パスワードを忘れた? アカウント作成
13465119 journal
日記

nemui4の日記: セキュリティ事故 12

日記 by nemui4

最近仕事しているオフィスでセキュリティ事故発生。
製造情報ネタ含んだメールを社内MLに流したつもりが、宛先に社外の人のメールアドレスが含まれていたらしい。
その対策は「セキュリティ事故について関係者内で話し合いをして防止に務めること」
実際に情報漏洩事故を起こしているのに、具体的な対応策を何もしない事自体がセキュリティ事故に見えてしまう。
事故発覚したのが先週頭らしいけど、その後目立つような形では「話し合い」が持たれた様子はないし、議事録も出回っていないし、立ち話以上のことはされてなさげ。

そこのオフィスで仕事する時はメール送信時に「社外のメールアドレス」が宛先に含まれていたらアラームがポップアップするプラグインを入れさせられているんだけど、慣れてしまっていて盲目的にチェックボックスをチェックしてしまうのが原因でしょうね。

更にめんどくさいチェックにするか、なんぞ頭ひねって賢いやり方を考えないと「注意喚起」だけだと人を変えて何度も繰り返しそう。
#ひねる頭がないな>じぶん

この議論は、nemui4 (20313)によって ログインユーザだけとして作成されたが、今となっては 新たにコメントを付けることはできません。
  • by nnnhhh (47970) on 2017年11月27日 10時32分 (#3318962) 日記

    先日同姓同名の先生宛てのメールが来てましたな 生徒の素行表(?)の入ったやつ
    以前にも似たようなメールを受け取ったことがあります
    FAXもあるなそういえば

    学校ってセンシティブなネタ扱ってるわりに雑よねぇ

    • by nemui4 (20313) on 2017年11月27日 10時50分 (#3318965) 日記

      学校だと、適当な先生にIT(PC?)担当を押し付けてそうな予感。
      そこにIT化とかセキュリティに予算を割り当てているようでもなさそうで、自前でやりくりしてたら大変だろうな、と勝手に妄想。

      親コメント
      • by nnnhhh (47970) on 2017年11月27日 11時49分 (#3318999) 日記

        確かにボランティアベースで綱渡りっポイですよね…

        私も先生の負荷を増やそうとしてるわけではないんですがね
        見知らぬおっさんに素行欄読まれた学生かわいそうだなと
        私に悪意があれば利用できたかもしれませんしねぇ
        簡単なパスワードでもついていれば…

        # GmailがExcel展開して見せてくれるので見る気はなかったですがちら見してしまった

        ファイルが漏えいしてもドングルが刺さって無きゃ開けないとか出来そうなもんです
        ドングル代ぐらいのコストは出してもいいんじゃないですかねぇ…

        親コメント
  • もしメーラとしてThunderbird [mozilla.org]を利用しているなら
    Confirm-Address [mozilla.org]のご利用をおすすめします

    メール送信を実行するとダイアログを出し
    メールアドレスをチェックしてから送信するようになるので
    一応注意喚起にはなると思います

    # 最新のThunderbirdでは上記のサイトからダウンロードしたConfirm-Addressは動作しないので
    # 開発者のGitHub [github.com]からダウンロードすること

    まあ、どうしようもないならGUARDIANWALL [canon-its.co.jp]とか入れるしかないですかねえ
    外部とのやり取りが多い部署だとチェックする立場の人は嫌がると思いますが
    • Outlookで似たようなプラグインを入れて、送信時に出て来るポップアップからイチイチメールアドレスのチェックボックスをチェックしてから送信するようにはなっているのですが。
      その動作が習慣的というか無意識にポンポンやっちゃうようになってた結果の「事故」になってたようです。

      事故が起きて「注意喚起」だけでは防げないのがわかっているんだけど、対策は「注意喚起」しかできないジレンマ。
      完全に防止しようとしたら外部委託とかになっちゃうんでしょうね。
      #そのうちAIがなんとかしてくれるのか

      親コメント
      • ドメイン別で色分け
          -> 色が混じってるとぱっと見目立つ
        音声読み上げの組み合わせ
          -> 視覚以外の活用
        とかどうでしょうか
        前者は以前作りましたがあまり周りでは受けなかったのが残念

        親コメント
      • 事故発覚したのが先週頭らしいけど、その後目立つような形では「話し合い」が持たれた様子はないし、議事録も出回っていないし、立ち話以上のことはされてなさげ。

        Outlookで似たようなプラグインを入れて、送信時に出て来るポップアップからイチイチメールアドレスのチェックボックスをチェックしてから送信するようにはなっているのですが。

        うーんとなってしまいますね

        いっそこの事、メールに添付ファイルつけるの禁止して
        内部はファイルサーバのアドレス等、外部はbox [box-ctc.com]などの法人向けクラウドストレージを利用するなどしたほうが良いかもしれませんね
        物理的にSaMMA [designet.co.jp]などを使って添付ファイル根こそぎ削除するとかして

        # うちのお客様もメール添付やめましょうとなって
        # 共有CMSのファイルサーバ機能つかいましょうってなったけど
        # 守らない人がいますので難しいですかね・・・

        10月にGUARDIANWALLの営業の方と雑談しましたが
        相手が企業の方だと電子メールはやめられませんですしねえ

        B2Cの場合はメールやめてLINEとかで十分かもともお話しましたが

        Security NEXT [security-next.com]とかにお勤め先が載らないことをお祈りします

        親コメント
        • 人事総務系や一部幹部社員から出るメールは何故か本文が必ずExcelの添付ファイルになってます。
          たまに、Excelファイルを開けるとさらにURLが書かれているだけで、そのリンク先からさらにExcelかPowerPointファイルをDLしてそこに本文がある場合もあってなんだか不思議時空っぽい。

          #色んな人が居て面白い

          親コメント
      • ちょっとイジワルなのだと、確認ダイアログに必ず1つ以上、「送信前のメールにはない宛先」をいれるプラグイン、を作ったことがあって、ミス防止には結構効いてた(ダミーの宛先は過去の送信履歴から持ってくる。間違ってダミーにチェックいれると送信されずに上司に通報メール)

        その後、対外的なメールは上司の承認の後に送信されるシステムに変わったから使われなくなったけどー。

        親コメント
        • それいいね、しかも毎回じゃなくてランダムにして数も1件だけじゃなくしたら

          急いでるときとかめっちゃイラっとしそう。

          >その後、対外的なメールは上司の承認の後に送信されるシステムに変わったから使われなくなったけどー。

          人力ダブルチェックやクロスチェックは現実的ですね。
          #上司に押し付けるのはしんどそうだけど。

          親コメント
  • by ajimot (17850) on 2017年11月27日 12時04分 (#3319003) 日記

    メールサービスのいくつかで導入されているんですが
    かなりの送信ミスは直後に気が付いているということから
    (Microsotの、送信取り消し機能についての説明のところに書いてあったような)
    送った後のちょっとの間は取り消しが可能な機能を入れるというのはありかなと

    gmailやoffice365では使えるはず…

    • by nemui4 (20313) on 2017年11月27日 12時16分 (#3319007) 日記

      送信後の削除は多少の救いにはなりますね。
      Lineも送信後に取り消せるようになったんでしたっけ。
      相手に届いてしまって見られてたら、削除してもだめなんだろうけど。

      そういや昔のパソコン通信時代のメールボックスも、相手が開いて無ければ削除できてた気がする。
      あの頃はメール送信とは言ってもサーバー間ではなくて、ユーザ間でのメッセージ交換だったっけ。

      親コメント
typodupeerror

コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell

読み込み中...