイミングよくあの発言があったじゃないですか (スコア:1, 興味深い)
といって逮捕されちゃった人。
6%ぐらいまぁそんなもんかなって気分
うーん (スコア:1, 興味深い)
MTAがご機嫌ななめで (スコア:1, 興味深い)
取引先から電話来て送った本人が一番驚いてたw
夜間の移行作業中かなんかで過負荷が掛かってた時で影響はほとんどないと思われから特にその後も特別な対策はしてない。
パスワード管理とか社内だけの経路の暗号化とか神経使った所で
所詮は生のファイルバケツリレーしてるだけなわけだから
根本的にはメールの中身を気をつけてもらわないとダメよね。
Re:MTAがご機嫌ななめで (スコア:1)
そんな事象が発生するなんて、そのMTAは使いたくないーー。
題名を見て (スコア:1)
らじゃったのだ
Re:題名を見て (スコア:3, おもしろおかしい)
> ドキッとした人はどのくらいいるのだろう?
6%くらいじゃないですか?(^^;)
Your 金銭的 potential. Our passion - Micro$oft
Tsukitomo(月友)
リークしてくれなきゃ (スコア:0)
# その漏洩した情報のうち一体どれだけが本当に機密にするべき情報なんだい?
これは大変 (スコア:0)
あとはきちんと責任を取るしかないよ。
# え?違う話?
Re:これは大変 (スコア:0)
Re:これは大変 (スコア:1)
「こういうこともあろうかと・・・」
Re:これは大変 (スコア:0)