「ヒト」こそがセキュリティの最強点

no extension

今夜はリリースされたばかりの『賢者の弟子を名乗る賢者 11』でも読んでのんびり過ごそうと思っていたのだが,面白そうな話が上がっているので便乗してみる。

さすが piyolog さんは早いなぁ。

この記事を見かけたのが朝の忙しい時間帯だったこともあり,タイトルだけを見て「やらかしてら」くらいの感想しかなかったのだが,どうも「ヤマダ電機はクレカのセキュリティ・コードまで保持っていて丸ごとそれらを抜かれたらしい」という噂になっていたようだ。

が,実際にはこれはマスメディアの報道からくる誤解らしい。

例によってマスメディアの中途半端で杜撰な報道をネットメディア(Twitter 等を含む)が増幅しフェイク化するといういつもの展開なわけだが,語るのも面倒なので,こちらは無視する。

問題はヤマダ電機側がインシデントを認知してから実際にクレカ運用を止めるまでに10日かかっていること,そこから警察に届けるまで(例の10連休を挟んで)10日,そこからユーザに告知するまでに20日以上もかかっていることだ。

日時 出来事
2019年3月18日までに ヤマダウェブコム・ヤマダモールが不正アクセスを受け、ペイメントアプリケーションが改ざんされる。
カード情報流出の可能性がある対象期間
2019年4月16日 クレジットカード会社より情報流出の疑義について連絡
同日 ヤマダ電機が情報漏えいの可能性を把握。
カード情報流出の可能性がある対象期間
2019年4月26日 ヤマダウェブコム・ヤマダモールでシステムメンテナンス。カード登録を休止する措置。
同日 ヤマダ電機がP.C.F.FRONTEOへ不正アクセスの調査を依頼。
2019年5月7日 ヤマダ電機が警察へ被害相談。
2019年5月20日 P.C.F.FRONTEOによる調査が完了。
2019年5月22日 ヤマダ電機が警察へ被害届を提出。
2019年5月28日 ヤマダ電機が個人情報保護委員会へ不正アクセス被害を報告。
2019年5月29日 ヤマダ電機が不正アクセス被害とクレジットカード情報流出の可能性を発表。
via ヤマダ電機通販サイトの不正アクセスについてまとめてみた

いやいやいや。 あり得ない愚鈍さである。 今時こんなテキトーなインシデント・レスポンスをかます企業があるとは思わざりき。

上のタイムラインを見れば分かるが,情報漏洩の可能性を認知した4月16日の時点でサービスを止めユーザに告知した上で警察と調査会社との三者で事に当たれば被害(の可能性)を抑え少なくとも10連休前には解決できただろう。 しかも10連休直前にえんやらやっと調査を依頼して自分たちは10連休を楽しんだ後に警察へ通報かい? 安倍政権の中の人たち,あなた達の進める「働き方改革」は順調なようですよ(笑)

「ヒトはセキュリティの最弱点である」とはよく言われることだが,まさに今回のケースはヤマダ電機側の怠慢による「人災」だろう(もちろんクレカ情報を盗んだ犯罪者が一番悪いのは言うまでもないが)。

しかし本当は「ヒトはセキュリティの最強点になり得る」のである(「である」ではなく「なり得る」のがポイント)。 何故なら,予期しないイレギュラーが起きた時,危機的状況に見舞われた時,そういったときにこそ「ヒト」の真価が問われるからだ。

こんな15年くらい前の腐ったセキュリティ事例を目の当たりにできるとは思わなかったが,「他山の石」とでも思って今後の私達の活動に活かしていきたいものである。

参考図書

photo
セキュリティはなぜやぶられたのか
ブルース・シュナイアー
井口 耕二 (翻訳)
日経BP社 2007-02-15
Book 単行本
ASIN: 4822283100, EAN: 9784822283100
評価     

原書のタイトルが “Beyond Fear: Thinking Sensibly About Security in an Uncertain World” なのに対して日本語タイトルがどうしようもなくヘボいが中身は名著。とりあえず読んどきなはれ。ゼロ年代当時 9.11 およびその後の米国のセキュリティ政策と深く関連している内容なので,そのへんを加味して読むとよい。

reviewed by Spiegel on 2019-02-11 (powered by amazon-item 0.2.1)

photo
復活の地1
小川一水
早川書房 2012-09-15 (Release 2013-11-15)
eBooks Kindle版
ASIN: B00GJOESS6
評価     

コミカライズ版もある。てか,コミカライズ版を最初に読んだ(笑) 大きな災害がある度にこの作品を思い出す。

reviewed by Spiegel on 2016-04-17 (powered by amazon-item 0.2.1)

photo
ソーシャルシフト これからの企業にとって一番大切なこと
斉藤 徹
日本経済新聞出版社 2011-11-11 (Release 2012-10-18)
eBooks Kindle版
ASIN: B009S7CDP6
評価     

随分前に出版された本だが,企業がソーシャル・メディアと付き合うための基本的な事柄が載っている。これ読んで出直してきなはれ。ちなみに巻末の spesial thanks に私の名前が載っているのは密かな自慢である(笑)

reviewed by Spiegel on 2019-05-30 (powered by amazon-item 0.2.1)

photo
賢者の弟子を名乗る賢者 11 (GCノベルズ)
りゅうせんひろつぐ, 藤ちょこ
マイクロマガジン社 2019-05-30 (Release 2019-05-30)
eBooks Kindle版
ASIN: B07RWSCKKG
評価     

ソウルハウル編のクライマックス。今度はレイドボスだ!

reviewed by Spiegel on 2019-05-30 (powered by amazon-item 0.2.1)