ACCAの続報よ
http://www.itmedia.co.jp/news/articles/0403/25/news032.html
http://japan.cnet.com/news/sec/story/0,2000050480,20065084,00.htm
http://internet.watch.impress.co.jp/cda/news/2004/03/25/2557.html
http://itpro.nikkeibp.co.jp/free/SI/NEWS/20040325/141941/
http://itpro.nikkeibp.co.jp/free/NC/NEWS/20040325/141942/
いくつかのサイトから内容を切り出してみるわ。…バカさ加減満載の、素敵な内容だわ。
http://itpro.nikkeibp.co.jp/free/SI/NEWS/20040325/141941/より
従来,顧客データを格納するデータベースへのアクセスを許可されていたのが466人いたが,62人に限定する。
http://itpro.nikkeibp.co.jp/free/NC/NEWS/20040325/141942/より
顧客データベースへのアクセス権を持つ466人全員が全顧客データを閲覧できたことが明らかになった。
確かYahoo! BBもそうだったわよね? これってISPの顧客情報の運用の基本なのかしら? 「誰でも閲覧できる個人情報」って。…笑い話としてはちょっとブラックすぎないかしら?
http://itpro.nikkeibp.co.jp/free/NC/NEWS/20040325/141942/より
従来は、顧客サポート部門に加えて、営業担当者、情報システム部門の担当者が466人がアクセスできた。
http://itpro.nikkeibp.co.jp/free/SI/NEWS/20040325/141941/より
データベースへアクセスできる共有アカウントが17個あったが,これを廃止する。
http://itpro.nikkeibp.co.jp/free/NC/NEWS/20040325/141942/より
さらに社内システムにアクセスするための共有アカウントが17個ある。セキュリティ面からこれを3月26日までに使用できなくする。
Yahoo! BBの時にもこれあったと思うんですけれども。「共有アカウント」ってなにかしら? 是非「セキュリティを立脚点にした」議論をちゃんとしてみたいわ。そういう愚かな設計をしたばか者に、ね。
http://internet.watch.impress.co.jp/cda/news/2004/03/25/2557.htmlより
従来の問題点として社内の共有アカウントを指摘。「利用できた人数は限定的だったと考えているが」と前置きした上で、「17個ほどあった共有アカウントをすべて廃止した」と説明した。
まぁ「利用できた人数は限定的だった」とかいう発言自体、社内で即座に「現在どれくらいの人が共有アカウントを知っているのか」っていう状況が把握できる状況にはなかったことを示しているわ。まぁきちんと把握できるなら「共有アカウント」なんて使わないわね。この辺、技術を知らない無知蒙昧な金の亡者たちの「バカさ加減」が如実に現れている好例だわ。
http://itpro.nikkeibp.co.jp/free/SI/NEWS/20040325/141941/より
共有アカウントは3月26日までに廃止
http://internet.watch.impress.co.jp/cda/news/2004/03/25/2557.htmlより
セキュリティルームの設置と情報システム部門のセキュリティ強化は3月29日までに、共有アカウント廃止は3月26日までに実施する予定
http://internet.watch.impress.co.jp/cda/news/2004/03/25/2557.htmlより
続いてデータの流出対策については、PCのUSBポートやフロッピーディスクを4月4日までに原則すべて利用できなくする。
http://internet.watch.impress.co.jp/cda/news/2004/03/25/2557.htmlより
顧客情報を扱うサポート担当部署についてはインターネットのアクセスを原則利用できなくする方針。こちらは4月4日までに対策が行なわれる。
これも「今のうちなら」やり放題なのね。きっと今頃大慌てでUSBメモリ買ってる人がいるんだわ。共有アカウントも今日中ならまだ有効ですし。そりゃもう大急ぎのはずよ?
http://itpro.nikkeibp.co.jp/free/NC/NEWS/20040325/141942/より
一方、出口の部分では、社内のパソコンのUSB、フロッピーを使ってデータを取り出せないようにする。これは物理的な作業が必要だが4月4日までに終わらせる。
ちなみにどの記事を見ても「対策完了までの暫定的対応」についてはかけらほども言及されていないわ。…きっと数日間程度なら安全なんだわ。きっとそうに違いないわ。
…やだ、知り合いにだれかアッカのサポートやってる子いないかしら? ちょっとお願いしたいことが色々あるのよ、今のうちに、ね。(邪笑
そうねぇ。あたしなら「こっそり自力でWebメールでも作ってそこから垂れ流し」かしら? この辺ってよっぽど考えて作っておかないと大変なことになるのよね。
http://itpro.nikkeibp.co.jp/free/SI/NEWS/20040325/141941/より
外部流出の監視対策として,同社で送受信したメールを1カ月間保存し,1週間に1回不正なものがないかどうかをチェックする。また,外部流出の防止策として,全クライアントPCのUSBポートやフロッピーディスク・ドライブを物理的に使用できないようにする。データベースから抽出したファイルの流出を防ぐために,DRM(Digital Rights Management)ソフトの導入も検討する。Webメールなど特定のサイトへのアクセス制限も行う。
まぁ、もとが
http://internet.watch.impress.co.jp/cda/news/2004/03/25/2557.htmlより
データベースへのアクセス権限を持っていた466名はすべてのデータを閲覧できたほか、社内全体でもインターネットの接続やWebメールの利用できた。また、外部メモリの利用などは禁止していたものの、現実的に利用は可能だったという。
http://itpro.nikkeibp.co.jp/free/NC/NEWS/20040325/141942/より
加えて、データベースにアクセスするための専用の高セキュリティ・ルームを設置して、物理的な対策を講じる。高セキュリティ・ルームの監視担当者を設置したり、セキュリティ・ルームでできる作業も限定する制度を設ける。
って状況なら「やり放題」よね。
http://itpro.nikkeibp.co.jp/free/SI/NEWS/20040325/141941/より
データベースが設置してある部屋からインターネットに接続できないようにしたり,入退室管理を強化するなど高セキュリティ・ルームとする。
ちなみに「データベースにアクセスするための専用の高セキュリティ・ルームを設置」ってのは「今までは低いセキュリティレベルでアクセスが可能だった」ってことだし、「高セキュリティ・ルームの監視担当者を設置」は「誰も監視してなかった」、「セキュリティ・ルームでできる作業も限定する制度を設ける」は「好きな作業ができた」、「入退室管理を強化」は「入退室管理がゆるゆるだった」って意味だわ。それくらいは分かるわよね? こういう文章はちゃんと「裏を」読まなきゃだめよ?
それにしてもネットに接続可能って…。それって双方向で「情報垂れ流し状態」よ? 冷静に考えなくたって分かりそうなものじゃなくってかしら?
しかも今まで「誰でも自由に入れた」って内容。それって、目隠しして股開いて「誰でも好きにヤってちょうだい」って感じの状態よ?
まぁきっと「本当に」なにも考えていなかったのね。本能のままって感じかしら? 本能の赴くままにベッドで…っていうのならうれしいんだけど、本能のまま個人情報を…ってのは願い下げだわ。
内部犯行もきっとやりやすかったのねぇ。ここまで杜撰だと、内部犯行者もある種の犠牲者なんじゃないかしら? って思っちゃうわ。
目の前に「誰も見てなくてネコババしてもばれない100万円の札束が転がってます」ってのと変わらない状況なんですもの。お金にちょっと困ってる人が誰かにそそのかされたときに、これじゃブレーキどころかアクセルになっちゃうわ。
やだ。少なくとも1年以上もかけてまだこんな基本的な部分で「チェック中」だったのかしら? だとすると「今までなにをやってきたのかしら?」。そんな使い物にならない業者ならとっとと切り捨てなさい。自社でやってるんなら有能なところにお金積んで依頼しなさい。
http://itpro.nikkeibp.co.jp/free/NC/NEWS/20040325/141942/より
――これまでどんなセキュリティ対策を講じていたのか。
湯崎氏:2002年からBS7799にのっとって、セキュリティ対策を講じてきた。情報セキュリティ・ポリシーやユーザー向けのルール策定、システムの堅牢性のチェックを進めてきた。その過程で、今回のような事態を引き起こしてしまった。
ってあたりも突っ込みどころ満載だわ。情報は「漏れるか漏れないか」よ? 内部をチェックしようなんてお話、カビが生えるほど昔から言われ続けてきたことだわ。まして「外注業者が出入りする」場所なんて半公的な場所といっても過言じゃないわ。
http://itpro.nikkeibp.co.jp/free/SI/NEWS/20040325/141941/より
同社は2002年以降,BS7799に基づいて情報セキュリティ・ポリシーを作成していたほか,外部のセキュリティ監査を受けていた。2002年に受けた外部業者からのセキュリティ監査の結果,「外部からの侵入は難しいと評価を受けていた」(湯崎氏)ことから,今回の流出は内部犯行の可能性が高いとしている。
この辺の想像力が決定的に欠落してるのが、こういう連中の頭の固い…っていうよりないところなのよねぇ。
素敵ぃ。「派遣社員、それに設備関係の業務委託先企業の担当者」が閲覧できてたのね。しかも全顧客データを。素敵なくらい完璧なセキュリティね?
http://itpro.nikkeibp.co.jp/free/NC/NEWS/20040325/141942/より
――現在システムにアクセスできる466人の内訳は。
湯崎氏 営業部門や情報システム部門といった社員、派遣社員、それに設備関係の業務委託先企業の担当者がいる。今後、これを顧客サポートのカスタマ・サポートを担当する62人に限定する。
ちなみに「顧客サポートのカスタマ・サポートを担当する62人」って、ちゃんと法的に守秘義務とか結ばせてるのかしら? あたしが知ってる限り、顧客サポートって結構「アルバイト」が多いと思うんだけれども。
さすがだわぁ。こないだのルータの件を思い出しちゃうわ。「よく考えもせずに」必要だろう、ってだけの理由でやってたのね。だいたい「設備関係の委託業者」が個人情報を見れるメリットってなんなのかしら?
http://itpro.nikkeibp.co.jp/free/NC/NEWS/20040325/141942/より
――これまでは466人がデータベースの内容を全部見られたのか。
湯崎氏:そうだ。データベースの情報は顧客サポートをする上で必要だ。そこで、466人が閲覧できるようにしていた。このような事態になってしまったので、運用面に課題があることがわかった。
やだわ、なんの対応をするつもりなのかしら? きっと「個人情報が暴露されるときは解約者も一蓮托生で情報を漏洩させる」ためにとっておいたのね?
http://itpro.nikkeibp.co.jp/free/NC/NEWS/20040325/141942/より
――解約した顧客情報も含まれていたのはなぜか。
湯崎氏:顧客がサービスを解約したあと、応対することがある。そこでそれに備えて、創業以来3年間、契約管理情報をすべて管理してきた。
Yahoo! BBもそうだったんですけれども。「解約者の情報の保持の仕方」ってもう少し考えてもらえないものかしら? 少なくとも「きちんと目的を明確にした」上で「最低限の情報に絞って」「きちんとしたガードをかけて」欲しいものだわ。
まぁ、とりあえず
いいからとっとと「解約した顧客の情報」は完璧に抹消するのよ!!
http://itpro.nikkeibp.co.jp/free/NC/NEWS/20040325/141942/より
現在、いつまで解約した顧客の情報を持っておくのかを検討している。
なんか、とりあえず「全てのISPの個人情報の取り扱いを総チェック」したい気分だわ。他にも「如何にも怪しくて危なそうな大手ISP」がいくつか連想できてしまうんですもの。
これでまたどこかのISPから情報でも流れてきたら…あたしが慰めてあげるわ。そうね、この季節なら、さっくりとした食感の焼き菓子とかどうかしら? マードレーヌとかフィナンシェとかおいしいわね。もちろん、あたし特製の白い粉砂糖をたっぷり振り掛けて、上層部を中心に社員皆さんに召し上がっていただくわ。きっと天にも昇るおいしさよ?
