ITベンダーが次々「脱PPAP」、日立に続き富士通やNTTデータも
平井卓也デジタル改革担当大臣の宣言が引き金となり、「脱PPAP」が日本中で加速している。暗号化ファイルとパスワードをメールで送る「PPAP」は、セキュリティー対策として無意味だからだ。日立製作所に続いて富士通やNTTデータも脱PPAPに動く。PPAPがなぜ悪いのか。その5つの「大罪」を振り返ると共に、安全に社外へファイルを送る、正しいやり方を紹介しよう。 ある日本の大手ITベンダーではつい数年前まで、こんな光景が繰り広げられていたという。昼過ぎのオフィスに事業部長クラスの役職者が部下数人と共に現れ、「メール誤送信防止のために守るべき原則」と書かれたパネルの内容の唱和を求める。するとフロア全員が業務を止めて立ち上がり、「添付ファイルは必ず暗号化ZIPにし、パスワードを別メールで送ること」と繰り返すのだ。こうした数日間に及ぶ「PPAPキャラバン」が、このベンダーでは年に1~2度の頻度で開催され
米グーグルはテレワークでVPNを使わない、なぜなら「あれ」が危険だから
新型コロナウイルス対策として様々な企業で在宅勤務が推奨される中、VPNに関する発言を耳にする機会が増えた。「大勢が使い始めたので速度が落ちた」「社内からの利用申請が急増した」といった恨み言が中心だが、興味深いものもあった。なんでも「グーグルはテレワークにVPNを使っていない」のだという。 米グーグルは従業員が在宅勤務をする際にVPNを一切使っていない。インターネット経由で利用できるSaaS(ソフトウエア・アズ・ア・サービス)の「G Suite」などで業務が完結するから、といった単純な話ではない。開発システムや経理システムといったあらゆる種類の社内アプリケーションが全てインターネット経由で利用できるようになっているため、従業員はそもそもVPNを利用する必要がないのだという。 同社はこうした社内事情を「BeyondCorp」という取り組みとしてWebサイトや論文で公開している。さらに2017年
宅ふぁいる便の平文パスワード480万件流出事件、1カ月たってもサービス再開できず
オージス総研は2019年1月、ファイル転送サービス「宅ふぁいる便」を停止した。利用者のメールアドレスとパスワードが平文のまま約480万件流出した。暗号化やハッシュ化の必要性は認識していたものの、他の対策を優先し怠った。2月20日時点で「原因や手口は調査中」とし、サービスは再開できていない。流出情報が別のWebサービスへの不正ログインに悪用される恐れもある。 Webサービスにログインするために使うメールアドレスとパスワードが平文(ひらぶん)のまま480万件流出するトラブルが発生した。公表されている中では過去最大級となるログイン情報の流出だ。流出したログイン情報を悪用して様々なWebサービスへの不正ログインを試みる「リスト型攻撃」が増える恐れがある。 流出元は個人向けファイル転送サービス「宅ふぁいる便」だ。大阪ガスの完全子会社のシステムインテグレーター、オージス総研が運営する。1999年に大阪
Windows 10で脱ウイルス対策ソフトを実践、予期せぬ不安も
2019年の正月休みは奈良の実家でのんびり過ごした。1つだけ仕事らしいことをしたとすれば、実家のノートパソコン2台のセットアップだ。2014年1月に購入し両親が使ってきたWindows 7パソコンは5年が経過し、動作が重くなり使い勝手が悪くなっていた。 Windows 7は2020年1月にサポート終了を迎えることもあり、買い替えることになった。新機種の選定やセットアップを筆者が手伝った。 OSはWindows 10に、ディスクは256ギガバイトのSSDにした。CPUは第4世代Core i5-4200Uから、第8世代Core i5-8250Uへとパワーアップした。ちょっとした写真の整理や事務作業に使うパソコンなので、メモリーは8ギガバイトあれば十分だと判断した。実際に起動すると、古いパソコンに比べて驚くほど軽快に動作する。 パソコンに不慣れな70歳近い両親が使うことを考慮し、24時間365日
ある判決、要件にないことで責任を負わされたシステム開発会社の悲劇
「ITの専門家なら情報漏えい対策は施しておくべきじゃないですか!」、「いや、システム要件にない機能は実装しませんよ」――。あるECサイトにおける悲劇の現場を再現すると、システム発注者側とシステム開発を受注した会社の間では、おそらくこのような会話がなされたに違いない。 上記は、セキュリティ関係者の間で話題になった判決(東京地方裁判所判決 平成23年(ワ)第32060号)を読んで、筆者が想像した会話だ。 インテリア用品の販売会社(原告)が運営するECサイトが、外部からのSQLインジェクション攻撃によってクレジットカード情報などの個人情報を流出させてしまった。SQLインジェクションとは、Webサイトの入力フォームを悪用し、データベースで不正な処理を実行するプログラム(SQL文)を送り付ける攻撃手法だ。 販売会社側は、顧客の個人情報が漏洩した責任はECサイトのシステム開発を受託した会社(被告)にあ
CCCがIE用ツールバーを配布中止
共通ポイントサービス「Tポイント」を運営するカルチュア・コンビニエンス・クラブ(CCC)とネット広告代理店のオプトは2012年8月15日、Internet Explorer(IE)用ツールバー「Tポイントツールバー」の配布を中止した。配布開始から2週間後のことだ。 このツールバーでWebを検索すると、Tポイントを付与するなどの特典がある。その代わりに利用者が検索したキーワードに加え、Webサイトの全閲覧履歴をオプトのサーバーに送信する(図)。CCCとオプトは収集した情報をTポイント会員の購買履歴と組み合わせ、広告や販促メールの送付に使うという。 この仕様に、プライバシー侵害を懸念するネットユーザーが強く反発。両社は配布中止に追い込まれた。CCC広報は配布中止について「セキュリティ関係で多数の要望が寄せられたため」とし、9月以降に改良版を公開する考えだ。 今回の件は、企業にとって二つのリスク
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
