2004年12月03日

【公式回答の考察】「セキュリティ対策」

 短い割に公開が遅くなってしまいました。
 ひとまず公開します。


(参加者)
 以前、使用されていないFTPサーバーが踏み台にされたトラブルやマイグレーションアンケート時の
トラブルがありましたが、セキュリティ対策が欠けているのではないですか?
(ガンホー)
 FTPサーバートラブルについては、弊社でテスト用に使用していた第三者のサーバーにおいて、
テスト後にDNSの設定ミスにより該当アドレスが参照可能な状態となっておりました。
 テスト後は特にセキュリティ対策を講じていなかった為、様々なファイルがアップロードされる結果と
なってしまいました。
 いずれの件につきましてもトラブル以降は、再発防止策、チェック体制の見直し及び強化を行いました。

(考察)
 これも2ch等の匿名掲示板群で俗称「祭り」状態になっていましたね。
 当日の通勤途中に知りましたが、かなりの時間対処されなかったように記憶しています。
 今回の原因は直接管理権限のないFTPサーバのセキュリティが甘く、そのサーバに対してDNSの
名前解決をしていたのが原因との事ですが、それであっても見過ごせないミスでしょう。

 少なくとも自社ドメイン配下に匿名でアップロード可能なサーバがある事自体が論外です。
 情報管理を生業とする者として、意識が甘いと言わざるを得ません
 不要なDNSレコードについても早急に消すべきでしょうし、テストサーバで有ればサービス提供中
とは無関係の別ドメインや直接IPアドレスでアクセスしても良い
かと思われます。

 セキュリティはこういった甘い考えの点を大きくこじ開けられるのが怖いのです。

    ◆◇◆◇◆◇◆

(参加者)
 オフラインミーティングの応募フォームにおいて、パスワードを最大長で入力したら応募できなかった。
(ガンホー)
 事実関係に対して、調査を行います。
(補足)
 この現象に関しては、応募期間内に修正を行わせていただきました。
 ご迷惑をお掛けし申し訳ございませんでした。

(考察)
 この質問の参加者さんが近くに居られたのですが、この問題はここで挙がっているミクロな点ではなく、

これまで数多く公式HP上での問題点があったはずであるが、
 「きちんとデバッグした上で公開しているのか?
 ケアレスミスも多く、致命的な現象も何度も起こしており、明らかに意識が甘い。

 少なくともこの件はフォームの最大長チェックもしてのないではないか?

 という要旨であったはずです。
 この回答を見ると、参加者の要旨の汲み取りも満足に出来ていないように感じます。

 この質問を公式回答に挙げたとしても、大半の方は上のQ&Aだけを与えられると、
この参加者は細かい点をわざわざミーティングで揚げ足取りして…
と言う印象を与えかねません

 全体的に説明のしやすさと結論の出しやすさもあるのでしょうけど、
質問しても個々の枝葉を細かく解説しすぎて、質問の幹をかすめてしまっている
感がありました。

 それが意図的なのかどうかは判りませんが…。

    ◆◇◆◇◆◇◆

(参加者)
 個人情報の取扱に関して、プライバシーマークを取得する予定はありますか?
(ガンホー)
 プライバシーマークの取得については、適用範囲が広く弊社のビジネスモデルで考えた場合、
業務上の範囲を超えている部分があるため現時点で具体的な検討はしておりません。

(考察)
 私の質問その2です。

 純粋な取得(申請&認証手続き)費用だけを見れば、大企業でも120万円程度です。
 もちろん、業務改善などで専任者を置いたり、社外から専門家を招聘したりと、直接見えない
コストは確かにかなりかさむでしょう。

 取ったら取りっぱなしという訳にはいきません。
 当然取得後もクオリティを保つ為には、かなりの努力が必要でしょう。

 しかし、取得する事によって、「情報」に対しての取り扱いが細かい部分まで明文化するのです。

 来年には個人情報保護法も施行されます。
 今までの認証機関からの第三者的な視点だけではなく、法的にも規制が強化されます。

 今回の虚偽登録修正キャンペーンも、おそらくそれを踏まえての実施だと思われます。

 これを機に、本来で有れば多少のコストを覚悟してでも、取得してしまうべきでしょう。
 業務内容にそぐわないとの事で有れば、事業セクション単位でも取得は出来るはずです。

 直接個人情報にタッチするカスタマーサポート、顧客データベース管理部門のみを対象に取得す
る事が可能です。もちろんオフィススペースを分離したり、工夫は必要でしょうが…。

 また、現実問題として、既にTRUST-eで万全だと思われているので有れば、そのまま対象部門
だけで取得申請を行えばいいと思います。
 一から取得するよりは下地があるんでしょうから…。

 それで甘ければ指摘されますが、そこを直して再申請すれば良いだけです。

 残念ながら現在のガンホー社が自分で「大丈夫だ」と言う声の100%は信用できないのです。
 それを補う為の認証なのです。

 もちろん、取ったら取りっぱなしには出来ません。
 大きな問題が発生して剥奪などされた日には、ネット上での風評は火を見るより明らかになります。

 その部分を考えれば、もっと気合いが入ると思います。
 それも踏まえて、是非取得する事を提案します。

 …と、ここまで書いてからプライバシーマーク制度のHP取得要件を見てきました。
 すると、幾つかハードルが確認できました。



(上記リンク元より抜粋)

1. プライバシーマークの付与を申請できる事業者
 プライバシーマークの付与を申請できる事業者は、国内に活動拠点を持つ民間事業者であって、少なくとも次の条件を満たしている民間事業者です。民間の事業者以外(自治体等)であっても、下記の条件を満たしていれば申請することができます。
1.「個人情報保護に関するコンプライアンス・プログラムの要求事項(JIS Q 15001)」に準拠したコンプライアンス・プログラム(CP)を定めていること。
2.コンプライアンス・プログラム(CP)に基づき実施可能な体制が整備されて個人情報の適切な取扱いが行なわれていること。

 なお、下記の事項(欠格事項)に該当する事業者は、申請を受け付けることができません。

1.申請の日前3か月以内にプライバシーマーク付与の申請プライバシーマーク付与を否とする旨の決定を受けた事業者
2.申請の日前2年以内にプライバシーマーク使用契約の解除を受けた事業者
3.申請の日前2年以内に個人情報の取扱いにおいて個人情報の外部への漏洩その他情報主体の利益の侵害を行った事業者
注)上記3において、申請の日前2年以内の基準日は、当該漏洩又は侵害が発覚した日とします。



 なんか欠格期間の3辺りが怪しいです…。
 実は取りたくても取れないのかもしれません。

 でも、それならば欠格期間明けにはしっかりと取得できるよう、環境を整えておくことがベストでしょう。

 どう転んでも漏れた事実は覆せません
 でも、再発防止策を徹底し、二度と起こさなければよいのです。

 また、事業部単位で取得可能だとの内容も、大規模事業者限定で、かつ取締役所管単位と
なるようです。
 この辺りは個人情報管理担当取締役を準備すればよいだけなのですが…。

    ◆◇◆◇◆◇◆


このエントリーのトラックバックURL:
http://mt2.ragna.info/mt-tb.cgi/208

トラックバック

コメント
コメントする









名前、アドレスを登録しますか?