Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから
公開日:2017年11月5日

情報処理安全確保支援士講習システムに関する疑問点

2017年10月1日に情報処理安全確保支援士になったことは先日の記事の通りなのですが、「情報処理安全確保支援士講習会システム」に関して少々疑問点があったので掲載しておこうかと思います。

「情報処理安全確保支援士講習会システム」とは、情報処理安全確保支援士がオンライン講習を受講したり、オフライン講習の申し込みができるシステムのことになります。そのシステムのセキュリティに関して少々疑問点がありました。

まず、最初に疑問を感じたのはこのシステムのユーザーIDとパスワードが、2通のメールで別々に送信されてきたことです。

これだけを見ればよくあることだと思いますが、最近はIDとパスワードを別々のメールにしたとしても平文でパスワードを送付するのを忌避する傾向になりつつあるので、これはどうなんだろうと思いました。一応フォローしておくと、このパスワードは初期パスワードで初回ログイン時に変更を求められるようにはなっています。

ただ、情報処理安全確保支援士の受講システムを謳うのであれば、送信するのは ID のみにして、サイトでメールアドレス、IDを入力後、仮パスワードを期限付きで発行するなどの工夫が欲しかったところです。

また、Gmail でメールを受信すると分かるのですが、このパスワードのメールは平文であり、通信もTLSで暗号化しないで送信されていました。Amazon などの一般的なサイトでもメール送信はTLSで暗号化している時代です。ここは改善して欲しいなと思いました。

ついでに言うと、IPAから来たメールにはデジタル署名がされていたのですが、委託会社から来たメールにはデジタル署名がなかったですね。

あと、SSL/TLS証明書が EV SSL証明書になってないのもどうなんでしょう。運営者情報が不明というのもよろしくないのではないでしょうか。

Tls

 

まあ、若干ケチを付けている部分もありますが高い講習会費用を自腹で払っているので、講習会システムそのものもセキュリティ対策のお手本になって欲しいと思い記事を書いてみた次第です。

 


スポンサーリンク




カテゴリー:ブログ

Twitter でも、いろんな情報を発信しています。



コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA