低レベル

勤務先で、ある目的のために他社が提供するWebアプリケーション(サービス)を利用することになったらしい。「らしい」というのは自分が決定等に係わっていないからこういう表現になるだけで「決定事項」である。

サービスの利用にあたり、全社員にシステムにログインして仮パスワードの変更、必要な情報の登録をしなさいという連絡があった。面倒だなと思いつつ仮パスワードでログインしたところ、暗号化されている気配がまったくない。個人情報にあたる情報も入力しろということになってるのにヘンじゃね?と思いちょいと調べたところ、

・ログイン時にSSL通信を強制しない(パスワード意味なし)
セッションハイジャック余裕

ということがあっさり判明した。


「いやいやいや、これはないでしょ?」うちもIT企業なんだから各所から苦情が殺到中か?と思いつつ担当者に連絡したところ、なんだか返答がはっきりしない。結局、

・選定・導入したのはエライ人達の集まり
・試用やチェックなしで(おそらく)安さだけでサービスを選定した
・私を含め数名しか同様の指摘をしていない
・(おそらく)今更ミスを認めたくない
・でもISMSとかの都合上、指摘を無視できない

ということのようだ。

この上で言いたいことは、

・たいしたサービスじゃないんだから自社で作ろうよ
・うちの社員、セキュリティ意識ないの?なんで気付かないの?
・なんで指摘した人の名前が社内に出回ってるの?しかもみんな「面倒ごと起こしやがって」みたいな顔して話しかけてくるし。

どうも「そんなことだまってりゃいいのに」ということのようだ。わかっちゃいたけど、勤務先の「体質」を再認識した。


やさしいインターネットセキュリティ (I・O BOOKS)

やさしいインターネットセキュリティ (I・O BOOKS)