【オフラインミーティング】「第2回ガンホーオフラインミーティング」セキュリティ対策・個人情報の取り扱いについて(2)

　遅くなりました。
　そのまま考察をするつもりが、無償サポート依頼(家族ですから…)が入ってしまい、２時間ほど
延々とリモートで格闘しておりました。

　半分寝ていますが、何とか今日のノルマ達成です。

　ユーザー側の観点でプライオリティが見えないという問題点の一つです。

　膨大な業務の中で、全てをこなせないのに悠長に優先度の低い業務を行っているように見える
訳です。
　当然、内部の立場からすれば必要なことかもしれませんが、外部から見れば全く観点が変わるの
ですから、外面という言い方は良くないのかもしれませんが、突っ込みどころが多すぎてもう少し
頑張って欲しいと感じます。

　単純な番地の相違で、郵便物も問題なく届くようなレベルでありながら、「登録情報虚偽」と
烙印を押して復権を許さない厳しさの反面、杜撰な虚偽住所でも問題なく通すザルのような
現状…。
　「プライオリティって何？」と言いたくなる気持ちもわかって欲しいところです。

　この質問は聞く方も聞く方だと思うのですけど…。
　常識的に考えて、聞くべき内容ではありませんよね？

　しかし、その常識で考えても聞くべきでないことを聞かれる、すなわちそれだけ「現状では信用に
値しない」と言うことの現れであると、真摯に捉えて頂きたいところです。

　常識的に考えても、改姓はともかく改名は法的にも非常にレアケースであり、Web上のフォーム
レベルでの対応は不要かと思われますが…。このあたりは文書にて申請、コールセンター等で
エビデンス(証拠)を添えた上での改名という手順でも年に何度も行う訳でもなく不便さを感じるほど
ではないのです。
　「何をもって本人とするのか」と言う部分において考慮しても、名前が何度でも、いつでも変更可能
であるのは不正を助長するのではないでしょうか？

　確かにアンケートは全てではありませんが、お得意の検討ばかりでは永久に解決しません。
　ある程度対策を取った上で動きを決めなければ、机上でうまくいくかどうかの論議に費やす時間が
無駄だと感じます。

　そもそも検討中のまま半年経っても目立った動きがない案件が多くあるのですから…。

　この件の「改竄は確認出来たが漏洩はしていない」という現状がもう一つ納得出来ないのですが…。
　漏洩は確認出来ていないだけで、「絶対に漏洩していない」とは言えないのです。

　こういってしまえば悪魔の証明に近いのですけど、改竄の事実があったからには、調査初期で
「漏洩はしていない」と言いきるのは少々問題だと感じます。

　あと、この件の最終報告って約３ヶ月が経ちますが、まだされていませんよね？

　専任担当を配属しただけで、不正アクセスが無くなることはありえません。
　問題意識を社内各部署で共有ができていないと、何度でも問題は発生すると思われます。

　元々、システムの最適解には個人差があるのですから、ある人が「これは便利だ」と感じても、
別の人には受け入れて貰えない事もあるのです。にもかかわらず、「最適なシステムを検討中です」
と言われても全然具体性がありません。

　一応私が出すとしたらこういったアイデアは如何でしょうか？
　・パスワード変更時に、登録メールアドレスに対してパスワード変更完了の通知を発送する
　・メールアドレス変更時には新アドレス及び旧アドレスに通知を送信し、新アドレスのアクティベート
(承認)後に変更完了とする
　・一定回数以上のパスワードタックについてはロックアウトを実施し、登録メールアドレス宛に確認
メールを送付した上でアクティベートを行うまでログオン不可状態とする。
　・キャラクタ削除についても、メールでのアクティベートを要求する
　これだけで、知らずに第三者にアカウント改竄を行われる危険性が大幅に低減すると思われます。

　また、ほぼリアルタイムで携帯電話等でメールを受け取れる環境がある訳ですから、ログイン時に
ログイン通知をメールで送信する等のオプションが有れば、不正にアクセスされる危険性が回避
出来そうです。

　上のは例えですが、こういった代案や参考案などがなければ、残念ながらポーズだとしか見えない
のです。

　もう半分夢の中に旅立っています。
　明日は早く帰れると良いのですが…。

投稿者 かつ : 03:00 | コメント (1) | トラックバック (0) |