それマグで!

知識はカップより、マグでゆっくり頂きます。 takuya_1stのブログ

習慣に早くから配慮した者は、 おそらく人生の実りも大きい。

通信の秘匿とJ-SOXのGmail禁止について

半年前の話をする。


「J-SOXに対応するためにGmailはだめだ」


そういう風に監査法人が言っている。ある一部上場企業の責任者から言われた。


Googleがメールの内容を閲覧しているからダメだ


という理屈だ。


はじめは何を言ってるのか全く理解できなかった。


数ヶ月たって、落ち着いて考えてみた。情報部門の責任者と俺の間で決定的な認識のズレがあると思い至る。


メールは平文なので誰にでも盗聴できる。


このことを忘れていやしないか。Googleがインデックス化しているメールの情報は、プロバイダの従業員なら閲覧可能じゃないか。プロバイダは第一種通信事業者なので通信の機密は業務を離れても秘匿の責務がある。もしプロバイダが情報を漏洩させたら厳しく罰せられる。


みられて困るような内容を通常のSMTPで外部とヤリトリとしていることが問題。第一種通信事業者以外の通信事業者のメールを使ってることが問題。見られて困る内容なら、そもそも平文でメールにすべきじゃない。


AES256ビットで暗号化し鍵がないと開封できない添付ファイルで送信するべきだ。



パスワード??


そんなものは簡単に破ることができる。総当たりなんてしなくても、もっと簡単に破られる。ショルダーハックで十分だ。


まともな人なら喫茶店や居酒屋で機密情報を喋るわけがない。メールにして送るなんてマクドで機密情報喋ってるのと同じレベルじゃないか。


メールの監査のポイントが完全におかしい。
監査法人ってマニュアル通りの対応しかできないんじゃないか。
JSOXも底が知れてるなと思った。



2008/08/01追記

GmailとGoogleCalendarがHTTPS経由で利用出来る事を確認。GoogleNDAさえ結べばGmailを職場で活用することにほぼ問題はないはず。NDA無しだとしても、機密文章をGoogleCalendarやGmailに乗せない、暗号化して乗せる事を前提にすれば情報漏洩の危険性はほぼゼロになる。それでもダメだと言い放つ情報システム部門や監査法人がいたら、何故ダメかじっくり聞いてみたい。技術的に防げるところまで防げるのだからあとは人為的ミス以外のみだ。業務フローで防げるから、Gmmailは使用出来るはずだ。人為ミス防止は監査法人がお得意の業務フローのチェックで十分精査して欲しいのですが。