1
/
5

Sign up for free

This page is intended for users in Japan(English). Go to the page for users in United States.

それってセキュリティー? それとも、セキュリティー風味の無駄な動き?

株式会社ルシダスの代表取締役・マーケティングロックスターにして、前世(!?)はセキュリティーエンジニアだった池上です!(でも天職は料理人だと頑なに信じてます。w)

実は日頃から、「無駄なこと」「惰性でやっていること」が許せない!…… とまでは言わないまでも、すごく気になることが多い私。

というのも、1日に仕事できる時間は限られているし、その中で成果も出さないといけないし、当然、コンプライアンスを守ることや、お客様のデータを安全に扱うことなど、求められるハードルは決して低くないことを考えると、無駄や惰性はどんどん排除しなければいけないからです。

どちらかと言えば、経営者としての感覚でしょうか。

とは言え、社長が「経営目線で考えてほしい!」と言うときって、実はこういうことが気になってるんですよね。

「当たり前」が、実は大いなるムダ!!

さて、そんな「無駄」や「惰性」の筆頭に来るのは憎きFAXだったりするわけですが、他にも「認印リレー」とか色々あったりします。

そんな中でも、単に「無駄だから」というだけじゃない理由で気になって気になって、ブログに書いちゃうほど気になるのは……時々見かける「メールでのパスワードのやりとり」です。

アレです。
パスワード保護をしたZipファイルをメールで送って、続けてメールでパスワードを送ってくるアレです。

背景はわかってます。
情報を保護し、安全性を守る。
たいていはプライバシーマークに絡んで、監査に備えてコンサルタントから言われて実践しているケースが多いのです。

だがしかし、声を大にして言いたい。
100%意味がない、どころか、害悪です。



「無駄」なうちは、まだマシなんです

考えてみてください。

件のZipファイルを傍受されたとしたら、パスワードも揃って傍受されてます。
ZipファイルのあるPCにアクセスできるなら、パスワードの入ったメールもまずまずアクセスできてるはずです。
いったんメールで受信したパスワードを使ってZipファイルを展開した後は、ほとんどの場合、元のZipファイルは捨てられて中身だけがローカルに保存されます。
そうすると、「メールで受信したZipファイル、単体でなら安全だろ」なんていう議論は、正直言って机上の空論なんです。

つまり、同じチャンネルを通してデータとパスワードを平文(=非暗号)でやりとりしている時点で、まるで意味がないんです。

でも、「意味がない」だけではなく「害悪だ」と思うのは、それがセキュリティーの本質をうやむやにしてしまうからなんです。

「これをやっておけば安全である」という「惰性」でのみ担保される安全策というのは、いざとなればすぐに崩されてしまうのです。



セキュリティー ちゃんと一手間 かけましょう

本来は、保護に値する情報なのかどうかを常日頃から意識し(平文でもいい情報というのは山ほどありますし)、保護しなければならないものは、多少の手間があってもきちんと保護をする

ルシダスでは、原則として、お客様のデータは必然性がない限り、お客様のデータベースから取り出してローカルに保存することはありません。

例えば、マーケティングデータベース内に保管されているデータであれば、それは相応のセキュリティー対策がなされているもののはずだから、安全です(もちろん、そのシステムにアクセスするアカウントやパスワードの管理はユーザー側の責任ですが)。

どうしてもローカルでのアクセスが必要(例えばExcelでの加工が不可避)になる場合でも、そもそものハードディスクやSSD上での暗号化をハードウェア単位で行なったりするし、お客様とのデータ授受が必要なら、パスワードのやりとりが発生しない方法で行います。

もちろん、メールのように通信経路そのものが平文になっている脆弱なシステムは使いません

無駄な動きは惰性を生み、惰性は怠慢を生みます。

という、社長の愚痴? w でした〜。

*こちらの記事は2018年3月2日投稿のブログ「それってセキュリティー? それとも、セキュリティー風味の無駄な動き?」(https://www.lucidas.co.jp/pointless-security.html)より転載しています

株式会社ルシダス's job postings

Weekly ranking

Show other rankings
If this story triggered your interest, go ahead and visit them to learn more