Welcome Guest 
Login
Username:

Password:


Lost Password?

Register now!
サイト内検索
Main Menu
Site Info
Webmasters

m-naka
 


Who's Online
11 user(s) are online (8 user(s) are browsing MyWorks(記事))

Members: 0
Guests: 11

more...
Themes

(2 themes)
SmartSection is developed by The SmartFactory (http://www.smartfactory.ca), a division of INBOX Solutions (http://inboxinternational.com)
MyWorks(記事) > 情報セキュリティ > 身近な情報セキュリティ事例
身近な情報セキュリティ事例
Published by M-naka on 2007/5/9 (2315 reads)
オレオレセキュリティ監査。

 ゴールデンウィーク前後に図らずも体験した、情報セキュリティ事例を載せておく。

1.田舎の無線LAN
 連休前半は長野の別荘(※)に居た。長野市の隅っこの方で、田畑が多いが住宅はそれなりに密集しているところ。で、そこにLet's note W5を持って行って無線LANをオンにしたまま電源入れたら、いきなりどこかのAPに繋がって驚いた。どうもご近所さんでWEPすら掛けておらず、しかもDHCP有効という、何とも豪快なAPを使っているお宅があるようで。速攻で無線LAN無効にして切らせて頂いたがな!
 ちなみに別荘、何故かAIR-EDGEの繋がり方が良好で驚いた。

※正確には無人状態な父親の実家(つまり父方の祖父宅)。父方は祖父母とも逝去しており、常時住んでいる者がいないのである。


2.母の勤め先の職員専用Webサイト
 医療機関のパートさんをしているウチの母(但し医療従事者ではない)。で、ここが情報共有用にWebサイトを立ち上げ、インターネットからのアクセスが可能なのであるが……。

 ・アクセス制限はHTTP認証のみ(恐らくBASIC認証)。
 ・非SSL通信、つまりHTTPアクセスのみ可能。
 ・その割には内部情報(※業務上必要な範囲での)が多い

 どうも勤め先の身内にSEをしている人がいて、その人が運営しているらしい。母の隣でさらっと見せてもらった限りでは、個人名等明らかに個人を特定できる情報が掲載されている。立場をわきまえずに言わせて貰えば作りが甘すぎる。昨今の情報漏洩騒ぎからすれば、備えがなさ過ぎると言わざるを得ないだろう。個人情報保護法でいう「個人情報取扱事業者(=個人データを5000人分以上保有)」に該当するかどうかは知りようがないが、いずれにせよ医療情報という非常にセンシティブな情報を取り扱う事業者としては自覚が足りないと断ずる他ない。

 個人的には、

 A.独自ドメインとSSL証明書を取得(※)
 B.職員用の情報共有サイト部分はSSL通信のみ許可
 C.アクセス制御をログアウトの仕組みのないHTTP認証で行うのをやめ、別の仕組みを使う
  →HTTP認証を使うなら、最低限SSL併用しないとスニッフィングでダダ漏れする。

※運営はウチ同様DynamicDNSで行っているが、DynamicDNSでも独自ドメインとSSL証明書(オレオレ証明書でない、パブリックCA発行のもの)の取得とそれを使った運営は可能である。

 このくらいは必要と考える。SSL通信のみならいわゆるオレオレ証明書(プライベートCA発行の電子証明書)だけでも足りるっちゃ足りるが、外向きにサイト公開している以上、パブリックCA発行の電子証明書を使うべきなのは言うまでもない。

 また、HTTP認証はあくまでも認証の仕組みとしては簡易と考えるべき。特にログアウトの仕組みがないのは宜しくない。認証情報が全員共通なのかある程度区分けしているのか、もしくは個人単位で発行しているのかは判らないが、扱われてる情報が情報なだけに、認証の仕組みも個人単位で、しかもきちんとログイン/ログアウトのログ情報が残る仕組みを使用すべきだろう。

 事業的には儲かっているところだそうなので、なおさらきちんと情報システム周りにお金を掛けるべきかと。

Navigate through the articles
Previous article おいおい違うだろ、な話 「示しを付ける」ということ Next article
The comments are owned by the poster. We aren't responsible for their content.
XOOPS Cube PROJECT
Powered by Mythril Networks © 2003-2022 The Mythril Networks Project