ウィニー対策?防衛省が独自のファイル暗号化ソフト 89
ストーリー by yoosee
二重三重の防衛策で 部門より
二重三重の防衛策で 部門より
hoe 曰く、
公的機関や大企業からのWinnyによる情報流出が相次いでいる訳だが、YOMIURI ONLINE の記事 によれば、防衛省は同省の技術研究本部が独自に開発中のファイル暗号化ソフトを 4月にも導入することなどを柱とした、再発防止の追加対策をまとめたそうだ。
一番重要なのは「Winny(や他の情報流出の危険性があるソフト)を利用させない」と言う根本治療と思う。同ニュースによれば私用パソコンに保存されたデータの自主点検も行うようなので、そちらの対策もしっかりやって欲しい。今回の暗号化についても、パスワード管理や暗号化ソフトの品質管理などを含めてきっちり運用していただきたいところだ。
現場でありえそうな話 (スコア:5, おもしろおかしい)
部下 「緊急事態発生です。」
司令 「よーし 直ちに 暗号ファイルを取り出してその内容に沿って行動開始だ」
部下 「了解。暗号化ソフトを起動します。」
司令 「よーし パスワードは ”&%$#”)(_/,” だ入力しろ」
部下 「了解。入力しました。復号開始します。」
数分後
司令 「どうした。パソコンが故障したのか」
部下 「いえ、作業中ですが、あと数時間かかるようすです」
司令 呆れ顔で
司令 「しょうがねぇなあ、 ホレこのUSBメモリに入ってるから これ使え」
もうシナリオはできている? (スコア:3, すばらしい洞察)
仕方がなくその人の暗号化をはずし
やがてその人から漏洩しそうです。
そして何でこんなソフトを大枚はたいて開発したんだと国民からたたかれるわけです。
もうシナリオはできています。
必要なのは暗号化じゃないセキュリティ教育なんでしょう
#パスワードが引き出しの付箋紙にあるなんて問題外です。
有無自在
Re:もうシナリオはできている? (スコア:0)
外部と情報交換出来ないと言うデメリットはあるが、
Re:もうシナリオはできている? (スコア:1)
あとはwebメールとかファイルアップローダとかをこまめに潰すことで
素人にわかる漏洩経路をできるだけ削減しようという手段だと思います。
(いたちごっこをくぐり抜けて、バレた奴は馘か逮捕)
おんなじこと考えるひとはいるものであるなぁと思いました。
Re:もうシナリオはできている? (スコア:1)
認証されたプログラム以外実行できない、あるいは暗号化されたファイルシステムの読み書きができないようにすれば、
かなりの部分は解決できると思います。
もう数年の辛抱でしょうか。
以下散々繰り返されたループをお楽しみください (スコア:2, おもしろおかしい)
金子は不当逮捕
税金の無駄
そもそも職場の(ry
管理者権限(ry
Windowsなんか使うから(ry
Linux(ry
オープンソース厨は(ry
MSの犬(ry
2chのヲチスレからのコピペ
Re:以下散々繰り返されたループをお楽しみください (スコア:0, 余計なもの)
「ボクちゃん的にこのコメントは要らないと思います」
じゃないと何度言ったら…
せめて「荒らし」か「フレームの元」にしようよ。
ん? (スコア:1)
Re:以下散々繰り返されたループをお楽しみください (スコア:0, 荒らし)
1を聞いて0を知れ!
「冗長」モデレートにすればいいじゃない (スコア:2, すばらしい洞察)
誰もが思うであろう事 (スコア:2, すばらしい洞察)
Re:誰もが思うであろう事 (スコア:2, おもしろおかしい)
我々自衛隊は怪獣の脅威から国土を守るためにあります。
20年前
我々自衛隊は赤の脅威から国土を守るためにあります。
現在
我々自衛隊はウィルスの脅威から国土を守るために‥orz
Re:誰もが思うであろう事 (スコア:2, 興味深い)
んで、(製品を買ったユーザーは復号可能だけど)メールなんかで社外相手にファイルを渡す際には自己展開ファイルにする必要があり、そのため『メールでその暗号化ソフトのアイコンが付いたexeファイルを無条件に信頼して実行させる』という危険と隣り合わせの運用を平気で行っている。
実行ファイルのアイコンなんて簡単に偽装できるのでハッシュで同一チェックぐらい確立させるか、展開専用のフリー版を用意しろと言ったのだけど、運用部門から無視された……。
どうやら会社的には対外的に『対策している』と見せる事だけが重要であり、実際にそれが正しい運用かどうかは気にしていないみたい。
ちなみに一般企業ではなく、システム開発・運用系の専門会社なのに、なんでこんなに迂闊なんだよ……。
# ×:復号化 → ○:復号 間違えたら死刑
exeファイル実行での復号は危険 (スコア:2)
理由はexeファイルを見ただけではそれがどういうプログラムかというのは全くわからないからいくらでもウィルスを混入可能だからなのだけれど。例えば、もし送られて来たファイルがウィルスだったとしても親記事のような運用だと無条件に添付されたファイルを実行する必要があり、実行してしまったときは既に手遅れなのですね。また、送信元がウィルスに汚染されていて、復号ソフトつき暗号文にウィルスが感染してしまった場合には、受信者はウィルスに感染するもののウィルスが入っていたということにすら気づけないでしょう。
こうしてみると、頭隠して尻隠さずな情報漏洩対策ですね。
Re:exeファイル実行での復号は危険 (スコア:1)
Re:誰もが思うであろう事 (スコア:1, すばらしい洞察)
・解除用パスワードも流出
Re:誰もが思うであろう事 (スコア:1, すばらしい洞察)
Re:誰もが思うであろう事 (スコア:0)
Re:誰もが思うであろう事 (スコア:0)
記録した解除用パスワードと暗号化済データをまとめて流出とか
Re:誰もが思うであろう事 (スコア:1)
#よく見たら本物そっくりなおもちゃを生やしてるorz
本物っぽい偽物と本当の本物を並べておいてカモフラージュするっていう
手法とかもあったような・・・
#セキュリティの話なんだかエロの話なんだかわからなくなってきたgesaku
既出じゃないの? (スコア:2, 参考になる)
Re:既出じゃないの? (スコア:0)
もうね (スコア:2, すばらしい洞察)
ここですでに何回も何回も何回も何回も何回も何回も何回も
出ているように、プライベートのパソコンに会社or組織の極秘データが入ってる段階で
すでに流出してんだと何度も何度も何度も何度も何度も何度も
指摘されているのに(以下略
--------------------
/* SHADOWFIRE */
更に開発を進めて (スコア:1, おもしろおかしい)
開発中のファイル暗号化ソフトにP2Pファイル交換機能持たせて、無修正モノやワレ物を自分とこで流せばいいんだよ。
その分、ネタを上層部も流してやる必要性があるけどね。
/* Kachou Utumi
I'm Not Rich... */
そんなことよりもさあ~ (スコア:1, 興味深い)
さっさとシンクライアント化しろよ。
イージス以外の艦要らないから…
Re:そんなことよりもさあ~ (スコア:3, 参考になる)
# 実際にコード書いたのは、派遣会社を経由してNやMあたりの工場に
# 偽装請負で行ってるプログラマの人達でしょうけど(^^;
・これ [jda-trdi.go.jp]とかこれ [jda-trdi.go.jp]なんかは(両方の文書共にPDFです)短納期での発注だし、特に前の方入札の「OAシステムの仕様変更」って何よ?と考えると
…一気にシンクライアントにするのは無理でも(構築の仕方によってはとんでもない負荷がサーバに架かりますからリスキーでもあるし)、業務用のPC上で動くOSから何から最終的には入れ換えて中央で管理できるようにしていく感じがするんですけど。
>イージス以外の艦要らないから…
まぁ、考え様によっては、自衛隊の護衛艦隊の中で、イージス護衛艦が一番のセキュリテイホールではあるのですけどね。
今は知らないけど、五年くらいかそれよりちょっと前…確か、米艦隊のイージス巡洋艦がWindows NTのバグでシステムダウンしたときの話だったか、北海道にあったNSA?のERINT目的の詰所から人がいなくなった話だったか…の文献に、自衛隊の既存のイージス艦には、アメリカから来た諜報関係の人間しか入れないセクションがあるという記述があった位で、情報を共有するといえば聞こえはいいですけど、生き馬の目を抜くと言うか、昨日まで友好関係だったあいてが掌返して裏切るのが当り前な情報戦の世界で、何を悠長な事を…とおもいますけどね。
彼らがERINTだけでなくHUMINTを含んだ諜報網を、中国・ロシア・南北朝鮮の軍民のみならず、自衛隊相手にも張っているのは、件のイージス艦の話から見ても確実な訳で…本当に怖いのは、一般が知らない間に、外国などに重要な情報が漏れて独り歩きする事なんですけどね。
自衛隊関連でWinnyやShare経由でばれたと報道される情報は、逆にいえば、広報目的で積極的に情報公開してもいいんじゃないの?と言う程度の内容が殆どでしたし。
Re:そんなことよりもさあ~ (スコア:2, 参考になる)
あと重箱の角をつつく様で申しわけないですが、ELINTですよね。確か「ELectronic signals INTelligence」の略だったと覚えてます。
Re:そんなことよりもさあ~ (スコア:1, おもしろおかしい)
もちろん外部端子はVGAと電源のみ、補助記憶回路はオンボードのフラッシュメモリのみ、自爆回路つきで。
NANDフラッシュも安くなってきたし、このくらいは可能かと。
Re:そんなことよりもさあ~ (スコア:1)
意味なくなると思われ
要はPCに対する理解力とモラルの問題かと
シンクライアントでもクライアント側でキャプチャ出来るかもしれず
一番重要なのは (スコア:1, すばらしい洞察)
一番重要なのはスパイ防止法の制定でしょう。
Re:一番重要なのは (スコア:2, 参考になる)
# 敢えてID出して書く、蛮勇…
Re:一番重要なのは (スコア:2, 参考になる)
それに加えて、情報を持ち出された場合に備えて暗号化ってのは対策の方向性としては正しい。
「Winnyを使わせない」なんてのは何の対策にもなりません。Winnyを使わずに情報を漏らす方法などいくらでもあるわけで。Winnyは情報漏洩が発覚するだけまだマシではないかと。
Re:一番重要なのは (スコア:2, おもしろおかしい)
音声ファイルは賃金10%カット
動画ファイルは賃金30%カット
エロ動画像はパイプカット
ということで。新入りの未成年まで倫理を浸透させるのはムリなんでしょうね。
機密漏洩したらとりあえず、首カットです。
# えっと首カットっても物理的に切るんじゃなくてね・・・でも国によっては死刑もあるからねえ
Re:一番重要なのは (スコア:2, おもしろおかしい)
バカにも程がある (スコア:1)
独自開発なぞせず、コレを使えば良いものを。
お役所ですぜ (スコア:1)
Re:お役所ですぜ (スコア:1)
指紋認証USBメモリを使うとか (スコア:1)
「業務ファイルは、指紋認証USBメモリに保存すること、PCのディスクに保存しちゃ駄目」みたいな。
---
TaddyHatty - always @( posedge ↑ or negedge ↓ )
Re:指紋認証USBメモリを使うとか (スコア:1)
まぁ、確かに、いっかい指紋認証をパスすると、あとはOSから普通のUSBメモリのように見えてしまう仕様の製品が殆どだけど...。
I/Oトランザクションの都度、指紋認証センサーICの認証処理を求める仕様にするとか。
で、フラッシュ内は暗号化ファイルシステムにしておく、と。
> Cドライブ以外を流出させるウィルスが居るのかどうかは知らないけど、可能性の問題として。
各人が持ち歩くUSBデバイスのICと回路とファームウェアは、近代OSの上で走るプログラムからはハック出来まへんから。
---
TaddyHatty - always @( posedge ↑ or negedge ↓ )
ギャハハハハハ (スコア:0)
そのとおりだなぁ
Re:ギャハハハハハ (スコア:1)
危険なソフトウェアを使わなければ安心とは言い切れないかと。
人間というセキュリティホールを完全に塞ぐことは不可能と前提した上で
対策を採らないと次から次へとやってくる新たな脅威に対処できない。
#If there is any way to do it wrong, he will.
Re:ギャハハハハハ (スコア:3, おもしろおかしい)
しばらく前だと、
・不用意にメールできたものをクリックしてしまう
→ウイルス対策ソフトが普及した。
・職場でもあんなものやこんなものを見たいという欲望に駆られる
→(例外はあるだろうが)公私混同というしかないですが、
これも大きな組織ではインストールされているソフトウェアを監視
したり、Winnyなどではパケットを遮断したりしているかな?
と、この辺までは、ユーザーのモラルや教育の問題が大きかったと思います。
ちょっと前だと、
・私物のPCを職場に持ち込まないと必要な業務を効率よくこなせない
→さすがにこれは大きな組織では最近減ったかな?
とか、業務に必要な環境を雇用側が整備していない(セキュリティとはあ
まり関係ないですが、不正コピーの問題もそうですよね)という原因に
変わってきて、最近だと、
・そもそも業務量が多すぎて仕事を持ち帰らないと終わらない。
だからファイルを持ち帰ってしまう。
というように変わってきているように思えます。
その対策としての持ち出し防止策なのですが、根本的な「仕事を持ち帰らな
いと終わらない」というところに対策がされてないのがなんとも。
持ち帰らせずに仕事をさせると、残業手当てが大爆発しそう・・
・・・・そうか、だからホワイトカラー・エグゼンプションなのか・・・。
Re:ギャハハハハハ (スコア:0)
それはソフトウェアによる流出への対処療法でしかないじゃん。
「対処療法」(オフトピ) (スコア:1)
「療法」なんだから当然に「対処」だろう、と心のなかでつっこんでしまい、
ものすごく気になります。
「対症療法」はよくわかるんですが。
Re:ギャハハハハハ (スコア:0)
Re:これは既出かもね (スコア:0)
# 同タイムだけど同着にはならない
Re:暗号化ソフト作るより (スコア:1)
で、防衛省(庁)の情報流出事案は職場でインターネットに繋がっているパソコンから
ではなくて、家にデータ又はパソコンごと持ち帰った事に起因するものです。
よって、「早くねー」です。
Re:切断 (スコア:1)
職員を監禁するのは不味いんじゃないでしょうか?
李 露星
Re:おいおい、今頃、暗号化かよ (スコア:1)
それこそそこそこの企業だったら、PCのHDD、Officeファイル、USBメモリの暗号化ソフトくらいすでに導入されてるだろうに。
それがどれくらい遵守されてるかは別問題として、その仕組みすら今まで無かったのかね?
しかも独自開発って…。
日本の大手ソフト会社だったらどこでも取りそろえてあるのをあえて独自ねぇ。
暗号ソフトの独自開発のリスクを考えてないよね。
どの会社のソフトでもいいから、まがりなりにも実績あるの選べばいいのに。
# てかこのレベルならOffice標準の暗号化だけで十分
Re:根本治療ですか? (スコア:1)
盗難の危険性は別に家庭と企業で変わるものでもありません。
なので、職場でも PC の使用及び(略)