nemui4の日記: セキュリティ事故 12
日記 by
nemui4
最近仕事しているオフィスでセキュリティ事故発生。
製造情報ネタ含んだメールを社内MLに流したつもりが、宛先に社外の人のメールアドレスが含まれていたらしい。
その対策は「セキュリティ事故について関係者内で話し合いをして防止に務めること」
実際に情報漏洩事故を起こしているのに、具体的な対応策を何もしない事自体がセキュリティ事故に見えてしまう。
事故発覚したのが先週頭らしいけど、その後目立つような形では「話し合い」が持たれた様子はないし、議事録も出回っていないし、立ち話以上のことはされてなさげ。
そこのオフィスで仕事する時はメール送信時に「社外のメールアドレス」が宛先に含まれていたらアラームがポップアップするプラグインを入れさせられているんだけど、慣れてしまっていて盲目的にチェックボックスをチェックしてしまうのが原因でしょうね。
更にめんどくさいチェックにするか、なんぞ頭ひねって賢いやり方を考えないと「注意喚起」だけだと人を変えて何度も繰り返しそう。
#ひねる頭がないな>じぶん
そういえば (スコア:2)
先日同姓同名の先生宛てのメールが来てましたな 生徒の素行表(?)の入ったやつ
以前にも似たようなメールを受け取ったことがあります
FAXもあるなそういえば
学校ってセンシティブなネタ扱ってるわりに雑よねぇ
Re:そういえば (スコア:1)
学校だと、適当な先生にIT(PC?)担当を押し付けてそうな予感。
そこにIT化とかセキュリティに予算を割り当てているようでもなさそうで、自前でやりくりしてたら大変だろうな、と勝手に妄想。
Re:そういえば (スコア:2)
確かにボランティアベースで綱渡りっポイですよね…
私も先生の負荷を増やそうとしてるわけではないんですがね
見知らぬおっさんに素行欄読まれた学生かわいそうだなと
私に悪意があれば利用できたかもしれませんしねぇ
簡単なパスワードでもついていれば…
# GmailがExcel展開して見せてくれるので見る気はなかったですがちら見してしまった
ファイルが漏えいしてもドングルが刺さって無きゃ開けないとか出来そうなもんです
ドングル代ぐらいのコストは出してもいいんじゃないですかねぇ…
セルフチェックの強化 (スコア:2)
Confirm-Address [mozilla.org]のご利用をおすすめします
メール送信を実行するとダイアログを出し
メールアドレスをチェックしてから送信するようになるので
一応注意喚起にはなると思います
# 最新のThunderbirdでは上記のサイトからダウンロードしたConfirm-Addressは動作しないので
# 開発者のGitHub [github.com]からダウンロードすること
まあ、どうしようもないならGUARDIANWALL [canon-its.co.jp]とか入れるしかないですかねえ
外部とのやり取りが多い部署だとチェックする立場の人は嫌がると思いますが
Re:セルフチェックの強化 (スコア:1)
Outlookで似たようなプラグインを入れて、送信時に出て来るポップアップからイチイチメールアドレスのチェックボックスをチェックしてから送信するようにはなっているのですが。
その動作が習慣的というか無意識にポンポンやっちゃうようになってた結果の「事故」になってたようです。
事故が起きて「注意喚起」だけでは防げないのがわかっているんだけど、対策は「注意喚起」しかできないジレンマ。
完全に防止しようとしたら外部委託とかになっちゃうんでしょうね。
#そのうちAIがなんとかしてくれるのか
Re:セルフチェックの強化 (スコア:2)
ドメイン別で色分け
-> 色が混じってるとぱっと見目立つ
音声読み上げの組み合わせ
-> 視覚以外の活用
とかどうでしょうか
前者は以前作りましたがあまり周りでは受けなかったのが残念
Re:セルフチェックの強化 (スコア:2)
事故発覚したのが先週頭らしいけど、その後目立つような形では「話し合い」が持たれた様子はないし、議事録も出回っていないし、立ち話以上のことはされてなさげ。
Outlookで似たようなプラグインを入れて、送信時に出て来るポップアップからイチイチメールアドレスのチェックボックスをチェックしてから送信するようにはなっているのですが。
うーんとなってしまいますね
いっそこの事、メールに添付ファイルつけるの禁止して
内部はファイルサーバのアドレス等、外部はbox [box-ctc.com]などの法人向けクラウドストレージを利用するなどしたほうが良いかもしれませんね
物理的にSaMMA [designet.co.jp]などを使って添付ファイル根こそぎ削除するとかして
# うちのお客様もメール添付やめましょうとなって
# 共有CMSのファイルサーバ機能つかいましょうってなったけど
# 守らない人がいますので難しいですかね・・・
10月にGUARDIANWALLの営業の方と雑談しましたが
相手が企業の方だと電子メールはやめられませんですしねえ
B2Cの場合はメールやめてLINEとかで十分かもともお話しましたが
Security NEXT [security-next.com]とかにお勤め先が載らないことをお祈りします
Re:セルフチェックの強化 (スコア:1)
人事総務系や一部幹部社員から出るメールは何故か本文が必ずExcelの添付ファイルになってます。
たまに、Excelファイルを開けるとさらにURLが書かれているだけで、そのリンク先からさらにExcelかPowerPointファイルをDLしてそこに本文がある場合もあってなんだか不思議時空っぽい。
#色んな人が居て面白い
Re:セルフチェックの強化 (スコア:2)
ちょっとイジワルなのだと、確認ダイアログに必ず1つ以上、「送信前のメールにはない宛先」をいれるプラグイン、を作ったことがあって、ミス防止には結構効いてた(ダミーの宛先は過去の送信履歴から持ってくる。間違ってダミーにチェックいれると送信されずに上司に通報メール)
その後、対外的なメールは上司の承認の後に送信されるシステムに変わったから使われなくなったけどー。
Re:セルフチェックの強化 (スコア:1)
それいいね、しかも毎回じゃなくてランダムにして数も1件だけじゃなくしたら
急いでるときとかめっちゃイラっとしそう。
>その後、対外的なメールは上司の承認の後に送信されるシステムに変わったから使われなくなったけどー。
人力ダブルチェックやクロスチェックは現実的ですね。
#上司に押し付けるのはしんどそうだけど。
送信取り消し (スコア:2)
メールサービスのいくつかで導入されているんですが
かなりの送信ミスは直後に気が付いているということから
(Microsotの、送信取り消し機能についての説明のところに書いてあったような)
送った後のちょっとの間は取り消しが可能な機能を入れるというのはありかなと
gmailやoffice365では使えるはず…
Re:送信取り消し (スコア:1)
送信後の削除は多少の救いにはなりますね。
Lineも送信後に取り消せるようになったんでしたっけ。
相手に届いてしまって見られてたら、削除してもだめなんだろうけど。
そういや昔のパソコン通信時代のメールボックスも、相手が開いて無ければ削除できてた気がする。
あの頃はメール送信とは言ってもサーバー間ではなくて、ユーザ間でのメッセージ交換だったっけ。