パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

LastPass の不正アクセス、エンジニアが自宅 PC のサードパーティソフトウェアを更新していれば防げた可能性」記事へのコメント

  • by Anonymous Coward on 2023年03月05日 18時00分 (#4421710)

    こういう仕事を自宅PCで行う是非は。例えば軍事機密に関わる仕事を自宅PCでやる人いる?

    • by Anonymous Coward on 2023年03月06日 0時00分 (#4421795)

      日本じゃそこまで一般的ではないのかもしれないけど、
      海外(どこ?)の企業ではBYODに価値があると支持しているのは多いようです。

      たとえば、LastPassはBYOD、リモートワークのリスク管理方法 [lastpass.com]やリスクを減らす方法 [lastpass.com]として、SSOやIAMを提案しており、こういった技術でリモートワークやBYODでもセキュリティを確保できると主張しています。

      是非で言えば、LastPassは自身の製品・ノウハウを使わなかったことではないでしょうか?

      親コメント
    • by Anonymous Coward

      Forbesの記事に同じような批判が書かれていたが、業界の人にとってはそもそも自宅PCでやるのがオカシイってのが共通感覚なんでしょうね。LastPassを避けてBitwardenを数年使っているが、一連のLastpassの発表と批評は私のような外部の人間からしたら、言われてみればそうなんだろうなと一端が覗けて興味深い
      https://www.forbes.com/sites/daveywinder/2023/03/03/why-you-should-sto... [forbes.com]

    • by Anonymous Coward

      こういう仕事を自宅PCで行う是非は。

      制御された支給PCではなく従業員の私物でやらせている時点でなんとも
      支給PC、光熱費補助はリモートの必須条件として法制化すべきだよねぇ

      /*
      通信費は従量制か否かによる
      光熱費はPC稼働だけじゃなく仕事ができる環境の時間分かな
      */

      • by Anonymous Coward

        やらせてるんじゃなくて従業員が無断でやってるんだと思うよ。普通の管理者なら現実性はさておきやるなと言う。
        作業用PCを工面できない会社なんてまずない。

        • by Anonymous Coward

          その「普通の管理者」ってのが所詮は日本の管理者の常識ってオチの可能性も…
          非生産的なまでな変態的IT資産管理にここまで熱心なのも日本独自の文化だし。

          • by Anonymous Coward on 2023年03月06日 13時15分 (#4421958)

            そんなわけなかろう。IT資産管理ソフト系でセーフ判定受けてる中で一番強力なソフトは台湾製(IP-Guard)。

            親コメント
    • by Anonymous Coward

      DevOpsとはこういう仕事が自宅でできることを言う!
      のか?

    • by Anonymous Coward

      最近はゼロトラストが流行りなんで、自宅PCとか会社PCの垣根が低くなってるかと。
      ゼロトラストと言わないまでも、VDIなんかのソリューションを使ってどんな端末からでもセキュアに接続したりとかもありますし。
      会社PCでも結局アップデートされてなければ同じですしね。

      それはそうとして、LastPassではキートークンとか使ってないんだなってのはね……。

  • by Anonymous Coward on 2023年03月06日 9時46分 (#4421866)

    どこからでもパスワード管理できるパスワード管理サービス LastPass
    https://it-trend.jp/single_sign_on/12014 [it-trend.jp]
    「LastPass」は、ブラウザの拡張機能またはモバイルアプリで利用できるパスワード管理サービスです。管理するパスワードは「マスターパスワード」を設定して強固に保護、ローカル通信において暗号化し、使用するOSが同じデバイスであればパスワードを同期させることもできます。

    管理しているパスワードを分析・レポート化し、漏えいしてしまったパスワードや破られるリスクの高いパスワード、使い回しているパスワードや長期間使用していないパスワードの4つのセクションに分類し、変更するべきと判断されたパスワードを表示する機能を活用することで第三者に大切なパスワードが漏えいしてしまうリスクを大幅に軽減可能です。

    さまざまなサービス・ツールにおいてパスワードを設定していると、どうしても複数のパスワードを管理しきれなかったり、使いまわしているパスワードが看破されることで個人情報が漏えいしてしまうリスクは避けられません。このサービスを利用することでパスワード管理を簡略化すると同時に堅牢化することにつながり、安心してパスワードの必要なツール・サービスを利用することができます。

    CVE-ID:CVE-2020-5741
    https://cve-mitre-org.translate.goog/cgi-bin/cvename.cgi?name=CVE-2020... [translate.goog]
    説明
    Windows 上の Plex Media Server で信頼されていないデータを逆シリアル化すると、認証されたリモートの攻撃者が任意の Python コードを実行できるようになります。

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

処理中...