上原 哲太郎さんはTwitterを使っています: "怪しいメール開く方がアホだろ見たいな話が出回っているようなので、7年ほど前に私が受け取ったメールを晒しておきますね(一部隠してます)
前提としてそのメールを受け取る端末が個人情報や機密情報を扱う端末であれば、内部専用メールしか送受信しない仕組みにすべき。これは仕組みの話で運用の話ではない。事案の重さと基盤の脆弱性の話で指摘がずれてる
2015/06/03 12:28
よんだ。
例示したメールについて見抜けるか見抜けないかの議論は実は意味がありません。
今回問題になっているのは、そもそも運用・管理を行う機密情報を攻撃を受ける可能性のあるセグメントで、且つ、通常の運用で取り扱っていたという事です。
例えば、金融サービスなどでは、コールセンターの基盤はインターネット接続を直接は行っていません。
オペレータに配布されるメールアドレスも通常連絡に使うようなものは、内部専用アドレスで、外部に送信も可能ですが、外部から内部への送信は事前に承認されたアドレス(ドメイン)以外から発信されているメールはフィルタされる仕組みで、詐称したとしてもそれはフィルタされるので事実上届きません。
顧客向けのメールの場合、通常のメールソフトを使って送付するようなことはせず、原則専用のCRMツール(サービス)をもちいて管理・運用します。
よって添付ファイルを開くようなことは原則起きません。
いやいや、外部から添付ファイル受け取らないことは運用上無理だろ、なんておっしゃいますが、そういった場合は、専用の端末が準備され、一度そこでフィルタされてから内部イントラへ移す仕組みになっています。
少なくとも私が関わっていた貸金や証券の基盤での仕組みはそうなっていました。
ちなみに、コールセンターのオペレータは業務開始前に専用のロッカーに携帯電話や私物は預けるため、原則センター内に私物の持ち込みは行えません。
業務上必要となる携帯電話は専用のものが必要に応じて貸与され、ノートパソコンのような移動が用意なものは使わず、また、USB接続もシステム上制約されています。
ちなみに、私が整備の際に見学に行った先では、USBポートを物理的に封鎖しているところも普通にありました。
この辺りの対応は当然企業により異なりますが、結構金融系やそれらの業務を受託するコールセンタービジネスを運営しているところではこういった対応が多く取られています。
なお、内部のファイルサーバは存在しますが、顧客情報の保存は制限が行われており、例えば、氏名や住所などが紐づくものは所定の手続きを経ないと取り扱えず、この場合は、データを準備する時点で一度検査が入ります。
例えば、例外の督促状を発送する場合は、どうしてもそういった情報を一時的に取り扱いますが、その作業を事前に書類審査し、最低限のデータに絞った上で抽出します。
そして、その抽出データは当然個別の暗号化キーが設定されており、万が一ファイルが漏洩しても暗号化されている事を担保します。
システム間の移動にも専用の暗号化USBを使います。
ソフト型・ハード型あるのですが、リッチなところでは両方を組み合わせ、安価対応であればハード型で対応します。
ハード型というのは、一番安いので言えば、USB側に認証機能が仕込まれており、あらかじめ登録した端末以外ではUSBそのものが認識されないというものです。
そして、USBを指定した端末に認識させる場合も所定のパスワードが必要となり、パスワードの入力を指定回数間違った場合は、内部データが削除されるというものです。
印刷のような業務ではプリンター接続が必要なのでデータを外部出力しますが、メール配信のような場合はそもそもバックエンドで連携するので、申請手続きや依頼手続き以外に人の手を介すべきではないでしょう。
この仕組みでも万全とは言えませんが、顧客情報を取り扱うというのはこの程度のシステム的な仕組みを盛り込むべきだと思いますし、実際やっている企業も多く存在します。
といっても、最近はこういった仕組みを実は安価に構築できますから、おもっているほどコストや運営負担はないんですけどね。
(昔は秘文だのみだったり特定のソリューションでしか実現できなかったのであれですが)
さすがに年金を管理する組織としてこの程度の仕組みが導入されていなかったという事が問題で、巧妙なメールだったとかそういう話ではなく、そもそも個人情報が名前データで外部接続可能なところでやり取りされている事や、そういった端末上で外部からのメールを普通に混在させて受信している事が問題であって、それ以上でもそれ以下でもありません。
基本他人のデータを扱う商売は性悪説を前提に設計、運用するものだと考えます。
小さい証券会社や通販会社ではいまだにメールソフトでDM配布をおこなっているところも多いですし、もっと言えばエクセルに顧客データが直保存され、且つ、暗号化やパスワード設定すらされていないところも多くあります。
ただ、そういった事例が存在するからといって、年金機構のような規模の組織がそれと同等のレベルでの運用を容認するというのはちょっと違うし、議論のスタートラインがずれすぎていると思います。
当然効率は考えるべきですが、その効率を被害想定額と発生率によるパラメータで採用可否として判断するべきではないというのが私の持論ですね。