こんばんは。一昨日から連続してパスワード付きzipファイルのメール送信に関する弊害について書いています。セキュリティ面においては、メリットよりもデメリットの方が多いこのやり方。現状でパスワード付きzipファイルで送ることを義務付けている組織もあるようです。添付ファイルを自動的にzip化してパスワードをかけて送信するというシステムを導入しているケースもあるようです。

　その場合、ウイルスチェックをして問題のなかった場合のみ、zip化してパスワードを付与して送信するということのようです。

　一見ソリューションとしては良さげに見えますが、昨日書いたように、受信側としては受け取ったメール(添付ファイルを含む)を信用していいのかどうかという問題があります。送信側としては「うちはきちんとしているから問題ない」という風に主張するのでしょうが、受け取る側は不安です。

　ここに添付ファイルが付いた標的型攻撃メールが来たとしたらどうでしょうか？しかも、パスワード付きzipファイルだった場合。うっかり信用してしまったら開けてしまいますよね。本来ならば、サーバ側で対応出来ていればいいのですが、パスワードがかかっているが故に手出しが出来ない…。

　ちょっと調べてみたところ、こういうプラグインがありました。

www.atpress.ne.jp

　オープンソースだそうです。パスワード付きzipファイルでも対応可能だそうです。そのままユーザーに渡さずに、Web上からユーザー自身でパスワードを入力させるようです。ここで展開後、無害化してユーザーに渡すそうです。

　ユーザーに渡す前に、ユーザー自身にパスワードを入力させて展開した後に無害化するという手順のようです。

　パスワード付きzipファイルでの送信を強制するのであれば、このように標的型攻撃メール対策も合わせて導入しておくべきですよね。どこまで考えている組織があるのやら…。

　こんばんは。7payの話もいろいろ書いてみたいのですが、今回は別のネタを。

　最近、メールで添付ファイルを送る際に、zipで圧縮してパスワードをかけることに対するブーイングや問題点がTwitter上のTLに流れてきます。

　「どう考えても意味がない。生産性が大きく下がる」「セキュリティ面的にどれだけ意味があるのか？」という話で溢れています。私自身もパスワード付きzip化には疑問を持っているクチです。zipファイルを送った後で、パスワードを書いたメールを別送します。果たしてこれはどれだけの意味があるのでしょうか？？？

　別メールで送ったところで、盗聴されていたとしたら、簡単に入手されてしまいます。だとしたら全く意味をなしません。たとえば、これをSMSを使って送るのであれば、まだ少しはマシかもしれません。「別経路でパスワードを送る」という意味ではですが。（ここではzipファイルにパスワードを付与することの是非については一旦置いておきます）

　同じ経路で（同じ手段を用いて）パスワードを送ることに何の意味があるのでしょうか？これをおかしいと思わずに盲信的に実行しているケースがあります。もちろん、良かれと思ってやっているのだと思います。「通信経路上で盗聴されても、情報漏洩を引き起こさくて済む」というような発想なのかもしれません。「自組織のメールサーバからメールを送る」というところまではそれでいいのかもしれません。

　問題はその後です。相手のメールサーバに届いてからです。このパスワード付きzipファイルが曲者扱いされます…。

　続きは次回に…。<(_ _)>

　こんばんは。昨日予告しましたように、楽天モバイルがDMMモバイルを買収した話題を取り上げてみます。こちらはハフィントンポストの記事からです。

www.huffingtonpost.jp

記事を目にした時点で「？？？」となりました。DMMモバイルはIIJ mioがMVNEだったので、「これはかなりもめるんじゃないか？」と勝手に思っていました。

現状では、楽天モバイルがMNOに移行することが既定路線です。こちら、10月からだと思っていたのですが、9月からなんですね。5G向けの周波数割当や、基地局の設置場所確保やネットワーク機器の調達などでいろいろ話題になりました。「これだけの短期間で既存3社と遜色ない通信品質を確保したネットワークが構築出来るのか？」という疑問がありました。スタート直後は大都市部（東京23区周辺と大阪市周辺と名古屋市周辺？）は自前回線で、それ以外はローミングなんじゃないかと見ています。（短期間で3社並の環境は整備出来ないでしょうし。資本的問題もあるでしょうが、人材的問題もありますよね。）

　そう言えば、以前FREETELを楽天モバイルが買収しましたね。今回のDMMモバイルの買収もMNO転換前に加入者数を増やしておきたいという狙いもあるのでしょうね。

　そして、この背景にはMVNOの乱立もあるのでしょう。レッドオーシャン化してしまって、体力勝負になってしまっていますね。大手でないところは「早く辞めたいor譲渡したい」と考えている向きも多そうです。鳴り物入りでサービス開始したLINEモバイルもSoftBank傘下に入りました。LINEで圧倒的シェアを確保していることで、年齢認証が可能な唯一のMVNOも売りになるかと思いきや…といったところでしょうか。

　他にBIGLOBEもKDDI傘下入りしましたね。両者に共通していることは、親会社の回線に統一される（＝docomo回線サービス提供終了）となると思われていたことでしょうか。結果として、そうはならずにdocomo回線のサービスは残り、マルチキャリア（BIGLOBEはdocomoとau、LINEモバイルはトリプルキャリア対応ですね）としてサービスを続けて行っているという点でしょうか。

　既存のdocomo回線ユーザーの反発を買うという配慮もあったと思われます。ここでいきなり全加入ユーザーを楽天モバイル自前回線に移行したとしたら大反発必至でしょうね。今後、楽天モバイルが他のMVNOを買収するのかどうかも注視して行きたいところです。

　こんばんは。今日の日経にNECが新卒に年収1000万円を払うという記事についてです。

www.nikkei.com

　そう言えば、NECも他社同様に45歳以上の希望退職という名のリストラを断行してましたね。それ以外にも関連子会社を切り離してきましたね。（BIGLOBEなんかがそうですね）

　そういう過去の事実を見るにつけ、新卒から見た場合「これは果たしてどうなんだろうか？？」と思えてきました。この記事にもあるように、「優秀な研究者」とありますね。なので、研究職以外は該当しないということのようです。技術職の方々や事務職や営業職や現業職の方々は、この時点で諦めて下さいということなのでしょうか。

　さて、ここで「研究職」として応募するための条件について少し考えてみます。工業高校卒や学部卒では99%ダメなのではないでしょうか。

　そうなると、最低でも大学院修士課程は出ていることは前提条件になるのでしょうね。では、ポスドク問題が深刻化している大学院博士課程修了者などうなのでしょうか？ストレートで来ても27歳。年齢的に嫌がりそうな気もします。でも、それを覆すだけの何かがあればいいのかもしれません。（博士号取得していることが前提になるのかもしれません）

　問題は「それだけ優秀な研究者が来てくれるのか？」という話になります。こういう層はいわゆるGAFAに行ってしまうorそもそも日本企業は目指さないのではないかとも思えます。仮に入社したとして、若手だからと無駄に「雑巾がけ」をさせられたり、年上の社員からねたまれたりする可能性も十分にあります。誰も味方がいないという窮地に追い込まれてしまうこともあり得ます。

　何よりも注意しないといけないのは、「無事年収1000万円社員になれても、45歳にななったらあっさり首を切られるのではないか？」という点でしょうか。もう少し様子を見た方がいいのかもしれませんね。