花のある生活

花はあまり出てきませんが。

セキュリティー対策まとめ3

2019-04-19 | ネットセキュリティ対策
確かに、「個人情報を外部には漏らしていない」のかもしれないが「企業の個人情報の扱い方」としては、かなり問題。

「他人(利用者)のプライバシー」は従業員の娯楽じゃないんだし。(場合によってはストーカーになるかもしれないし)



アマゾン『Alexa』に盗聴問題。 録音した会話を顧客情報と紐づけ&面白い内容は従業員と共有とヤバイ

通信の秘密とは? 保護対象や違反した場合の罰則、注意点について徹底解説

セキュリティー対策まとめ2

2019-03-04 | ネットセキュリティ対策
一般的に「セキュリティー対策」と言えば、大体はセキュリティーソフトを使うなど、ですよね。

しかし、セキュリティー対策を講じるのも、なかなか一筋縄ではいかないようです。


キーボードに入力しただけで個人情報が盗まれる「キーロガー」とは?

ブラウザ・ハイジャッカー

ブラウザ・クラッシャー

出口対策という言葉をよく耳にします。通常のセキュリティー対策とはどう違うのでしょうか?

セキュリティー対策まとめ1

2019-02-25 | ネットセキュリティ対策
外側からのセキュリティー対策が重要なのは言うまでもないが、内側からのセキュリティー対策をどう考えるのかも重要ですよね。

しかし、これらの問題を考えるのは、いわば「身内を疑う」ことになるので、なかなか目を向けにくいのかもしれませんが…。

環境犯罪学および社会心理学から内部不正をどのように考えるか

組織の内部不正防止への取り組み

特権IDの適切な管理方法について

パスワードの定期変更が「セキュリティ的には危険」って本当!?

2017-12-08 | ネットセキュリティ対策
ネットのセキュリティを高める方法として、「パスワードの定期変更」がよく言われていますよね。

色んなサイトでも、よく「パスワードの変更をお願いいたします」と書かれていますし。


しかし、この「パスワードの定期変更」が、逆に「セキュリティを危険にさらしている」としたら、いったいどうすればいいのでしょう?

パスワードの定期変更がセキュリティ対策として危険であることにGoogleとIPAは気づいている


パスワードの認証を高める要件として、


1.コールバックによる本人確認

2.ワンタイムパスワードなど、使い捨ての認証

3.認証および、手段の秘匿


1は、ツイッターのログインでも、IDとパスワードを入れると、登録した電話番号に来たログインコードを入力してログインを認証するものがあります。

2段階でログインするもので、まあ、面倒くさいといえば、面倒くさいですね。


2は、「ワンタイムパスワード」を使用するもの。 使用するサイトの数が少ないのが現状。


3こそが、今回の話の注目すべきところ。

「定期的なパスワード変更は、認証プロセスの秘匿を脅かす」


パスワードを変更するときって、

1.変更前のパスワードを入力

2.変更後のパスワードを入力

3.もう一度、変更後のパスワードを入力

というパターンが多いですね。


パスワードの定期変更は、3ヶ月ごとに行うことが推奨されていますので(警察でもそう聞きましたし)、3ヶ月ごとに行うこととしましょう。

そうすると、どうなるか?


「パスワードの生成パターン」は、人によってそれぞれでしょうが、この「パスワード生成パターン」の変更履歴から、ある程度、「パスワード生成パターン」が推測できてしまうのです。

要するに、自分でパスワードを言いふらしているのと、ほぼ同じことになる、ということ。


それに、毎回すべてのサイトで、違うパスワードを設定するのも、かなり手間がかかります。

全部に違うパスワード考えているだけで、頭痛くなるくらいです。


さらには、何かの情報を確認しようとすると、大体、「パスワード認証」を求められますから、「パスワード認証」の回数が増えます。

「パスワードの入力」の機会が増えるだけでも、パスワードの漏洩が起こりやすくなります。


むやみに「パスワード認証」を増やすべきではない、というのもありますが、外でネットを使う場合、誰かにパスワード入力画面を見られる可能性があるから、ということです。



そこで、なぜ「サービス提供側」が、このような注意喚起をしているのか、というと、「サービス提供側のセキュリティ」を高めるためです。

要するに、「利用者の安全のために注意喚起しているわけではない」ということ。


「サービス提供側」が、セキュリティ対策を高めるためには、


1.リスク低減

2.リスク回避

3.リスク保有

4.リスク移転


これら4つの方法があります。


「利用者側の落ち度」で、パスワードが漏洩した場合は、「サービス提供側の落ち度」ではないので、不正に利用されたとしても、サービス提供側に責任はありません

しかし、「サービス提供側の落ち度」で、パスワードが漏洩した場合は、「サービス提供側の管理責任」が問われます。


サービス提供側は、「パスワードの定期変更」を注意喚起することで、「パスワード管理」を怠っていないことを示すためなのであり、仮に「サービス提供側の落ち度」だったとしても、利用者側が、注意喚起を聞き入れなかったことに対する免責を示すために、このような文面を掲示しているわけです。


もちろん、例外的にパスワードを変えたほうがいい時もありますし、だからと言って、利用者側が、セキュリティに無頓着でいいわけでもありません


世の中には、こういうこと、たくさんありますよね。

「なぜ、これをするのか?」を考えると、意外な視点が見えてくるのかもしれません。


追伸

ところで、これはあくまでも「外部から侵入される場合の話」で、実際には「システムを管理する人間も、利用者のID ・ パスワードを見ようと思えば見ることができる」はず。

一般社会の中では「システムを管理する人間は悪いことをしない」と、絶対的に信用されているけど、どうなのでしょうか?

それだけ「倫理観が高い人」ばかりなら、問題はないだろうけど「そうじゃなかった場合」は、どうなるんですかね?

プロフィール

プロフィール画像
自己紹介
このブログは自分が面白いと思ったことや、個人的な関心事を書いているものです。

心理学は入り口のようなものです。
リンクは記事を書くための参考で、おススメではありません。


  • RSS2.0