アカウント名:
パスワード:
漏洩対策のための漏洩対策が必要になって、コストが嵩むだけじゃないのかな。何もしないのがいいとは思わないけど、余計なことが多すぎるような気がします。
「ユーザーに厳しく当たる」ということと「情報を管理する」ということの区別がつかないとこうなる
情シス部門からすりゃ「何かあったときに詰め腹切らされるのはたまったものじゃないから、これだけやってれば何かあっても仕方ないよねって言えるぐらいガチガチにしておく」しか選択肢がないんだよ。
本当は就業規則とかで「業務中にWebサイト見て漏洩とかやらかしたら責任負え」にして済ませたいのは多分皆、似たような本音があると思うよ?でも、西欧諸国みたいに解雇が容易じゃないから「漏洩やらかした社員でも解雇しようとすると問題になる」というリスクがあったり、システム利用の規則違反をやらかして実害が出た場合に賠償金を請求しても「会社が対処してなか
社員の背中に監視カメラを置けば委縮して安全になるだろうと思ったら、監視カメラ経由で盗み出された訳だろ?その話をしてるのに規則違反が、個人への損害賠償が、そりゃセキュリティをやる気がない人間の言葉だろ。「情報漏洩を起こせない」ことを「ガチガチ」と言うならわかるが「nicovideo.jp:80は落とすが0.0.0.0:22は開いてる」のは「ガチガチ」とは言えない。テーマパークのタイムマシンを比べて技術レベルが高いとか低いとか論じてるようなもんだ。
立場上、社員の背中にカメラを置かざるを得ない、ってだけの話だろ。それこそ監視カメラが不完全なリスクや、導入コスト、不便性を天秤にかけてでも監視カメラが必要になる(から設置してる)というのが「セキュリティをやる気の無い人間の言葉」と読めるのなら、君はセキュリティを理解していない。
セキュリティは不便性を強いるためにやるわけではなく、会社が負うリスクを下げるためにやることなので。セキュリティシステムがなくても従業員が「やらかす心配がない」なら、セキュリティは不要になる。それも含めてセキュリティの考え方だよ。
監視ソフトを入れたことで、従業員の行動とは全く無関係に情報が流出したんだよね?従業員の操作による会社への損失のリスクが元々大きくて、このソフトはそれを防止していたのでこれ経由の流出リスクは正当化されるんだというなら分かるけど、どこからそれが導かれるのか分からない。根拠のない安心感を目指して余計なものを入れてセキュリティを落としているように見える。
そりゃ「脆弱性のあるソフトを入れたから流出した」だけで、監視ソフトをいれることの是非と問題をすり替えてる。監視ソフト全てに脆弱性がある(あるいは監視ソフトは今回脆弱性で問題になった1種類しか販売されていない)ならまだしも。
根拠のない安全性というが、社員が勝手に仕事用PCに、暗号化つきP2Pソフトをインストールして外部にデータ送信しないことをどうやって担保するの?あるいはWebのいかがわし
セキュリティが絡むと、他の犯罪と違って、加害者より被害者の方が圧倒的に悪いという不思議な風潮があるよね。企業に強固な対策を求めれば求めるほど、消費者が負担するコストが上がり、労働者の生産性が低下するのにさ。
セキュリティが絡むと、他の犯罪と違って、加害者より被害者の方が圧倒的に悪いという不思議な風潮があるよね。
そりゃ被害者が、被害を受けたことにより加害者になることがあるからさ。典型例で言えばセキュリティがザルな運用をした通販サイトが攻撃を受けて顧客情報を流出させたら、そのサイト運営者は攻撃の被害者でもあるけど、同時に杜撰な管理をしたことにより顧客情報を流出させた加害者にもなるから。そこで「セキュリティがザルな運用じゃなかった」となれば仕方が無い部分はあると見なされるのは別にセキュリティ分野に限った話ではないし、別に当たり前のことだと思うけどね?
それは理解した上で言っています。
例えば、個人情報が入ったハードディスクを企業が盗まれた場合A 盗まれた企業の管理が悪い、不買運動を起こそう!B 盗んだやつが悪い、そいつは死刑!
という反応が考えられるけど、いつもAが多数。実はBの方が社会全体にとって望ましいのでは?と思った次第。だって企業が管理を厳重にしたらそのコストは顧客や働き手が負担することになるし、少数の不届き者のために社会全体がそれを負担するのは実は無駄だと思いません?
巻き込まれる可能性が有るか無いか、巻き込まれるとAに、安全ならBに。
Aの特定は容易、自白もしてるBの特定は困難、逮捕も容易ではない
叩きやすいのはどちら?特に普段から妬ましく快く思ってない『大企業様』なら?
現実的に「盗んだやつを捕まえる」方法がない。特にオンライン犯罪の場合、自国内に居るかも定かではない。ガチガチに検閲や接続制限やってる中国ですらオンライン犯罪者は出るのに、よしんば日本でそんなのを防止する方法がない。
「泥棒がいなくなれば警察もいらないし、家の扉に施錠する必要もなくなるし、警備会社を雇ったり防犯カメラをつける必要もなくなるよね」は論理としては正しいけど、現実的ではないでしょ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家
余計な物を作らない (スコア:0)
漏洩対策のための漏洩対策が必要になって、コストが嵩むだけじゃないのかな。
何もしないのがいいとは思わないけど、余計なことが多すぎるような気がします。
Re:余計な物を作らない (スコア:0)
「ユーザーに厳しく当たる」ということと「情報を管理する」ということの区別がつかないとこうなる
Re: (スコア:0)
情シス部門からすりゃ「何かあったときに詰め腹切らされるのはたまったものじゃないから、これだけやってれば何かあっても仕方ないよねって言えるぐらいガチガチにしておく」しか選択肢がないんだよ。
本当は就業規則とかで「業務中にWebサイト見て漏洩とかやらかしたら責任負え」にして済ませたいのは多分皆、似たような本音があると思うよ?
でも、西欧諸国みたいに解雇が容易じゃないから「漏洩やらかした社員でも解雇しようとすると問題になる」というリスクがあったり、システム利用の規則違反をやらかして実害が出た場合に賠償金を請求しても「会社が対処してなか
Re: (スコア:0)
社員の背中に監視カメラを置けば委縮して安全になるだろうと思ったら、監視カメラ経由で盗み出された訳だろ?
その話をしてるのに規則違反が、個人への損害賠償が、そりゃセキュリティをやる気がない人間の言葉だろ。
「情報漏洩を起こせない」ことを「ガチガチ」と言うならわかるが「nicovideo.jp:80は落とすが0.0.0.0:22は開いてる」のは「ガチガチ」とは言えない。
テーマパークのタイムマシンを比べて技術レベルが高いとか低いとか論じてるようなもんだ。
Re: (スコア:0)
立場上、社員の背中にカメラを置かざるを得ない、ってだけの話だろ。
それこそ監視カメラが不完全なリスクや、導入コスト、不便性を天秤にかけてでも監視カメラが必要になる(から設置してる)というのが「セキュリティをやる気の無い人間の言葉」と読めるのなら、君はセキュリティを理解していない。
セキュリティは不便性を強いるためにやるわけではなく、会社が負うリスクを下げるためにやることなので。
セキュリティシステムがなくても従業員が「やらかす心配がない」なら、セキュリティは不要になる。それも含めてセキュリティの考え方だよ。
Re: (スコア:0)
監視ソフトを入れたことで、従業員の行動とは全く無関係に情報が流出したんだよね?
従業員の操作による会社への損失のリスクが元々大きくて、このソフトはそれを防止していたので
これ経由の流出リスクは正当化されるんだというなら分かるけど、どこからそれが導かれるのか分からない。
根拠のない安心感を目指して余計なものを入れてセキュリティを落としているように見える。
Re: (スコア:0)
監視ソフトを入れたことで、従業員の行動とは全く無関係に情報が流出したんだよね?
従業員の操作による会社への損失のリスクが元々大きくて、このソフトはそれを防止していたので
これ経由の流出リスクは正当化されるんだというなら分かるけど、どこからそれが導かれるのか分からない。
根拠のない安心感を目指して余計なものを入れてセキュリティを落としているように見える。
そりゃ「脆弱性のあるソフトを入れたから流出した」だけで、監視ソフトをいれることの是非と問題をすり替えてる。
監視ソフト全てに脆弱性がある(あるいは監視ソフトは今回脆弱性で問題になった1種類しか販売されていない)ならまだしも。
根拠のない安全性というが、社員が勝手に仕事用PCに、暗号化つきP2Pソフトをインストールして外部にデータ送信しないことをどうやって担保するの?
あるいはWebのいかがわし
Re: (スコア:0)
○情シスが負うリスクを下げるためにやる
その結果セキュリティが下がったり不便になろうが知ったことか
パスワードは英数大文字小文字記号含めて8文字以上で3ヶ月ごとに変更ね
覚えられないならポストイットで貼っといて
それで流出したところで責任問われるのはあんただしね
Re: (スコア:0)
セキュリティが絡むと、他の犯罪と違って、加害者より被害者の方が圧倒的に悪いという不思議な風潮があるよね。
企業に強固な対策を求めれば求めるほど、消費者が負担するコストが上がり、労働者の生産性が低下するのにさ。
Re: (スコア:0)
そりゃ被害者が、被害を受けたことにより加害者になることがあるからさ。
典型例で言えばセキュリティがザルな運用をした通販サイトが攻撃を受けて顧客情報を流出させたら、そのサイト運営者は攻撃の被害者でもあるけど、同時に杜撰な管理をしたことにより顧客情報を流出させた加害者にもなるから。
そこで「セキュリティがザルな運用じゃなかった」となれば仕方が無い部分はあると見なされるのは別にセキュリティ分野に限った話ではないし、別に当たり前のことだと思うけどね?
Re: (スコア:0)
それは理解した上で言っています。
例えば、個人情報が入ったハードディスクを企業が盗まれた場合
A 盗まれた企業の管理が悪い、不買運動を起こそう!
B 盗んだやつが悪い、そいつは死刑!
という反応が考えられるけど、いつもAが多数。
実はBの方が社会全体にとって望ましいのでは?と思った次第。
だって企業が管理を厳重にしたらそのコストは顧客や働き手が負担することになるし、
少数の不届き者のために社会全体がそれを負担するのは実は無駄だと思いません?
Re: (スコア:0)
巻き込まれる可能性が有るか無いか、巻き込まれるとAに、安全ならBに。
Re: (スコア:0)
Aの特定は容易、自白もしてる
Bの特定は困難、逮捕も容易ではない
叩きやすいのはどちら?
特に普段から妬ましく快く思ってない『大企業様』なら?
Re: (スコア:0)
現実的に「盗んだやつを捕まえる」方法がない。特にオンライン犯罪の場合、自国内に居るかも定かではない。
ガチガチに検閲や接続制限やってる中国ですらオンライン犯罪者は出るのに、よしんば日本でそんなのを防止する方法がない。
「泥棒がいなくなれば警察もいらないし、家の扉に施錠する必要もなくなるし、警備会社を雇ったり防犯カメラをつける必要もなくなるよね」は論理としては正しいけど、現実的ではないでしょ。