パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

「宅ふぁいる便」のユーザー情報漏洩、漏洩したパスワードは暗号化されていなかった」記事へのコメント

  • by Anonymous Coward on 2019年01月30日 19時31分 (#3557078)

    誇れるような実装でもなければ認識もダメダメだったわけだ。
    今後はサービスを始める前にセキュリティ監査を受けることを義務付けるべきかもね。

    • by simon (1336) on 2019年01月30日 20時12分 (#3557104)

      誇れるような実装でもなければ認識もダメダメだったわけだ。
      今後はサービスを始める前にセキュリティ監査を受けることを義務付けるべきかもね。

      この宅ふぁいる便のサービスをしてた大阪ガスの子会社オージス総研、ISMS適合性評価制度の認証を取ってるんだよな

      ISMS(情報セキュリティマネジメントシステム)適合とはいったいなんなのか(哲学

      親コメント
      • by Anonymous Coward on 2019年01月30日 21時43分 (#3557174)

        ISMSは、情報のセキュリティについて、リスクに対する計画の作成と実行、承認、監査を行うシステムです。
        ですので、計画の作成者がリスクに対する計画を作っていない場合、それがどんな大きなリスクであっても、ISMSには影響しません。
        そして、計画を作るのは、現場の人間が作るので、申請しやすい内容にしかなりません。

        #ISMSやISO、Pマークなんてのはあくまで、該当のシステムに沿った監査を行った証でしかないのです。
        #第三者機関が内から・外からセキュリティリスクを洗い出ししてるわけではないので・・・

        親コメント
      • by Anonymous Coward on 2019年01月30日 20時18分 (#3557111)

        存在しないものに名を授ける神学的行為なのでは?

        親コメント
      • by Anonymous Coward on 2019年01月30日 21時38分 (#3557172)

        ISMSは最低限守るべき手続きの規定しかない。

        ISMSも取れない企業は信用に値しないことは間違いないが、
        ISMSを取ってるからと言っても信頼はできない。

        親コメント
      • by Anonymous Coward

        ISMSとってる大手なんか信用してはいけません。
        大手PJのセキュリティチェック行為はザルで、効率下げているだけなので直ちに停止しろ。

        • by Anonymous Coward

          最善の効率とは、完全属人化状態で、疑似エスパー状態の時をいい、
          (「時が見える!」状態)
          それの解消がISMSとかの管理フレームワークの目的だとしたら、
          効率が下がるのは、「予定通り」では?

          ザルさの解消のためには、さらなる効率の低下が求められるが、
          そこまでのコストは、大手でも負えない、だけ、では?

      • by Anonymous Coward

        プライバシーマーク(笑)と同じようなもんですよ

      • ここまでISMSに関するいろいろ誤解があるようなので。
        # セキュリティ監査資格ホルダーだけど回し者ではありません、ISO認定員ではありません

        ・ISMS認証となると第三者認証が必須です。ただ、認証機関は出てきた材料で判断します。
        ・顕在化していないリスクは存在しないものと同じです。シュレーディンガーの猫。
        ・ベストプラクティスとなるリスクシナリオスタンダードはこの世に存在しません。ビジネスによって如何様にも変化します。

        Pマークもそうだったけど、PDCAを1ループだけ回す建付けではきめ細かい改善はできません。
        また、ビジネス側の強い要望があればセキュリティより優先されます。
        まぁ、ビジネス側の要望とユーザーの欲しい物やレピュテーションリスクが相反することはままありますので。今回のケースみたいに。
        --
        ---- 何ぃ!ザシャー
    • by Anonymous Coward

      嘘偽らざる日本の技術力ってのはこんなもんでしょ。監査やら対策やらしたところでパスワードの定期変更とか.exe形式自己解凍書庫導入とか、わざわざ事故が起こるように状況を悪化させておいて「悪化させなかったらお前は責任を取れるのか」とか反論を封じるようなことしかできないし。

      • by Anonymous Coward

        オージス総研の技術力が高いとは思わんけど、さすがにコレは技術力の問題ではない。

        自分が理解できてないからって逆ギレすんな。

    • by Anonymous Coward

      セキュリティ監査をやっても、監査する側が身内だったりお仲間だったりしますし、
      場合によっては「コンピュータなんて難しくて使えん!紙が最高!」っていうお爺ちゃんが
      書類審査にやってくるだけだったりすることもあります(いずれも実話)ので、あまり期待はできないですね。

      とはいえ、完全に知識を持った第三者がやってきたら、それはそれで今度は監査を受ける側が
      機密漏洩を気にしそうですが・・・

      • せっかくセキスペ(情報処理安全確保支援士)を士業にしたんだし、一定以上の個人情報を運用するには有資格者の監査必須にすればいいのに。

        親コメント
        • by Anonymous Coward on 2019年01月31日 9時43分 (#3557316)

          情報処理安全確保支援士検索サービス
          https://riss.ipa.go.jp/ [ipa.go.jp]

          オージス総研で検索したら、28人の情報処理安全確保支援士が見つかりましたw

          親コメント
          • by Anonymous Coward

            情報処理安全確保支援士検索サービス
            https://riss.ipa.go.jp/ [ipa.go.jp]

            オージス総研で検索したら、28人の情報処理安全確保支援士が見つかりましたw

            そいつらの資格取り消したほうがいいんじゃないかw

            • by Anonymous Coward

              まあ、全員が開発に携わったわけではないから…
              と思う。

      • by Anonymous Coward

        えっ、監査って普段からきちんと対応してると監査人が仕事してない気になって面倒なこといいだすから、
        あえて2,3差しさわりのない改善できる内容をそれとなく用意しておいてあげるものでしょ。
        意味なんてあるわけないじゃん。

        • by Anonymous Coward

          会計検査院に仕事を与えるために毎年わざとツッコミどころのある予算の用意をしておくようなものですね

最初のバージョンは常に打ち捨てられる。

処理中...