私はしばらくの間、機密データを電子メールで送信することの固有のリスクについての適切な情報を得ようと努めてきました。 「IT以外のビジネスリーダーのためのITセキュリティ101」トレーニングイニシアチブの一部として使用できる外部ソースからのすべての脆弱性の包括的なリストを本当に探しています。 (私は最初にこことGoogleの両方で検索を行いました。Googleでは長い記事をどんどん取得しています。また、Google検索だけでなく、ここでも良い部分を見つけましたが、探しているような完全なリストではありません。)
その背景には、私にはビジネスの面で色々な人がいます。彼らは電子メールの使用を主張し、それが安全でないという事実を受け入れることを拒否します。
現在のジレンマでは、レポート用にSSRSを実装しており、SSRSサイトでレポートを表示することを期待しています。その理由は、私たちが扱うほとんどのレポートには何らかの形式の機密データが含まれており、これらのレポートを電子メールで送信したくないからです。当社が運営する州の規制では、PIDを姓、名のイニシャルまたは名前、およびその他の形式の識別情報(住所、SSN、口座番号、電子メールなど)として識別します。州の法律では、漏えいが500かそのようなPIDを含むレコードをさらに州に報告する必要があります。
多くのレポートにはこの定義によるPIDが含まれており、ほとんどのレポートには500をはるかに超えるレコードがあります。したがって、IMOがスニファによって拾われた、または誤って間違った人に送信された単一のレポートは、報告可能な違反です-not対処したいもの。
しかし、私たちには特定の上位レベルの管理職がいて、ルールがそれらに適用されないと考えているようです。これは主に、彼らがリスクがどれほど現実であるかを理解していないためです。 goodニュースは、私たちが彼らの考えを変えることにおいて前進しているということです。悪いニュースは、私たちが技術的になりすぎると、彼らの目が眩しくなることです。また、彼らは私たちの言葉だけを受け取りたくないのです。
私が考えることができる例:
リストが技術的すぎることにあまり心配していません-技術的な概念を説明するためにビジネスが理解するアナロジーを私たちは私たちに教えてくれます。すべてのリスクがあるリストにもっと興味があります。
類推したければ、 これを読んでください 。
脆弱性のリストについては:
メールシステム全体では、誰もが正直であり、ニースで信頼できると想定しています。それがまったく機能するのは驚くべきことです(しかし道徳的に励みになります)。
シンプルで最も深い答えは、クライアントからメールサーバーへのメールの送信とメールサーバー間のメールの送信を処理するSMTP(Simple Mail Tranfer Protocol)(POP3やIMAPなどの他のプロトコルは、今日のメールの取得に通常使用されます)が最初に設計されたことです。 ARPANETで使用します。ARPANETは、それを使用できる誰もが最初にセキュリティクリアランスを持っていたときに動作しました。そのため、SMTPは、情報セキュリティの4つの主要な側面のallで失敗します。そうすることを試みるために更新されたことがない。
SMTPにSSL/TLSセキュリティハンドシェイクを追加し、SMTPSを作成することで、旅行の最初の行程(コンピューターから "自宅"の電子メールサーバーへ)に機密性が提供されます。それで全部です;旅行の他の区間に沿って機密性を適用することはできません。InfoSecの他の3つの側面は影響を受けません。
機密情報の転送に電子メールを使用したくない主な理由の1つは、機密情報を含む電子メールが組織を離れると、それを制御できなくなったためです。
例えば
上記の理由から、ほとんどの場合、機密情報を電子メールで送信する別のソリューションをお勧めします。
insecure
はどういう意味ですか?security
には多くのベクトルがあることを忘れないでください。永続性と効率性は、セキュリティの重要な要素でもあります。
メールシステムネットワークは、実際の投稿と同じように機能します。
これはすべてvery unsecureですが、とにかく、誰もが実際の投稿で交換し続けます。
人々が再び害を及ぼす場合投稿のセキュリティ、それは手紙が他のものより緩いかもしれないという事実についてです...
主な違いは、1通のメールを送信するコストです。これはmoreがらくたを暗示するだけで、他には何もありません。
したがって、vueの私のポイントはと言うことです)smtpはうまく機能するプロトコルであり、元の目標について非常に説得力があります。
実際の投稿を通じて機密情報を送信するようなものです。このようなことをしなければならないことは、その後の証券化の取り組みを暗示します。
したがって、単純に機密情報をクリアテキストで送信しないでください。
別の方法を使用して、キーと有効な指紋を優先順に交換します:会議、電話、ファックス、SMS(注意)。