先日、保険に入ろうと思っていつもお世話になっている保険会社の方に連絡を入れ資料説明等を受けていたのですが、その会社の顧客管理・営業用システムがWebを使ったシステムで、営業マンの方は、私が加入している保険や個人情報などをタブレット端末で確認しながら説明をして下さっていたのですが、ブラウザのurlがhttp://... になっていました。
インターネットには、小型のポケットルータを使って接続しているようでした。
この保険会社に関わらず、これまでにも社内システムをSSL無しで構築されているのをなんどか見たことがあり、その度に見なかったことにして「あっ、察し・・・」ということでそっと離れていくか、話の分かってもらえそうな人であれば「ちゃんとした方がいいと思いますよ」的なことをお伝えしてきたのですが、今回の場合、既に自分がその会社の保険に加入しており簡単にそっと離れていくということもできず、SSLに対応していないことについてどう伝えればよいのか困ってしまいました。
B2Cで公開されているようなサービスでSSL対応していないサービスを目にすることはまずありませんが、このようなインターネットを使う社内システムでSSLに対応していないサービスというのは世の中にたくさんありそうな気がしてぞっとしています。
現にこの保険会社も名前を出せば多くの方が知っている会社だと思います。
私の疑問点として以下の2点です。
1.そもそもインターネットを使う社内システムはSSL対応しなくても問題ないのでしょうか?
私の答えは「No,問題あり!」なのですが、日本の企業ではかなり多くの会社が社内システムをSSL化していないような気がしてきてむしろ自分の考えが間違っているんじゃないかと思えてきました。(個人情報とか別にSSL化しなくても対して問題ないんじゃないかという気さえしてきました)
私の認識ではSSLへの対応の有無は、その会社の経営の根幹にかかわる重要な問題だと思いますが、そこまで深刻に考えるようなことでもないのでしょうか。
2.1の答えが「No」であればこういった企業のSSL対応への指摘・要望はどのように進めるべきでしょうか?
こういう場合、一般的にはどのような流れで企業への要望を出すのが正しい姿なのでしょうか。
皆が気づいた時点で実名をあげたり、URLをネットにさらすというのも1つの手段だと思いますが、ちょっと乱暴ですし攻撃者を生む可能性もあるのでこれは方法として少し違うかなと思いました。
制度的な面に関しては、現状では法律などで「○○を扱う場合はSSL対応必須」というような規定はないと思います。
B2C等の一般的なWebサービスであれば外からもわかりますが、社内システムに関しては外部から伺い知ることのできない情報ですのでその会社の方針にゆだねられることになります。
指摘・要望に対する反応も企業によって様々なような気がしますが、同じような経験をされた方がもしいらっしゃいましたらぜひご意見を頂ければと思います。
-
気になる質問をクリップする
クリップした質問は、後からいつでもマイページで確認できます。
またクリップした質問に回答があった際、通知やメールを受け取ることができます。
クリップを取り消します
-
良い質問の評価を上げる
以下のような質問は評価を上げましょう
- 質問内容が明確
- 自分も答えを知りたい
- 質問者以外のユーザにも役立つ
評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。
質問の評価を上げたことを取り消します
-
評価を下げられる数の上限に達しました
評価を下げることができません
- 1日5回まで評価を下げられます
- 1日に1ユーザに対して2回まで評価を下げられます
質問の評価を下げる
teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。
- プログラミングに関係のない質問
- やってほしいことだけを記載した丸投げの質問
- 問題・課題が含まれていない質問
- 意図的に内容が抹消された質問
- 広告と受け取られるような投稿
評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。
質問の評価を下げたことを取り消します
この機能は開放されていません
評価を下げる条件を満たしてません
質問の評価を下げる機能の利用条件
この機能を利用するためには、以下の事項を行う必要があります。
- 質問回答など一定の行動
-
メールアドレスの認証
メールアドレスの認証
-
質問評価に関するヘルプページの閲覧
質問評価に関するヘルプページの閲覧
checkベストアンサー
+23
1.そもそもインターネットを使う社内システムはSSL対応しなくても問題ないのでしょうか?
この問いにストレートに答えようとすれば問題がないとは言えませんね。ですが何もしていないとは思いません。
HTTP通信のSSL対応しなくても良い方法を使っていると思います。
名前を出せば多くの人が知っている保険会社であれば、閉塞網(セキュアモバイル網)程度は使っているでしょう。
端末紛失の恐れもあるでしょうから、BitLocker等でのストレージ暗号化もかけていると思います。
セキュアBizクライアント等も導入して使用後の端末内データ削除もしているのではないでしょうか。
個人情報をSSL対応しなくても良いといのではという発想は、もう少し考えを巡らせると気づきがあると思います。
SSL通信を行うことで何が行われ、誰が何を守っているのか。SSLによってそれが守れるものか辺り。
発想されたことはとても大事な気づきです。私もそう思った時期がありました。
個人情報を扱う者やエンジニアとしてはさらに踏み込んで問題の本質に迫る必要があると思います。
2.1の答えが「No」であればこういった企業のSSL対応への指摘・要望はどのように進めるべきでしょうか?
一般的には、問い合わせ窓口に指摘・要望をするのが良いと思いますが、効果はないでしょう。
これには先の問題の本質も関わってきます。
その企業が信用ならないのであれば、使わない(=契約しない)ことですね。
「それはできない」という事情がおありのようですが、こんな厳しい見方もできます。
「リスクを知りながらも回避することを避け、リスクの担保は企業や社会的制度がすべきと考えている。」
自発的にリスクを避けることが肝要です。
指摘・要望を伝え企業に対応を促す現実的な方法は「解決方法をソリューションにして売り込む」ことです。
その企業がSSL対応をしていないのは、「必要ない」か「事情があってできない」と思っているかなので、
リスクを示し課題を解決できるように、気づいたあなた自身が企業のパートナーとして動くのです。
投稿
-
回答の評価を上げる
以下のような回答は評価を上げましょう
- 正しい回答
- わかりやすい回答
- ためになる回答
評価が高い回答ほどページの上位に表示されます。
-
回答の評価を下げる
下記のような回答は推奨されていません。
- 間違っている回答
- 質問の回答になっていない投稿
- スパムや攻撃的な表現を用いた投稿
評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。
+12
ご担当者に「そのシステムは PCIDSS を考慮したものですか?」と尋ねて下さい。
「PCIDSS」 は、本来カード会社のための基準ですが、国内金融業界では標準的な基準として考慮されています。安全なネットワークの構築と維持が要件として定義されるので、肯定であれば、何らかの仕組みで simotin さんの心配している状況は回避されています。
実際の仕組みとしては、すでに回答された方がいますが、閉域網サービスを使用しているのだと思います。キャリア網+専用線(または類似サービス)の形で提供され、イメージとしては一昔前のRASのようなものです。その為、インターネット上を素のデータが流れることはありません。モバイルルータを使用しているということなので、若干の隙間はありますが、それも真っ先に考慮されるべき項目なので対処されていると思います。
問題は外資系の保険会社と保険代理店の場合です。こちらはどのようなシステムが動いていても不思議ではありません。システムを個人なり代理店が勝手に作っている可能性があります。その場合、大元の保険会社にクレームを上げても意味が無いので、まずご担当にクレームをあげると良いと思います。
現実問題として、きちんとした対応さえできていれば HTTPS である必要性はないと思われますが、HTTPS 化はユーザの信頼根拠の側面もあるので、これからは、外部の方が目にするシステムには、HTTPSを採用することが必要かもしれないですね。
投稿
-
回答の評価を上げる
以下のような回答は評価を上げましょう
- 正しい回答
- わかりやすい回答
- ためになる回答
評価が高い回答ほどページの上位に表示されます。
-
回答の評価を下げる
下記のような回答は推奨されていません。
- 間違っている回答
- 質問の回答になっていない投稿
- スパムや攻撃的な表現を用いた投稿
評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。
+7
パブリックに立てたHTTPサーバではなく、社内VPN上にあるサーバへ接続するのであれば、さらにHTTPSをかけるのは煩雑になるだけで、あまりメリットはないかもしれません。
投稿
-
回答の評価を上げる
以下のような回答は評価を上げましょう
- 正しい回答
- わかりやすい回答
- ためになる回答
評価が高い回答ほどページの上位に表示されます。
-
回答の評価を下げる
下記のような回答は推奨されていません。
- 間違っている回答
- 質問の回答になっていない投稿
- スパムや攻撃的な表現を用いた投稿
評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。
+3
ご回答・コメント頂きました皆様ありがとうございました。
いろいろなご意見など頂けて勉強になる点が多かったです。
私の反省点として、投稿・質問の前提や意図を十分に説明できていなかったように思いますので、
今更感はあるのですが、少し記載させて頂ければと思います。
私がもやもやして、皆様に聞いてみたいと思ったのは技術的な側面というよりは、
「明らかにセキュアでない通信をしている社内システムを見つけてしまった(気付いてしまった)時に、人としてどう行動すべきか?」
という点で皆様のご意見を聞いてみたいという思いがありました。
※前提としてこのことを質問の意図として投稿時に記載していなかったのは、投稿の書き方としてよくなかったなと反省しております、申し訳ありません。
例えば、
不審者をみたら →警察
ボヤをみたら →消防
動物虐待をみたら→保健所
というように自ずと連絡先やするべき行動は決まってきますが、
明らかにセキュアでない通信をしている社内システムをみたら→ ???
というのが私のもやもやとして頭にありました。
例えばRubyの
https://www.ruby-lang.org/ja/news/2005/07/02/20050702/
security@ruby-lang.org
のような窓口的なものがあったりするんだろうか・・・
やっぱりIPAとかに相談するのが一般的なんだろうか・・・
などなど。
公開しているWebサービスやソフトの脆弱性報告にに賞金を出すIT系企業は増えてきていると思いますが、
インターネットを利用する社内システムは、完全にオープンなサービスというよりはいわば「セミオープン」なシステムなので盲点になりそうで怖いなというのが私の印象です。
「閉域網・VPN」という点で見れば「(HTTPだから)セキュアでない」と一概に判断はできないのは当然ですが、社内システムに対して「閉域網・VPN」を使っているというということを調べることは難しいように思います。
いわば白か黒かがはっきりしない状態になるかと思いますが、経験として明らかに黒のシステムを見たことがありましたので私の頭の中にはそういった前提がありました。
そういう意味では、質問の内容として1と2の質問を書かせて頂きましたが、2の方が私が皆様に意見を伺いたかった点になります。
Hiroshi-Aoki様が2についてもご回答くださっておりましたので、ベストアンサーとさせて頂き解決済みとさせて頂きました。
皆様からのご回答を元に自分でももう一度考えてみたのですが、外部から白か黒かが分からないのであればこの問いに対する明確な答えというのは無いような気がしました。
個人的には、危険そうなサービスや会社には近寄らないという行動をとる以外に選択肢はないように思いました。あるいは企業の側が(社内システムを含めて)「ちゃんとセキュアなシステムを構築してますよ」ということをアピールできたり、認証するような仕組みなどが必要な気がしますが、そんなことが現実的なのか、そもそも必要なのかどうかよく分かりません。
ご回答・コメント頂きました皆様、どうもありがとうございました。
投稿
-
回答の評価を上げる
以下のような回答は評価を上げましょう
- 正しい回答
- わかりやすい回答
- ためになる回答
評価が高い回答ほどページの上位に表示されます。
-
回答の評価を下げる
下記のような回答は推奨されていません。
- 間違っている回答
- 質問の回答になっていない投稿
- スパムや攻撃的な表現を用いた投稿
評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。
+1
すでに答えは出ていますが、私も社内ネットワークを構築しているものとして一言。
社内ネットワークを外部から接続する場合、私はVPNを採用しています。理由はいくつかありますが、最大の理由は「VPNを貼るだけで社内のシステムへの接続を担保できる」です。
では外部から使う場合、「http」で接続していて不安になるならいくつかチェック項目があります。
Windowsの場合しかなく申し訳ないのですが、時計の横のアイコンでネットワーク接続アイコンが複数あればそれはネットワークに仮想ネットワークを重ねている「VPN接続」をしています。シスコなどはルータに専用のVPNソフトがあり、そのアイコンも出ています。
Android接続の場合は、これも上のアイコンのところに「カギ」マークが出ます。(iphoneは手元にないのでわかりません)
https に目が行くのであればこの2点も確認すれば精神安定上、よろしいかと思います。
なんにせよ、無意識化で「安全」が確保できるように作っていかないと利用者は「めんどう」といって利用を避けます。安全確保を実施している教育は必要ですが、実際の現場では「つながればよい」です。
社員とはいえ利用しやすい工夫を構築者の皆さんはされていると思います。そうなると外部の人は更にわかりにくいものとなってしまいますが。。。。
安全ステッカーでも貼ればよいかもしれませんね。
投稿
-
回答の評価を上げる
以下のような回答は評価を上げましょう
- 正しい回答
- わかりやすい回答
- ためになる回答
評価が高い回答ほどページの上位に表示されます。
-
回答の評価を下げる
下記のような回答は推奨されていません。
- 間違っている回答
- 質問の回答になっていない投稿
- スパムや攻撃的な表現を用いた投稿
評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。
15分調べてもわからないことは、teratailで質問しよう!
- ただいまの回答率 89.97%
- 質問をまとめることで、思考を整理して素早く解決
- テンプレート機能で、簡単に質問をまとめられる
2017/05/01 10:12
閉塞網のことは知りませんでしたので勉強になりました。ありがとうございます、同時に少し安心しました。
また解決方法についてもご提案頂き有難うございます。
「解決方法をソリューションにして売り込む」というのは考えもしませんでしたが、誰かがサポートしてあげないといけない問題であることには変わりないかもしれません。
解決案とはことなりますが、ご回答の閉塞網のことを知ってから思ったのですが、
この通信が「安全かどうか」が端的に分かるような仕組みや機能があっても良いのではないのかなとおもいました。
現状だと、ブラウザのアドレスバーの
HTTP =非安全
HTTPS=安全
くらいしか見た目からは判断がつかない気がします。※あとはVPNソフトの動作有無暗いでしょうか。
今回の例以外ですと、スマホのアプリなどはアドレスバーの表示はないのでどのようなプロトコルで通信しているのかはパケットを除いてみないと分かりません。
「まぁ、さすがにSSL」使っているだろうなと勝手な思い込みの上でアプリを使ったりしているのでとてももやもやした気になるときがあります。
ご回答・ご提案ありがとうございました。
2017/05/01 11:59
> HTTP =非安全
> HTTPS=安全
> くらいしか見た目からは判断がつかない気がします
本当にそうでしょうか。URLのホスト名部分はご覧になりませんでしたか?
.com や .jp のような一般的なドメインでない社内ホスト名ではなかったでしょうか。そうであれば、閉域網(VPN含む)だけ経由した通信であることがすぐに読み取れます。
ちなみに閉域網むけサービスでも.comや.jpホスト名を使う場合もあるので、.comや.jpだったからといってインターネット経由であるとは限りません。
2017/05/01 13:39 編集
URLとドメインは気にしておりませんでした。今回の疑問の前提として、その時点で閉塞網のことを知らなかったというのと、見た限りでVPNは使ってなさそうというのもありましたので。
皆さんからの回答を踏まえてみますと、HTTPかHTTPSかどうかを元にパッと見では、セキュアかどうかを判断できないということになるかと思います。
「閉塞網・VPN」であるかどうかは聞いてみないと分からないことですし、営業の方がそこまで把握していないケースもあると思います。
そのような場合に、やはり今回の私のように
「あれ、これ大丈夫なのかな?」
と疑問を持たれることもあるのではと皆様のご回答を拝見していて思いました。
社内システムに関することですので、基本的に企業がその疑問に回答したりする必要は無いと思いますが、一方で疑問に対してクリアにならなかった場合に、
「この会社、なんか怖いからやめとこうかな・・・」
と判断されると、企業にとってもデメリットな気がします。
「閉塞網・VPN」によってセキュアな通信を確保していたとしても、そのことを説明できない場合にある種の風評被害的なものを被る可能性があるのではと思いました。
(こういったセキュリティに関してはワーストケースをイメージして行動する方がリスクが少ないと思いますので)
もちろん、そんなことを気にする人は恐らく無視してよいくらい少数派ですし、私も実生活ではあまり気にしないで契約などすると思います。
私の場合、この保険会社の例の前に、実際に「閉塞網・VPN」でもないHTTP通信のシステム(個人情報やお金に関する情報を扱うシステム)をみたことがあったのでかなり疑いの目でこういったシステムを見ておりました。
結局のところ、安全なのか安全でないかはパケットの中をのぞいり、経路をみてみないと分からないような気がします。
2017/05/09 20:50
「一般的なドメインでない社内ホスト名」も、hosts に書いただけであるかもしれませんし、独自の DNSサーバを見ているだけかもしれませんから、判断の根拠としては足りません。
2017/05/10 23:35
セキュリティに対するすべての議論には、必ず費用対効果の考察が必要です。