GmailもHotmailもMUA-MTA間だけじゃなくて、MTA間のTLS暗号化通信に対応していて、二段階認証にも対応と、有料サービスと同等以上のセキュリティがある。それにフリーメールかどうかは、サービス提供者が機密を奪い取るかどうかとは無関係。GoogleはGmailの広告のマッチングは自社で機械的にやって外部に情報出さないとしている、Microsoftはメール内容によるターゲットマッチ広告はやってないと主張してる。その主張が信用できないなら、GoogleやMicrosoft自体が信用できないってことなんだから、有料サービスのG Suite (Google Apps for Work)、Office 365 も同様に危険。
G Suite [google.co.jp] のサイトフッターから 利用規約 [google.com] にアクセスすると、
本サービスにユーザーがコンテンツをアップロード、提供、保存、送信、または受信すると、ユーザーは Google(および Google と協働する第三者)に対して、そのコンテンツについて、使用、ホスト、保存、複製、変更、派生物の作成(たとえば、Google が行う翻訳、変換、または、ユーザーのコンテンツが本サービスにおいてよりよく機能するような変更により生じる派生物などの作成)、(公衆)送信、出版、公演、上映、(公開)表示、および配布を行うための全世界的なライセンスを付与することになります。このライセンスでユーザーが付与する権利は、本サービスの運営、プロモーション、改善、および、新しいサービ
「外務省の通信業務担当者」は End-to-End 暗号化をせず機密をやり取りしてる? (スコア:3, 興味深い)
産経記者って、GmailやHotmailが「IDとパスワードを盗まれると内容をのぞき見される」のを防ぐ二段階認証に対応しているのすら知らんの?
問題なのは、ITとパスワードを盗まれなくても、北朝鮮の敵国のNSAやCIAに内容をのぞき見される恐れのあるメールサービスなことでしょ。
GmailもHotmailもMUA-MTA間だけじゃなくて、MTA間のTLS暗号化通信に対応していて、二段階認証にも対応と、有料サービスと同等以上のセキュリティがある。それにフリーメールかどうかは、サービス提供者が機密を奪い取るかどうかとは無関係。GoogleはGmailの広告のマッチングは自社で機械的にやって外部に情報出さないとしている、Microsoftはメール内容によるターゲットマッチ広告はやってないと主張してる。その主張が信用できないなら、GoogleやMicrosoft自体が信用できないってことなんだから、有料サービスのG Suite (Google Apps for Work)、Office 365 も同様に危険。
お役人だと、日○とか富士○とかのSIerに丸投げして独自のシステム作ってもらってるのかな? その下請けのレベルが低くて脆弱性が紛れ込んでたり、スパイや工作員が紛れ込んでたりするかもしれないし、Gmailの方がまだ安全だと思う(笑) Gmailならアメリカの諜報機関に情報を盗まれるだけで済むけど、低レベルな下請けに丸投げするSIerに依頼すると、中○や韓○などからもスパイされるシステムになりかねない。
てか、「フリーメールでは危なくて機密のやり取りができない」なんていういうコメントを平気でできるってことは、機密保持をメールサービスに依存しているわけで、外務省では PGP 等の End-to-End 暗号化は使わず機密のやり取りをしてるんでしょうね。
メールを誰に送ったという事実自体が機密(End-to-End暗号化が不可能なメールヘッダーが機密)なら、それこそお互いが匿名でフリーメールアカウントを取得してやり取りしたほうが安全(本文はPGP暗号化)。
Re:「外務省の通信業務担当者」は End-to-End 暗号化をせず機密をやり取りしてる? (スコア:2)
えーと何で外務省の話になるんですかね…?
そこがついていけないです
Re:「外務省の通信業務担当者」は End-to-End 暗号化をせず機密をやり取りしてる? (スコア:2)
他国にいる自国職員に通信する時に中身を覗かれないようにするためでは?
サンケイともなると、在中国の大使館などの現地職員はすべてスパイに見えるでしょうしね。
Re:「外務省の通信業務担当者」は End-to-End 暗号化をせず機密をやり取りしてる? (スコア:2)
それは「なぜ外務省の職員は暗号化して通信するべきか」じゃないですか。
そりゃわかるんですよ。
わからないのは
「北朝鮮の話から急に日本の(ですよね)外務省に話が飛んでるのか」
ってところです。
「日本の外務省は大丈夫なのか?怪しいんじゃないの?」
とか、この記事を書いたのが参詣じゃなくて外務省だ、っていうんならわかるんですが
Re:「外務省の通信業務担当者」は End-to-End 暗号化をせず機密をやり取りしてる? (スコア:1)
このストーリーのソース [sankei.com] に『日本の外務省の通信業務担当者は「フリーメールでは危なくて機密のやり取りができない。(使用は)考えられない」と驚く。』とあるからです。
という三段論法です。
Re:「外務省の通信業務担当者」は End-to-End 暗号化をせず機密をやり取りしてる? (スコア:2)
単にソースを読んだ時に私の目が滑っただけでした…失礼しました。
一度読んで無いと思ったら確認のために読んでも気づかないんだなぁとか
# いいわけ
Re: (スコア:0)
1 あってる
2 間違ってる。話はEtEに限定されないから
3 間違ってる。前提2が間違ってる(上に触れないことが知らないことになるのは単なる妄想だ)から
補足
そもそもWebUIを使っておらず、クライアントサイドで暗号・復号化をやってる|やってない事が確認されてない
Re: (スコア:0)
NSAが将来的な解読を想定してとりあえず盗聴内容を保存しているような現在ではE2E暗号化なんて信用できませんよ。
何しろ量子コンピューターが出たら解読されるわけですから。
フリーメールを避けるのは普通に常識で良いと思います。
ただ、実際昔はTorのエンドノードから外交官同士のメールが平文で読み取れたという話もありますし、各国どこまで普及してるかは怪しいものですけれども。
Re: (スコア:0)
> NSAが将来的な解読を想定してとりあえず盗聴内容を保存しているような現在ではE2E暗号化なんて信用できませんよ。
> 何しろ量子コンピューターが出たら解読されるわけですから。
> フリーメールを避けるのは普通に常識で良いと思います。
だったらフリーメールを避け独自のメールサーバ建てたって同じでは?
インターネットの仕様上、メールを海外に投げた際にアメリカのIXPを経由するのを避けられないんだから
送信元IPが日本の政府機関のパケットなんて丸ごと盗聴されて保存されてるでしょうし
E2E暗号化が将来解読されるってのならTLS通信も同じように解読されてしまう
Re: (スコア:0)
双方が信頼できる国内サーバーなら良いでしょうよ。
特に同じサーバー内のメールなら国内にいる限りほぼ安心。
メールサーバーが信用できればE2Eの優位性はサーバーからユーザーまでの経路だけです。
ついでにサーバーが本文の暗号化とか、統計的処理とかができる。
なにより少なくともうっかりミスしても大事になりません。
そりゃ避けた方が良いに決まってます。
Re: (スコア:0)
そういう一点集中型のセキュリティって組織全体のセキュリティレベルを高めるには良いんだけど重要な機密を扱う部署には向かない
仮にそのメールサーバがクラックされたら全機密が平文のまま漏えいしちゃう
E2Eなら担当者の秘密鍵が万が一漏えいしても通信を傍受した人が復号できるのはその担当者宛てに送信されたメールに限定される
Re: (スコア:0)
そうだとしても、フリーメールを避けるのが単独でも意味ある策なわけだから、E2E暗号化をしていないという根拠にはならないよね。
Re:「外務省の通信業務担当者」は End-to-End 暗号化をせず機密をやり取りしてる? (スコア:2)
まぁE2E暗号化をしてる、あるいはもっと違う対策を取ってる、にしたって
直接それを聞かれているわけでさえない新聞記者の取材にそんなことをぺらぺらしゃべるよりは黙ってるほうが正しいし、
記者も仮に聞いたってそんな書かなくていいこと書かないほうが正しいんだから
「書いてないからやってない!!」
と言う話にはならないのは確か
仮に記者が日本マンセーをしたい余りに「日本の外務省はこうしてる!!」なんて書いたとしてもデスクが止めるのが正しいような話でしょ
Re: (スコア:0)
といってフリーメールを採用する理由にゃならんし、フリーメールのサーバ監視できればストレージに仕分けした段階で
「どのタイミングで誰にメールが飛んでいる」という状況や転送設定も把握できるんでとてもとても同列に扱えるものではない。
ところで、DNSがキャッシュにかからなかった場合を除いてどーしてもアメリカのIXPって経由しないといけなかったっけ?
一応日本の限った話でもマップ見ると東南アジアや中合区韓国なんかと直接つながってるはずだけど、あれ全部アメリカの?
このあたりあまり詳しくないのでちょっと知りたい。
Re: (スコア:0)
北朝鮮の事例について日本の外務省の通信業務担当者がコメントしているからではなくて?
Re: (スコア:0)
二段階認証をやってるかは確認とれていない、なので恐れがあるで正しい。
外務省や防衛省の本体での仕事なんて当然のように見元確認までされたし、
RFPもガチガチだから入れるバージョンやセキュアな設定まできっちり指定されて、
それ自分達で作った方が早くない?と思ったことが何度もある。
自分で言ってる通り、問題なのは敵国というか他国に機密情報が漏れることなので、『Googleの方がまだ安全(笑)』何て比較の対象にもならない。
そもそも、MTA間のセキュリティなんか書かれてもいないし枝葉でしかない。
なぜなら、内部でのやり取りが漏れることが最大の問題だから。
Re: (スコア:0)
> 当然のように見元確認までされた
元請の身元確認だけしたとしても、その案件を自社や自社グループで完結させず
協力会社からの派遣社員と一緒にプロジェクトを進めるか下請けを使うのが現状でしょ?
Re: (スコア:0)
木っ端中小自治体なら、そのくらい雑な所は良くある。
ただ、省庁なんかはお役所仕事の本家本元なので、そもそも案件がインフラ構築レベルなら、
客先のプロジェクトルームに入れる人間が限定されて、当然に情報の持ち込み持ち出しなんて出来ない。(作業用のパソコンが用意される)
USBメモリ等は指したら警告されるし、多分良くて始末書。
# OSをCDブートしたら行けんじゃね、とは思ったが恐ろしくてやったことはない。どう考えても、BIOSで無効化されてるだろうしね
Re: (スコア:0)
># OSをCDブートしたら行けんじゃね、
元電電系大手のセキュリティソフト、Windows起動してから、USBロックまでタイムラグがあった。もしやと思ったが、どうだったのだろうか?
Re: (スコア:0)
海保のヘリの暗視カメラが下請けやら孫請けやらを経由してヤフオクで売られてるくらいですからね。
Re: (スコア:0)
> 外務省や防衛省の本体での仕事なんて当然のように見元確認までされたし、
> RFPもガチガチだから入れるバージョンやセキュアな設定まできっちり指定されて、
> それ自分達で作った方が早くない?と思ったことが何度もある。
そこまでしっかりしてたんだ
住基ネットの騒動からお役人が関わる案件は須らく糞だと思ってたから意外
Re: (スコア:0)
何を指してるのかよくわからんが、メールシステムなんてものを車輪の際発明する必要あるの?
Microsoft の Outlook で S/MIME暗号化すれば良いと思うけど
EtE暗号化がしっかりしてりゃ土管なんてどうでもいいしクライアント以外で暗号化する方式のシステムだったら汎用ソフトより危険になるだけだと思うんだが
Re: (スコア:0)
そもそも土管やEtEの強度は本筋ではない(可能性が高い)と言う指摘
何故ならクライアントサイドでの暗号復号を使わずに、
組織内メールをその手のメールサービスのみでやり取りしているのであれば、
サービスベンダが本文読み放題だから
# これだってあくまで可能性だけど、何故か親コメ主はそうしたものは何も考えず、外に送ることしか考えてない
Re: (スコア:0)
そもそもGmailは規約でGoogleへコンテンツの使用権を付与しているので
信用できるできないに関わらず官公庁や企業は使えないでしょうね
サービス提供者の信用問題を引きずり出して
G SuiteやOffice365を同列に扱っている時点で規約も読めない方だとよくわかります
Re: (スコア:0)
> そもそもGmailは規約でGoogleへコンテンツの使用権を付与しているので
> 信用できるできないに関わらず官公庁や企業は使えないでしょうね
> サービス提供者の信用問題を引きずり出して
> G SuiteやOffice365を同列に扱っている時点で規約も読めない方だとよくわかります
まだ、そんなFUD信じているひと居たんだ
「ユーザーのコンテンツの所有権、主張しない」――Googleが利用規約について説明
http://www.itmedia.co.jp/news/articles/0809/09/news031.html [itmedia.co.jp]
Re: (スコア:0)
本サービス内のユーザーのコンテンツ
―――本サービスにユーザーがコンテンツをアップロード、提供、保存、送信、または受信すると、ユーザーは Google(および Google と協働する第三者)に対して、そのコンテンツについて、使用、ホスト、保存、複製、変更、派生物の作成(たとえば、Google が行う翻訳、変換、または、ユーザーのコンテンツが本サービスにおいてよりよく機能するような変更により生じる派生物などの作成)、(公衆)送信、出版、公演、上映、(公開)表示、および配布を行うための全世界的なライセンスを付与することになります。―――October 25, 2017
Re: (スコア:0)
極めて悪意のある抜き出し方ですなー
特に「このライセンスでユーザーが付与する権利は、本サービスの運営、プロモーション、改善、および、新しいサービスの開発に目的が限定されます。」を意図的に省くとか悪質極まりない。
https://www.google.com/intl/ja/policies/terms/ [google.com] 2017年10月25日
Re: (スコア:0)
だからコンプライアンスの確保ができないよね、そういったものを求められる団体は使えないよねって話なのだが
Re: (スコア:0)
国の中枢とか、セキュリティが超絶必須なところは無理だろうけど、
一般でいえば、自分でGmail同等のセキュリティと運用を実現するのは難しいから、Googleだけに見られるのは妥協して使うのがベストだろうなとは思う。
日本の企業の99%は中小企業だからね。自分でメールサーバー運用なんてできないとこばかりだ。
どっかの企業に管理委託するのもありだけど、結局その企業には見られちゃうわけだし。
もしGoogleがGmail覗き見して悪いことしたら、もう信頼は回復できないだろうし、ドル箱の検索広告事業にまで影響するし、まず大丈夫だろうとは思うがね。一般人にとってはね。
国はしっかりやっとくれ。
Re: (スコア:0)
中小企業ならGmailに委託してしまった方がいいというのは異議ないが、このスレは北朝鮮の政府職員についての話なので・・・。
Re:「外務省の通信業務担当者」は End-to-End 暗号化をせず機密をやり取りしてる? (スコア:2)
まーそもそも北朝鮮の外務省がGmailやらのフリーメールを何に使ってるかはわかってないんだよね
ただ使ってる、と言うだけ
プライベートに使ってるだけかもしれないし
フリーメール内に暗号化した本文を入れてるのかもしれないし
リアルっぽいこと書いて実は欺瞞情報しかないかもしれないからなぁ
Re: (スコア:0)
プロモーションって何でもありじゃね?
プロモーション目的なら(公衆)送信、出版、公演、上映、(公開)表示、および配布できる権利って怖いな。
Re: (スコア:0)
同じGoogleが提供するサービスでも規約が異なる旨のコメなのでは
Re: (スコア:0)
Googleが言ってるのは財産権を主張しないってだけで、横から見ないとは言ってない。というか、所有権を主張すると、違法なコンテンツをアップロードされた時に話がややこしくなるから、どんなアップローダーでも自分に所有権があるとは言わないだろう。
Re: (スコア:0)
アメリカにテロ支援国家指定されると米国製のソフトウェア提供が米国法上禁止されるので、規約違反でいきなりアカウント削除の憂き目にもあいかねない
Re: (スコア:0)
米国製のWindowsも使えなくなりそうですね
Microsoftアカウントが削除されてOSにサインインできなくなるとかWindows Updateサーバに繋がらなくなるとか
G Suite にも Google 全体の規約が適用されるんですが (スコア:0)
G Suite [google.co.jp] のサイトフッターから 利用規約 [google.com] にアクセスすると、