ライブ放送アプリ「ツイキャス」のセキュリティインパクト？

ライブ放送アプリ「ツイキャス」のセキュリティインパクト？

「ツイキャス」(TwitCasting)

ツイキャス（ツイットキャスティング）は個人が勝手にライブ放送ができるスマホ・アプリだ。ライブ放送用と視聴用の2種類のアプリが無料公開中。モイという会社のサービス。

.*.

スマホは企業にとってどういう存在か？

スマホは録画、録音など出来ないことはないくらいのスーパーパワーを身に着けている。

社員の戦力アップのツールではあるが、逆に最大のリスク要因にもなる。

今回のライブ放送アプリは従来の機能とは全く意味するところが違うことに注意すべきだ。

ディスクの情報を蓄えて持ち出すやりかたではない。場合によっては今の法律ではすり抜けてしまうかもしれない。放送されたら後の祭り。

1. 社員の悪意または悪戯（いたずら）で放送される。
2. 社員のミス（操作ミス、勘違い、うっかりなど）で放送される。
3. 悪意の第三者により、勝手に作動して放送される。
4. スマホが手持ちとは限らない。どこかに置き忘れてその間もライブ放送が行われていることもある。
5. 自分のスマホをリモートから作動させるケースもありうる。

普通に電話したりメールしたりのつもりが実はライブ放送中ってことがあります。本人が意識していることもあれば無意識のこともあります。

.*.

対策案

1. スマホの社内持込は許可制にする。
2. 許可の条件は監視ソフトのインストール。
   監視ソフトはダウンロードの監視が主体。自分自身が削除されても分かる仕掛けが必要。
3. 個人端末のBYODではなくて会社の貸与スマホでも同じ仕掛けが必要。
4. セキュリティレベルハイのゾーンへの持込を禁止する。
5. セキュリティの高い部屋にはセンスステーションを置いて常駐監視ソフトを使って強制的にダウンさせる。機内モードレベルでも良いかもしれない。
6. センスステーションは人の出入りも記録する。不適切な時間・人の場合はアラートが上がる仕組みも導入する。

.*.

• 皮肉なことにこの頃はガラケー（ガラパゴス携帯）の人気が上がっている。バッテリー問題、操作性～レスポンス問題に加えて、スマホはPC並みに厳しい管理の対象になって返って使いにくくなっている事情もある。

.*.

リスクシーン

1. 非公開の会議の様子が配信される。
2. 未発表商品などの限定公開の様子がいきなり配信される。
3. 有料セミナー、非公開セミナーの内容がそのまま配信される。
4. 社内で盗聴・盗撮のライブ配信が流行る。
5. 想定外のものが映り込み、チェックされないで配信されてしまう。

.*.

ブラック企業

ブラック企業

ブラック企業の確たる定義は分からないが、良い企業か悪い企業かといえば悪い方だろう。

「入社を奨めたくない企業」と定義すると結構範囲が広がる。

「コンプライアンス違反をしている企業」なら論外でブラックとかグレーのレベルでは済まされない犯罪企業だ。よくあるのは、犯罪すれすれをやっている企業かな。こうなると、結構多くの企業が収まってしまう。

ブラック企業はリクルートで出てくる用語。社員待遇としての魅力度の観点から見るものになる。ES(従業員満足度）を重要な経営指標においている企業は問題なく良い企業に入っていくだろう。

売上利益を言っている企業はまだ三流。CSを口にしてロイヤリティを追いかけ始めたら漸く二流。従業員満足度を達成して初めて一流だ。

但し、特権企業・独占企業・公共企業がESを追いかけ始めると悲劇だ。（今の日本はかなり悲劇的）

.*.

コンサルファームにもクライアントにもブラックはある。驚く無かれ審査機関にだってブラックはある。

もしかして「BSIジャパン」はかなりブラックだ。審査機関では珍しい。経営者の資質の問題だろう。明らかにビジネスを履き違えている。審査員の話では夜間移動は普通のこと。複数の審査を連続することもあるようだ。睡眠時間も取らずに体力気力で審査をやっているらしい。中にはその無茶振りを自慢にしている。規格違反だろう。商売優先の結果だ。不適合を出している暇が無い。

ＢＳＩジャパンのパワハラは昔から有名だ。普通の会社をまともに勤めることが出来なかった若手？が、シニア雇用組み（普通の会社を勤めてきた人たち）に対して勝手な振る舞い。そのことを厳しい態度と思い違いしている。

英国本社の頭痛の種になっている。多分。エクセレントカンパニーを履き違えてまた暴走。誰かの奴隷みたいな会社だが、本社の価値観に合致しない勝手なエクセレントでは異物と同じ。

売上利益でしか計れない経営者の感覚は所詮販売店の店長さんです。

外資系でも他の審査機関は普通。BSIグループでも他の国は普通。日本のBSIジャパンだけが異常なのだ。なぜか？。歴代の経営者が三流だから？。簡単だね。

.*.

さて、審査員は、あるいはコンサルタントは、ブラック企業を見つけたら、ブラックな部分を見つけたらどうするだろう？。

見なかったことにする人が居たら、まともな審査、まともなコンサルは提供されていないと思い知るべきかも。

.*.

「２ちゃんねる」情報漏洩事件

「２ちゃんねる」情報漏洩事件

掲示板サービス「２ちゃんねる」の有料会員の個人情報が流出した。メールアドレス、パスワード、クレジットカード情報も含まれるようだ。件数は3万件とも。

「２ちゃんねる」は匿名ベースの自由な誹謗中傷が売り物。勿論、本音の晒し攻撃もある。炎上を仕立てることも。

２ちゃんねるにオフィシャルに絡む企業ユーザーは居ないだろうが、誹謗中傷から守るための火消しに入ってきている人もいるだろう。やり過ぎもあるかもしれない。

企業担当はいつ矢が放たれるかもしれないことを想定し、事前に確認しておくことだ。個人の資格であっても、流出情報からストーカーをされる可能性までは否定できない。

.*.

普通のSNSより問題が大きくなりがちだ。社員へのガイドラインの徹底をやっておくべきだろう。

.*.

＜世間の大量情報流出事件への緊急対応＞

会社の取引と関係なく、会社情報、社員情報が何らかの関わりを持っていないか疑うことから始める。想定外の情報が飛び出す可能性がある。緊張度を高めること。

.*.

（平成25年）秘密保護法案の問題点

（平成25年）秘密保護法案の問題点

新聞にあった内容です。

1. 疑問点が多い。
2. 必要性についても議論の余地がある。
3. 国民の権利侵害に繋がりかねない。
4. 秘密の範囲が実質的に特定できていない。東北・東日本の震災復興予算で西日本の道路の信号を整備したり、ゆるキャラの発表会？をやったりしている国だ。相当限定的に言わない限り国家安全でないと言い切れるものは無い。
5. 為政者の都合で秘密の範囲は拡大する。
6. 秘密指定の妥当性についての検証プロセスが明確でない。検証がすべて後手になって後の祭りでは逆に国家的損失になりかねない。
7. 間違った秘密指定による国家及び個人の損失に対する罰則も不明確だ。
8. 秘密指定を解除する仕組みがない。時限装置。あるいは開示要求・説明要求にそって秘密が解除される、または秘密の妥当性が検証されるオンコール型の仕組みも必要だ。
9. 公務員に対する罰則としてはかなり重い。しかし、個人の悪意による漏洩もあるが、不完全な組織による競合脱線？組織設計の問題から生じる秘密漏洩も多い。この場合は組織を罰する形が必要だ。定位置に突っ立って手を伸ばして届く範囲の仕事しかしない組織では秘密は盛られない。法律の隙間を埋める仕事（管理）についても罪を問えるようにすべきだ。
10. 秘密情報を受け取った側が罰せられる条件が曖昧。どのような印があれば正しい取材、正しい情報入手か分からない。偽装されればそれまでだ。
11. 国家機密なんて視点が変わればがらっと変わるものだ。中国の尖閣での悪事を流出させたことは公務員法に照らせばNGとしても真の意味で国家にとって適正か不適正かは判断できないだろう。
12. 政策が変われば秘密も変わる。だからと言ってダイナミックな運用は問題を残しそうだ。
13. 情報漏えいのキーワードに繋がる国家安全問題、公務員問題などが多いとしても、具体的にレビューして本当の法案整備に関する問題は何のか明確にしてほしいものだ。その作業すら蜜室だから分かり難い。
14. 一般論として、悪徳の隣国から日本の情報を盗みに来ているのは分かるし、日本を踏み台あるいはトンネルにしてアメリカの情報を探ろうとしているのも分かる。これらをしっかり防ぎ、国家も民間も損失を被らないようにして欲しい。そのための法的枠組みは何が掛けているのか考えて欲しいものだ。
15. 一部の公務員の国家を思う心を押さえ込むだけの法律は恥をかいた上級席の公務員以外には存在しないのではないか。
16. 開かれた公務から閉ざされた公務。秘密主義の暗い日本を作ることになりかねない。もっと本当に国防を考えた情報セキュリティ管理に繋がる法律を作るべきだろう。

.*.

わが国は軍事国家の隣国などと比較して国としての情報セキュリティが甘いは誰の芽にも明らか。企業レベルで取り組んでも範囲もレベルも限界がある。国の安全保障政策の一環として、もっと有効性の高い、また実効性のある情報セキュリティの枠組みが必要だ。

それを明確にし整備しないまま、IT関連の道具立てばかりを導入すると、大変なことになるだろうと誰でも心配する。

必要な法律は秘密保護法案とは違ったものになるだろう。

.*.