Q&A
ご回答ありがとうございます。
PCIDSSのことを知りませんでしたので勉強になりました。ぜひ確認してみたいと思います。
一般的な保険会社であれば閉域網サービスを利用しているとのことであれば安心ですが、
仕組みとして「セキュリティ対応してますよアピール」になるようなのSSL対策や何らかの認証などはあった方がよいようなきがしました。※今回のわたしのように誤解をしてしまう人もいると思いますし。
ご回答・ご説明ありがとうございました。
先日、保険に入ろうと思っていつもお世話になっている保険会社の方に連絡を入れ資料説明等を受けていたのですが、その会社の顧客管理・営業用システムがWebを使ったシステムで、営業マンの方は、私が加入している保険や個人情報などをタブレット端末で確認しながら説明をして下さっていたのですが、ブラウザのurlがhttp://... になっていました。
インターネットには、小型のポケットルータを使って接続しているようでした。
この保険会社に関わらず、これまでにも社内システムをSSL無しで構築されているのをなんどか見たことがあり、その度に見なかったことにして「あっ、察し・・・」ということでそっと離れていくか、話の分かってもらえそうな人であれば「ちゃんとした方がいいと思いますよ」的なことをお伝えしてきたのですが、今回の場合、既に自分がその会社の保険に加入しており簡単にそっと離れていくということもできず、SSLに対応していないことについてどう伝えればよいのか困ってしまいました。
B2Cで公開されているようなサービスでSSL対応していないサービスを目にすることはまずありませんが、このようなインターネットを使う社内システムでSSLに対応していないサービスというのは世の中にたくさんありそうな気がしてぞっとしています。
現にこの保険会社も名前を出せば多くの方が知っている会社だと思います。
私の疑問点として以下の2点です。
1.そもそもインターネットを使う社内システムはSSL対応しなくても問題ないのでしょうか?
私の答えは「No,問題あり!」なのですが、日本の企業ではかなり多くの会社が社内システムをSSL化していないような気がしてきてむしろ自分の考えが間違っているんじゃないかと思えてきました。(個人情報とか別にSSL化しなくても対して問題ないんじゃないかという気さえしてきました)
私の認識ではSSLへの対応の有無は、その会社の経営の根幹にかかわる重要な問題だと思いますが、そこまで深刻に考えるようなことでもないのでしょうか。
2.1の答えが「No」であればこういった企業のSSL対応への指摘・要望はどのように進めるべきでしょうか?
こういう場合、一般的にはどのような流れで企業への要望を出すのが正しい姿なのでしょうか。
皆が気づいた時点で実名をあげたり、URLをネットにさらすというのも1つの手段だと思いますが、ちょっと乱暴ですし攻撃者を生む可能性もあるのでこれは方法として少し違うかなと思いました。
制度的な面に関しては、現状では法律などで「○○を扱う場合はSSL対応必須」というような規定はないと思います。
B2C等の一般的なWebサービスであれば外からもわかりますが、社内システムに関しては外部から伺い知ることのできない情報ですのでその会社の方針にゆだねられることになります。
指摘・要望に対する反応も企業によって様々なような気がしますが、同じような経験をされた方がもしいらっしゃいましたらぜひご意見を頂ければと思います。
回答5件
0
ベストアンサー
1.そもそもインターネットを使う社内システムはSSL対応しなくても問題ないのでしょうか?
この問いにストレートに答えようとすれば問題がないとは言えませんね。ですが何もしていないとは思いません。
HTTP通信のSSL対応しなくても良い方法を使っていると思います。
名前を出せば多くの人が知っている保険会社であれば、閉塞網(セキュアモバイル網)程度は使っているでしょう。
端末紛失の恐れもあるでしょうから、BitLocker等でのストレージ暗号化もかけていると思います。
セキュアBizクライアント等も導入して使用後の端末内データ削除もしているのではないでしょうか。
個人情報をSSL対応しなくても良いといのではという発想は、もう少し考えを巡らせると気づきがあると思います。
SSL通信を行うことで何が行われ、誰が何を守っているのか。SSLによってそれが守れるものか辺り。
発想されたことはとても大事な気づきです。私もそう思った時期がありました。
個人情報を扱う者やエンジニアとしてはさらに踏み込んで問題の本質に迫る必要があると思います。
2.1の答えが「No」であればこういった企業のSSL対応への指摘・要望はどのように進めるべきでしょうか?
一般的には、問い合わせ窓口に指摘・要望をするのが良いと思いますが、効果はないでしょう。
これには先の問題の本質も関わってきます。
その企業が信用ならないのであれば、使わない(=契約しない)ことですね。
「それはできない」という事情がおありのようですが、こんな厳しい見方もできます。
「リスクを知りながらも回避することを避け、リスクの担保は企業や社会的制度がすべきと考えている。」
自発的にリスクを避けることが肝要です。
指摘・要望を伝え企業に対応を促す現実的な方法は「解決方法をソリューションにして売り込む」ことです。
その企業がSSL対応をしていないのは、「必要ない」か「事情があってできない」と思っているかなので、
リスクを示し課題を解決できるように、気づいたあなた自身が企業のパートナーとして動くのです。
投稿2017/04/30 21:53
総合スコア804
0
ご担当者に「そのシステムは PCIDSS を考慮したものですか?」と尋ねて下さい。
「PCIDSS」 は、本来カード会社のための基準ですが、国内金融業界では標準的な基準として考慮されています。安全なネットワークの構築と維持が要件として定義されるので、肯定であれば、何らかの仕組みで simotin さんの心配している状況は回避されています。
実際の仕組みとしては、すでに回答された方がいますが、閉域網サービスを使用しているのだと思います。キャリア網+専用線(または類似サービス)の形で提供され、イメージとしては一昔前のRASのようなものです。その為、インターネット上を素のデータが流れることはありません。モバイルルータを使用しているということなので、若干の隙間はありますが、それも真っ先に考慮されるべき項目なので対処されていると思います。
問題は外資系の保険会社と保険代理店の場合です。こちらはどのようなシステムが動いていても不思議ではありません。システムを個人なり代理店が勝手に作っている可能性があります。その場合、大元の保険会社にクレームを上げても意味が無いので、まずご担当にクレームをあげると良いと思います。
現実問題として、きちんとした対応さえできていれば HTTPS である必要性はないと思われますが、HTTPS 化はユーザの信頼根拠の側面もあるので、これからは、外部の方が目にするシステムには、HTTPSを採用することが必要かもしれないですね。
投稿2017/05/01 00:42
編集2017/05/01 01:14退会済みユーザー
総合スコア0
> 仕組みとして「セキュリティ対応してますよアピール」になるようなのSSL対策や何らかの認証などはあった方がよいようなきがしました。
ユーザ側からの確認方法としては、企業が「ISMS認証」や「プライバシーマーク」を取得しているかどうかが判断の基準となります。
自身の個人情報を気にする方は、まず最初に上記二点がどうなっているか確認すべきです。企業がシステムの全貌をユーザに開示することはありえないので、認証機関がどのように判断しているかが、重要な指針となります。
> ※今回のわたしのように誤解をしてしまう人もいると思いますし。
今のところは、simotin さんのような方をペルソナとして採用することは微妙だと思います。(そもそも契約者の見る画面ではない気もしています)
個人情報の取扱に慎重な方は「ISMS認証」や「プライバシーマーク」を確認し、安心しますし、無頓着な方はそもそも気にしません。
HTTPS を利用するには、それに応じたコストがかかり、それは契約者へ負担してもらうことになるので、個人的な感覚としては、「必要な対処ができていれば、HTTPS である必要はないんじゃないかなぁ」と思っています。ただ、今後のシステムとしては検討の余地はありそうですね。
ご回答・ご説明ありがとうございます。「ISMS認証」というのもあるんですね、勉強してみます。
※プライバシーマークは私が勤めていた会社でも取得していました。外見えとその会社の従業員の意識を高めるのには有効だと思いました。
認証の仕組みやシステムにはコストが発生してしまうので確かにやりすぎるのも意味がいないですね。
te2ji様のおっしゃられている通り、私も必要な対処ができていればHTTPSにこだわる必要はないと思います。前提としてVPNになっていればそもそもSSL化は必要ないでしょうし。
セキュリティ対策はどこまでやっていればOKでどれができていなければNGなのかが明確でないので難しいように思いました。
ご回答ありがとうございました。自分でももう少し自問自答してみたいと思います。
0
パブリックに立てたHTTPサーバではなく、社内VPN上にあるサーバへ接続するのであれば、さらにHTTPSをかけるのは煩雑になるだけで、あまりメリットはないかもしれません。
投稿2017/04/30 23:47
総合スコア145932
ご回答ありがとうございます。
確かにVPNの可能性はありますので一概にHTTPだったからという点で心配する必要はないのかもしれません。※端末を使っている様子をみていた限りではVPNは使っていなさそうでした。
0
ご回答・コメント頂きました皆様ありがとうございました。
いろいろなご意見など頂けて勉強になる点が多かったです。
私の反省点として、投稿・質問の前提や意図を十分に説明できていなかったように思いますので、
今更感はあるのですが、少し記載させて頂ければと思います。
私がもやもやして、皆様に聞いてみたいと思ったのは技術的な側面というよりは、
「明らかにセキュアでない通信をしている社内システムを見つけてしまった(気付いてしまった)時に、人としてどう行動すべきか?」
という点で皆様のご意見を聞いてみたいという思いがありました。
※前提としてこのことを質問の意図として投稿時に記載していなかったのは、投稿の書き方としてよくなかったなと反省しております、申し訳ありません。
例えば、
不審者をみたら →警察
ボヤをみたら →消防
動物虐待をみたら→保健所
というように自ずと連絡先やするべき行動は決まってきますが、
明らかにセキュアでない通信をしている社内システムをみたら→ ???
というのが私のもやもやとして頭にありました。
例えばRubyの
https://www.ruby-lang.org/ja/news/2005/07/02/20050702/
security@ruby-lang.org
のような窓口的なものがあったりするんだろうか・・・
やっぱりIPAとかに相談するのが一般的なんだろうか・・・
などなど。
公開しているWebサービスやソフトの脆弱性報告にに賞金を出すIT系企業は増えてきていると思いますが、
インターネットを利用する社内システムは、完全にオープンなサービスというよりはいわば「セミオープン」なシステムなので盲点になりそうで怖いなというのが私の印象です。
「閉域網・VPN」という点で見れば「(HTTPだから)セキュアでない」と一概に判断はできないのは当然ですが、社内システムに対して「閉域網・VPN」を使っているというということを調べることは難しいように思います。
いわば白か黒かがはっきりしない状態になるかと思いますが、経験として明らかに黒のシステムを見たことがありましたので私の頭の中にはそういった前提がありました。
そういう意味では、質問の内容として1と2の質問を書かせて頂きましたが、2の方が私が皆様に意見を伺いたかった点になります。
Hiroshi-Aoki様が2についてもご回答くださっておりましたので、ベストアンサーとさせて頂き解決済みとさせて頂きました。
皆様からのご回答を元に自分でももう一度考えてみたのですが、外部から白か黒かが分からないのであればこの問いに対する明確な答えというのは無いような気がしました。
個人的には、危険そうなサービスや会社には近寄らないという行動をとる以外に選択肢はないように思いました。あるいは企業の側が(社内システムを含めて)「ちゃんとセキュアなシステムを構築してますよ」ということをアピールできたり、認証するような仕組みなどが必要な気がしますが、そんなことが現実的なのか、そもそも必要なのかどうかよく分かりません。
ご回答・コメント頂きました皆様、どうもありがとうございました。
投稿2017/05/01 13:00
退会済みユーザー
総合スコア0
> 個人的には、危険そうなサービスや会社には近寄らないという行動をとる以外に選択肢はないように思いました。
いえ、気にするのであれば、ちゃんと学習して判断して下さい。
クレームの上げ先も、認証機関や監督省庁であることがすぐにわかります。
今回のケースで言うと、多分ですが間違った観点での指摘です。
担当者に適切な質問を投げかけるだけで、十分な回答が得られるものです。
知識なく、「危険そう」と思って勝手に近寄らないだけなら個人の自由ですが、それを吹聴すると、名誉棄損罪、信用毀損罪及び業務妨等で訴えられる可能性もあります。そういった意味でもキチンと学習すべきです。
回答にも書きましたが、simotin さんのような方が増えるであろうことが、無意味なHTTPS 化をしなければならない原因となり、契約者の負担するコストが増す原因となります。
クレームを受ける側の感覚としては、学習していない告発者ほど迷惑な存在はありません。。。
コメントありがとうございます。
はい、学習して判断します。
セキュリティ関係については勉強不足でして、そのような判断材料を得たいがために今回この場を借りて質問させて頂いたつもりです。
自分で調べろ・考えろと言われれば、すいません、勉強不足ですのでそれまでなのですが。
私の意図としてクレーマー的なことをしたくて質問させて頂いたわけではありませんし、不必要に危険性を吹聴する意思もありません。
te2ji様の仰るように担当者に確認するだけで解決するのであればそれで問題ないと思いますし、きちんとしたシステムでは、無意味なHTTPS化などは当然不要だと思います。
また、仮に私がクレームを上げるのであれば、恐らくしっかり裏どりをして相手が逃げられない状況を作ってから上げると思います。
一方で、「危険かどうか」が簡単にできないのであればやはり回避するのは利用者として当然のような気がします。
※クレジットカードの番号を入力するときサイトがHTTP通信だったら「このサイトは閉域網・VPN使っていると思うし大丈夫だろう!」とはならないと思います。
そこで事実を確認せずにクレームを入れてどうこう言うのはもちろん違うと思います。
意図としては、一般的にはそういう疑問や不審感を持った時にどうするのが正解なのかが分からなかったので質問させて頂いた次第です。
もし、この場で質問していることが自体がクレームに相当するようでしたら申し訳ありません。
皆様から頂いたご回答で私自身勉強になったことが多いので、te2ji様の「学習してください」とのお考えにも沿っているかと思います。
学習していないクレーマーは迷惑な存在なのはその通りだと思います。個人的にはもっと迷惑なのは脆弱性を突いてくるクラッカーだと思います。
ご回答・コメント頂きましてありがとうございました。
「クレームを受ける側の感覚としては、学習していない告発者ほど迷惑な存在はありません。。。」気持ちはよく分かりますが、世の中に学習していない、一般の方の方がよっぽど多いです。
Chrome なんかは HTTP を「安全でない」と表示しようとし始めています。「安全でない」と脇から見た一般の方がいることを想定して、動けないといけないと思いますけどね。
その点で、質問者様の「回避するのは利用者として当然のような気がします。」という言葉が、まさに一般の方に近い目線の言葉で、これを「受け入れない」と言ってしまうと信頼を結果的に損ねる結果になる可能性はあると考えられます。「担当者に適切な質問を投げかけるだけで、十分な回答が得られるものです。」には、大いに賛成です。ただ「十分」かどうか、個人的には懐疑的です。販売員に技術的側面をきちんと周知できているとは私には考えられません。
> その点で、質問者様の「回避するのは利用者として当然のような気がします。」という言葉が、まさに一般の方に近い目線の言葉で、これを「受け入れない」と言ってしまうと信頼を結果的に損ねる結果になる可能性はあると考えられます
回答の方には書いたんですけど、simotin さんの感じた違和感は「まだ」システムに適用するには早いけど、「もう」検討しなければいけない時期だと思います。まぁ、既存を気にしない新システムであれば、導入を検討すべきでしょうね。
> 「担当者に適切な質問を投げかけるだけで、十分な回答が得られるものです。」には、大いに賛成です。ただ「十分」かどうか、個人的には懐疑的です。販売員に技術的側面をきちんと周知できているとは私には考えられません。
販売員が誠意を持って回答する気があれば、こういった質問に関する回答はマニュアルがあるので、適切な回答が返ってきます。多くの金融機関は、システムの外注を行っている会社に対して、各種の認証を保持するための質問状を出しているので、マニュアルから外れていたとしても、質問状の範囲内であれば、それほど待ち時間なく回答を得ることが出来ます。
今回のコメントで言いたかったのは、PマークやISMSといった第三者の認証機関による調査が行われていることすら知らない状態で、セキュリティに問題があると想定してしまうことの危険性です。いわゆる風評被害の原因となる可能性があるので、適切に学習してほしいと思いコメントしました。
ここで質問することがクレームになるとは思いませんが、記述には若干思い込みが強く現れている箇所があるので、気をつけてほしいなぁ。。。って感じですかね。
>takotakot様
>te2ji様
コメント頂きましてありがとうございます。
コメントを頂いておりますので、できるだけイメージを共有させて頂きたいので、保険会社の例の前に実際に私が見た、「SSL無しのサイトの例」について触れておきたいと思います。
そのサイトは、ある会員制でコンサル業されている経営者の方が、自分の会社の会員向けのサイトをよくあるクラウドソーシングのサービスを使って開発してもらったシステムでした。
私は立場上たまたまそのサイトを見る機会がありました。(直接の利用者でも、そのサイトの開発者でもないです)
ログイン機能はありますが「http://」でインターネットアクセス可能なサイトです。(これは社内システムというよりはB2Bのシステムといった方がよいかもしれません)
知ってしまった私が多少なり、良心の呵責を覚えるような情報が流れていました。
その後アドバイスをしようとしましたが、その経営者の方は私に対して非常に上から目線で振舞われる方だったので、「そういう人なら、まぁいずれ自分でなんとかするだろう」と疎遠になりました。
時代の流れもあり、ITやWebの強みを経営に活かそうという経営者は増えてきていると思いますが、セキュリティ面のことは無知というケースは多いのではないでしょうか。
(あるいは身近にそういった点を踏まえてアドバイスをしてくれる人がいないなど)
そういう人がクラウドソーシングで安さに惹かれて「機能要件」だけを挙げてWebシステムの開発をだしたらどうなるか?という例だったんだろうなと思います。
単純にお金目当てだけであれば受注する側は「非機能要件」まであえて突っ込んで質問や提案はしないでしょうし、出来上がったものを見て経営者は「おぉ動いてる!動いてる!」と喜ぶと思います。
きちんとした会社であればVPNを使っているのは当然なので、今思うと私が質問で保険会社の例を先に上げたのは適切ではなかったように思います。
※時系列的には「非SSLサイト」(2年くらい前)→「保険会社」(1か月前)のことで、保険会社の方が直近でしたので質問のような書き方をしてしまいました。
保険会社の方の端末を見たときに真っ先に、上記のSSL無しのサイトの例が真っ先に頭に浮かび今回の質問に至ったわけですが、
「非SSLサイト」の経験がなければ、「社内システムなら、まぁさすがにVPNだろう・・・」で済んだと思います。
わたしが懸念したのは「上記のような経営者xクラウドソーシング=ざるシステム \^o^/ 」
のような事例が結構あるんじゃないかというイメージになります。
クラウドソーシングに限定する必要はありませんが、Webアプリケーション部のみの開発を依頼されたら、受け手としては、
「https:// なら証明書買うだけで簡単にできます。私はWebアプリ屋なのでそこは直接は関係ないです。それはご自身で適当に調べてやって頂く範囲です」(心の中で主張)
みたいな暗黙の解釈は成り立つと思います。
普通のシステム開発の会社であればその辺も踏まえてヒアリング・提案の場があると思いますが、クラウドソーシングのような形で打ち合わせが少なかったりするとさもありなんという気がします。
te2ji様はこういったセキュリティ面にお詳しい方かと思いますが、私の回答に疑問を感じられていたのは、恐らく上記のようなイメージとte2ji様が普段関わられている(しっかりと構築されているような)システムのイメージとのギャップもあってのことかと思いました。
また私自身も、金融系のシステムには関わったことがありませんので、業界的に認証機関や規格などできっちりしているという知識はありませんでした。
ISMS・PCIDSSについてはは知りませんでしたのでこの機会に勉強致します。
ちなみに、Pマークに関しては、以前勤めていた会社では取得しておりましたので多少の知識はあります。
社内でのセキュリティ研修やクリアデスク・離席時の画面ロック等、その会社では細かく指導されていたので有意義な面は多かったと思います。
ただし、監査は割と緩かったように覚えています。(担当の方は見えないところで苦労されていたと思いますが)
実際、その会社でもセキュリティ事故が起きていたので、第三者の認証機関の審査を受けていれば絶対安心とは言い切れないのかなというのが私の考えです。
※無いよりは絶対にあった方がいいとは思いますが。
ソフトではないのですが、現実には、安全とされている原子力関係の施設ですら事故が起きて、ふたを開けてみると原因が人為的な理由だったりするようなので、
https://ja.wikipedia.org/wiki/%E6%9D%B1%E6%B5%B7%E6%9D%91JCO%E8%87%A8%E7%95%8C%E4%BA%8B%E6%95%85#.E4.BA.8B.E6.95.85.E5.8E.9F.E5.9B.A0
https://ja.wikipedia.org/wiki/%E7%A6%8F%E5%B3%B6%E7%AC%AC%E4%B8%80%E5%8E%9F%E5%AD%90%E5%8A%9B%E7%99%BA%E9%9B%BB%E6%89%80%E4%BA%8B%E6%95%85#.E4.BA.8B.E6.95.85.E3.81.AE.E6.A0.B9.E6.9C.AC.E5.8E.9F.E5.9B.A0
そういうことを踏まえた上で、ソフトに限らず何事も、
「大手だから信用する」
「国が認めているから信用する」
「認証機関の審査を受けているから信用する」
「みんなが大丈夫と言っているから信用する」
というのはちょっと違うかなと感じながらいつも生活しています。(もちろん認証やよい評判はあった方がいいと思います)
では、
「信頼に値する根拠は何か?」
を考えるときにインターネットであればとりあえずは「https://」「SSL」なのかなというのが私の頭にありました。
(実際は下回りがVPNであったとしても、私の場合どうも自分の目で見えるものを信じたくなりますので)
ブラウザに「https://」「保護された通信」って出てればそれでいいのか?って言われると更に考えてしまいますが・・・
といいつつ、なんでもかんでも疑って、頑固じじいのようなことを言っていては生きていけませんし、誤解してしまうこともあると思いますので、「まずは現実的な解決策を知る」というのは大切だと皆さんのご回答やコメントを拝見して感じました。
※takotakot様のコメント頂いたChromeの例も、なんでもかんでもというわけではなく、慎重に進められているようですね。
「担当者に適切な質問を投げかけるだけで、十分な回答が得られるものです。」というアドバイスや具体的な名称や機関名、仕組み等を教えて頂き、ありがとうございました。
なお、重ねて記載しておきますが、今回の質問の意図はクレームを上げることではありません。どう行動すべきかを知りたくて質問させて頂いたというところです。
ご回答・コメント頂きましてありがとうございます。
0
すでに答えは出ていますが、私も社内ネットワークを構築しているものとして一言。
社内ネットワークを外部から接続する場合、私はVPNを採用しています。理由はいくつかありますが、最大の理由は「VPNを貼るだけで社内のシステムへの接続を担保できる」です。
では外部から使う場合、「http」で接続していて不安になるならいくつかチェック項目があります。
Windowsの場合しかなく申し訳ないのですが、時計の横のアイコンでネットワーク接続アイコンが複数あればそれはネットワークに仮想ネットワークを重ねている「VPN接続」をしています。シスコなどはルータに専用のVPNソフトがあり、そのアイコンも出ています。
Android接続の場合は、これも上のアイコンのところに「カギ」マークが出ます。(iphoneは手元にないのでわかりません)
https に目が行くのであればこの2点も確認すれば精神安定上、よろしいかと思います。
なんにせよ、無意識化で「安全」が確保できるように作っていかないと利用者は「めんどう」といって利用を避けます。安全確保を実施している教育は必要ですが、実際の現場では「つながればよい」です。
社員とはいえ利用しやすい工夫を構築者の皆さんはされていると思います。そうなると外部の人は更にわかりにくいものとなってしまいますが。。。。
安全ステッカーでも貼ればよいかもしれませんね。
投稿2017/05/11 00:45
総合スコア42
「ISMS認証」や「プライバシーマーク」が安全ステッカーなので、それをみて判断するのがイイと思うんですけど、思ったより参考にしている人は少ないんですかね^^;
ちなみにですが、最も安全に接続されたモバイルは、VPN接続ではないため、鍵マークもVPN接続アイコンも出ません。相手が金融系だとあまりそこで判断してほしくないです。
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
退会済みユーザー
2017/05/01 01:12
2017/05/01 02:59
退会済みユーザー
2017/05/01 04:59 編集
2017/05/09 11:50
2017/05/10 14:35