アカウント名:
パスワード:
ウインドウズ、エクセル、パワポ、メーラー、edge、圧縮解凍。ほとんどがこの6種類で完結する。
OSやオフィスにOSS採用するのは互換性や操作性でハードル高いし、メーラーはあえて選ぶ必要もない。ブラウザ、圧縮解凍は標準ソフトで十分。OSSの入り込む余地がない。
#自分の使いたいソフト勝手にいれてもいいよっていうなら色々入れちゃうけど
圧縮解凍は標準ソフトで十分
十分ではない。まともなセキュリティポリシーの企業ならば、ZipCryptoはあまりにも脆弱なので、7-Zip (オープンソース) といったアーカイバは必須。(有料の WinRAR とかでもいいけど)
暗号化せずに添付するだけで良い?
それだと、・end-to-end暗号ではないのでメールサーバー間がTLS通信でもメールサーバー管理者が盗み見たりすることができる。・宛先を間違えて送信すると情報が漏洩する。・第三者が成りすまして送った添付ファイルを検知できない(暗号化アーカイブならば正しい暗号鍵で復号できなくなるのでなりすましを検知できる」)。
と問題ありまくり。
暗号化するとゲートウェイでウイルススキャンできないとか言い出す人もいるが、ゲートウェイでスキャンするという発想自体が今時誤り。もし、そうならば、HTTPSに関しても同じポリシーでスキャンしているの? HTTPSもMITMで一回復号・再暗号化して各クライアントに独自のルート証明書インストールしてる?
途中でみられるというならPGPなどにしないと。メール本文保護しないでいいのかと。
PGP使えよ
ゲートウェイで(も)スキャンするという発想は正しいですよ。多層防御が主流ですから、エンドでもミドルでもどこでもスキャンして確認するものです。セキュリティは業務と綱引きで、かつ費用対効果のバランスを考えていくものですよ。
で、今時誤りって、どうしてそんなに自信たっぷりなんでしょうか?なんか根拠とかあるんですか?
もっと具体的に危険性を書くと、ゲートウェイでHTTPSをスキャンするために各クライアントPCに独自ルート証明書を入れてた場合、ゲートウェイがたった1台乗っ取られると、ソフトウェアの自動アップデートの通信を乗っ取り、全クライアントにマルウェアをインストールさせられてしまいます。
なぜ、ゲートウェイでのスキャンか、エンドポイントのスキャンか二者択一なんでしょうか。
どの世界に生きているのかわかりませんが、ある程度の規模の企業であれば、ゲートウェイでもスキャン、エンドポイントでもスキャンが一般的です。
暗号化ファイル添付は禁止の流れだよ。
メールによるパスワード付きファイルの受信禁止広がる。マルウェア拡散防止で> 政府機関や企業などでパスワード付きzipファイル廃止の動きが広がっているようだ。https://security.srad.jp/story/20/11/19/1655254/ [security.srad.jp]
#クライアント側(ユーザー)は信用するな。ユーザー任せにしたらヤラレル
まず物事は変化するものですから、従業員は教育して添付ファイルの暗号化は禁止しましょう。事実うちはそうしてます。
次に、HTTPS通信をスキャンする必要性はメールの添付ファイルのスキャンに比べればやや優先度が下がります。書いてある証明書の問題点もありますし、そもそも送りつけられる添付ファイルと自分でダウンロードするものは別物ですから、総合的に見てMITMの手法を取るほどでない場合もあるでしょう。ただプロキシやブラウザ、メーラーのURLスキャン機能も併用しますし、無名なオンラインストレージは禁止します。それで防げなければエンドのEDRやアンチウイルス、が壁になることになります。
どうもゼロイチ志向が強いみたいですね。本当にセキュリティやってるんですか?
まともなセキュリティポリシーの企業とやらは今どき暗号化ファイルなんぞ使わんだろ?圧縮解凍はあくまでアーカイバ・コンテナとして使うのであって、それに暗号化という発送を関連付けるのがもはや間違いの始まりだ暗号化してメール添付なんていわんやをやPPAPしてる?
今どきインスペクトしてないAVあるの?なんか証明書がおかしいなと思ったらMITMされてたわw
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり
OSSの入り込む余地がない (スコア:0)
ウインドウズ、エクセル、パワポ、メーラー、edge、圧縮解凍。
ほとんどがこの6種類で完結する。
OSやオフィスにOSS採用するのは互換性や操作性でハードル高いし、メーラーはあえて選ぶ必要もない。ブラウザ、圧縮解凍は標準ソフトで十分。
OSSの入り込む余地がない。
#自分の使いたいソフト勝手にいれてもいいよっていうなら色々入れちゃうけど
まともなセキュリティポリシーなら 7-Zip は要るだろ (スコア:-1)
圧縮解凍は標準ソフトで十分
十分ではない。
まともなセキュリティポリシーの企業ならば、ZipCryptoはあまりにも脆弱なので、7-Zip (オープンソース) といったアーカイバは必須。
(有料の WinRAR とかでもいいけど)
暗号化せずに添付するだけで良い?
それだと、
・end-to-end暗号ではないのでメールサーバー間がTLS通信でもメールサーバー管理者が盗み見たりすることができる。
・宛先を間違えて送信すると情報が漏洩する。
・第三者が成りすまして送った添付ファイルを検知できない(暗号化アーカイブならば正しい暗号鍵で復号できなくなるのでなりすましを検知できる」)。
と問題ありまくり。
暗号化するとゲートウェイでウイルススキャンできないとか言い出す人もいるが、ゲートウェイでスキャンするという発想自体が今時誤り。
もし、そうならば、HTTPSに関しても同じポリシーでスキャンしているの? HTTPSもMITMで一回復号・再暗号化して各クライアントに独自のルート証明書インストールしてる?
Re:まともなセキュリティポリシーなら 7-Zip は要るだろ (スコア:1)
途中でみられるというならPGPなどにしないと。メール本文保護しないでいいのかと。
Re: (スコア:0)
PGP使えよ
Re: (スコア:0)
ゲートウェイで(も)スキャンするという発想は正しいですよ。
多層防御が主流ですから、エンドでもミドルでもどこでもスキャンして確認するものです。
セキュリティは業務と綱引きで、かつ費用対効果のバランスを考えていくものですよ。
で、今時誤りって、どうしてそんなに自信たっぷりなんでしょうか?
なんか根拠とかあるんですか?
Re: (スコア:0)
もっと具体的に危険性を書くと、ゲートウェイでHTTPSをスキャンするために各クライアントPCに独自ルート証明書を入れてた場合、
ゲートウェイがたった1台乗っ取られると、ソフトウェアの自動アップデートの通信を乗っ取り、全クライアントにマルウェアをインストールさせられてしまいます。
Re: (スコア:0)
なぜ、ゲートウェイでのスキャンか、エンドポイントのスキャンか二者択一なんでしょうか。
どの世界に生きているのかわかりませんが、ある程度の規模の企業であれば、
ゲートウェイでもスキャン、エンドポイントでもスキャンが一般的です。
Re: (スコア:0)
暗号化ファイル添付は禁止の流れだよ。
メールによるパスワード付きファイルの受信禁止広がる。マルウェア拡散防止で
> 政府機関や企業などでパスワード付きzipファイル廃止の動きが広がっているようだ。
https://security.srad.jp/story/20/11/19/1655254/ [security.srad.jp]
#クライアント側(ユーザー)は信用するな。ユーザー任せにしたらヤラレル
Re: (スコア:0)
まず物事は変化するものですから、従業員は教育して添付ファイルの暗号化は禁止しましょう。
事実うちはそうしてます。
次に、HTTPS通信をスキャンする必要性はメールの添付ファイルのスキャンに比べればやや優先度が下がります。
書いてある証明書の問題点もありますし、そもそも送りつけられる添付ファイルと自分でダウンロードするものは別物ですから、総合的に見てMITMの手法を取るほどでない場合もあるでしょう。
ただプロキシやブラウザ、メーラーのURLスキャン機能も併用しますし、無名なオンラインストレージは禁止します。
それで防げなければエンドのEDRやアンチウイルス、が壁になることになります。
どうもゼロイチ志向が強いみたいですね。本当にセキュリティやってるんですか?
Re: (スコア:0)
まともなセキュリティポリシーの企業とやらは今どき暗号化ファイルなんぞ使わんだろ?
圧縮解凍はあくまでアーカイバ・コンテナとして使うのであって、それに暗号化という発送を関連付けるのがもはや間違いの始まりだ
暗号化してメール添付なんていわんやをや
PPAPしてる?
Re: (スコア:0)
今どきインスペクトしてないAVあるの?
なんか証明書がおかしいなと思ったらMITMされてたわw