アカウント名:
パスワード:
未だに、一度何らかの被害を被らないと、セキュリティ対策を行わない企業が多いように感じますね。事業規模が大きければ大きい程、そこで働いている方々全員の意識改革もしなければいけないので容易ではないのでしょうねぇ。
容易ではないというより、無理でしょ。技術職でない人が大勢いるのに、誰一人マルウェアに感染しないなんて有り得ない。
必要なのは、それが無理であることを前提にしたリスクコントロールだと思う。この場合だと、バックアップをオフラインで保存しておく、というような。
バックアップもバックアップで、セキュリティ意識と同じく「万が一の時以外はただの無駄」の代表だったりもします。真っ先にコスト削減の対象となる点や、「今まで大丈夫だったんだから」と甘く見積もってしまう点も同じです。
専門部署ですらそんなもんであれば、普通の人達にセキュリティ意識を求めるのはやっぱり無理があるよな。結局打つ手無し。専門部署にセキュリティ意識が高い人がいて、その人の奮闘でカバーされるという幸運に期待するしかないわけだ。
専門部署のセキュリティ意識が高い人なんて真っ先に削減される対象じゃないか。無駄なコストを発生させる要因とみなされて。ほら、江戸時代からその手の人は「お家を揺るがす大罪人」ってバカに切られる運命にあるじゃん。事なかれがのさばってる間はダメだわ。
ファイルサーバー立てるときはバックアップも同時に用意して、見積もりもそれを含むようにするのが当たり前と思ってやってきたけど、世の中それが普通じゃないの?詳しくない人に対しても、最初から見積もりに含めてるから気にさせる必要もない。
ランサムウェアはバックアップまで(可能であれば)暗号化か破壊しにいくので、真面目に対策するなら、Write Only のメディアを使うとか、定期的にメディアを取り外して保管するとかまでやらないとだめだけど、そこまでやってるの?
それのどこがセキュリティ意識が高いことになるのですか?専門部署ってこんなんなんだってことが証明されてしまった
うちの伝統に、備えてるトラブルは起きないってのがありましたこういう教訓はいずこも一緒なようでどこと仕事してもだいたい同じ認識でしたねいわゆる転ばぬ先の杖なんですけど、何事もないからって杖を捨てた途端に転ぶのもまた共通認識
ええ、確かにそうかもしれませんが、ニップンは製粉、製麺を軸に置いてはいますけど、バイオ関連事業も有るので、相応のセキュリティが求められるべき業態になっていると思います。もっとも日本の食品関連の企業は、他国の企業と比較すると製薬、バイオ関連部門を抱えているケースが圧倒的に多いんですよね。この事を前提にすると、セキュリティと言う以前に高い水準の危機管理意識が必要だと思います。
> 必要なのは、それが無理であることを前提にしたリスクコントロールだと思う。
まったくその通りで。セキュリティーホールとかいくら潰そうが未知なものが存在すると思っていいから、やられるときはやられる。クラックされても最悪な事態を防げるような仕組みにしておかないとダメですよねえ。
誰か親コメントをプラスモデして欲しい。
「うちゲートウェイとWindowsをどっちともゼロデイでやられたんですけど、どうすればよかったんですかね?」って本当に最近ランサムウェアにやられた会社は思ってると思う。なんせ攻撃側は一回きりの使い捨て前提なんだもの防ぎようがない。もちろん、だからといって二番煎じにやられる必要はないのでセキュリティ対策は大切ですけどね。
それで諦めがつくなら、被害と天秤にかけて今後は会計情報は紙で手計算するとか、外部とつながないようなクローズドなネットワークで運用するとか、すればいいと思う。
俺だったら、バックアップをネットワークから切り離して保持しておいて失うデータを減らすとか、今回のような決算にかかわる情報はクラウドストレージに上げるとかするけどね。ちゃんとしたクラウドストレージなら、大量に暗号化されたら検出できるだろうし、元にも戻せるんじゃないかな。
えもてっととかうぉなくらいとかは既知の脆弱性をつかれた上政府やマイクロソフトなんかが修正パッチで回避できるのを周知しても中々被害が収まらなかった記憶があるが。
容易ではないのでしょうねぇ。
日本では評価の基準が歪ですので無理でしょうね
1億の売上を上げた人と1億の損失を防いだ人とどう評価しますかとなったとき
売上を上げた人は利益1億上げてないのに評価されますが損失を防いだ人は損益1億を回避したのに評価されません
実効性のある重い罰則の法で縛らない限り日本での改善の見込みは皆無でしょう
# 可能性があるとすれば国内が外資に完全支配されたときくらいかなぁ
何というか、海外旅行で危険な地域に行くときの様な警戒心が無いんですよね。どうしても、身の安全はあることと、脅威が目に見えないことが、警戒心が湧かない理由だと思います。
被害に遭った零細企業が「自分が狙われた理由がわからない」と言っていたけど、・・・。攻撃者の要求(目標)金額が10万円とか20万円(あるいは100万円)でも、彼らの国の平均年収に相当するとか、そういう経済格差の視点も教えられないと気づかないものですからね。# プログラマの平均年収は200万円(全世界平均)とか言っているところもありますよね。(どこの統計ですかね。)大ざっぱに言っても、50万円の支払い能力があれば十分に標的にされるわけですよ。企業、個人問わず。# 私自身も年収100万円クラスのプログラマ等の存在を見落としていました。# これを意識改革の素材にでもしてくださいませ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人
セキュリティ意識。 (スコア:1)
未だに、一度何らかの被害を被らないと、セキュリティ対策を行わない企業が多いように感じますね。
事業規模が大きければ大きい程、そこで働いている方々全員の意識改革もしなければいけないので
容易ではないのでしょうねぇ。
Re: (スコア:0)
容易ではないというより、無理でしょ。
技術職でない人が大勢いるのに、誰一人マルウェアに感染しないなんて有り得ない。
必要なのは、それが無理であることを前提にしたリスクコントロールだと思う。
この場合だと、バックアップをオフラインで保存しておく、というような。
Re: (スコア:0)
バックアップもバックアップで、セキュリティ意識と同じく「万が一の時以外はただの無駄」の代表だったりもします。
真っ先にコスト削減の対象となる点や、「今まで大丈夫だったんだから」と甘く見積もってしまう点も同じです。
Re: (スコア:0)
専門部署ですらそんなもんであれば、普通の人達にセキュリティ意識を求めるのはやっぱり無理があるよな。
結局打つ手無し。専門部署にセキュリティ意識が高い人がいて、その人の奮闘でカバーされるという幸運に期待するしかないわけだ。
Re: (スコア:0)
専門部署のセキュリティ意識が高い人なんて真っ先に削減される対象じゃないか。
無駄なコストを発生させる要因とみなされて。
ほら、江戸時代からその手の人は「お家を揺るがす大罪人」ってバカに切られる運命にあるじゃん。
事なかれがのさばってる間はダメだわ。
Re: (スコア:0)
ファイルサーバー立てるときはバックアップも同時に用意して、見積もりもそれを含むようにするのが当たり前と思ってやってきたけど、世の中それが普通じゃないの?
詳しくない人に対しても、最初から見積もりに含めてるから気にさせる必要もない。
Re:セキュリティ意識。 (スコア:1)
ランサムウェアはバックアップまで(可能であれば)暗号化か破壊しにいくので、
真面目に対策するなら、Write Only のメディアを使うとか、定期的にメディアを
取り外して保管するとかまでやらないとだめだけど、そこまでやってるの?
Re: (スコア:0)
それのどこがセキュリティ意識が高いことになるのですか?
専門部署ってこんなんなんだってことが証明されてしまった
Re: (スコア:0)
うちの伝統に、備えてるトラブルは起きないってのがありました
こういう教訓はいずこも一緒なようでどこと仕事してもだいたい同じ認識でしたね
いわゆる転ばぬ先の杖なんですけど、何事もないからって杖を捨てた途端に転ぶのもまた共通認識
Re: (スコア:0)
ええ、確かにそうかもしれませんが、
ニップンは製粉、製麺を軸に置いてはいますけど、バイオ関連事業も有るので、
相応のセキュリティが求められるべき業態になっていると思います。
もっとも日本の食品関連の企業は、他国の企業と比較すると
製薬、バイオ関連部門を抱えているケースが圧倒的に多いんですよね。
この事を前提にすると、セキュリティと言う以前に高い水準の危機管理意識が必要だと思います。
Re: (スコア:0)
> 必要なのは、それが無理であることを前提にしたリスクコントロールだと思う。
まったくその通りで。
セキュリティーホールとかいくら潰そうが未知なものが存在すると思っていいから、やられるときはやられる。
クラックされても最悪な事態を防げるような仕組みにしておかないとダメですよねえ。
誰か親コメントをプラスモデして欲しい。
Re: (スコア:0)
「うちゲートウェイとWindowsをどっちともゼロデイでやられたんですけど、どうすればよかったんですかね?」
って本当に最近ランサムウェアにやられた会社は思ってると思う。
なんせ攻撃側は一回きりの使い捨て前提なんだもの防ぎようがない。
もちろん、だからといって二番煎じにやられる必要はないのでセキュリティ対策は大切ですけどね。
Re: (スコア:0)
それで諦めがつくなら、被害と天秤にかけて今後は会計情報は紙で手計算するとか、外部とつながないようなクローズドなネットワークで運用するとか、すればいいと思う。
俺だったら、バックアップをネットワークから切り離して保持しておいて失うデータを減らすとか、今回のような決算にかかわる情報はクラウドストレージに上げるとかするけどね。
ちゃんとしたクラウドストレージなら、大量に暗号化されたら検出できるだろうし、元にも戻せるんじゃないかな。
Re: (スコア:0)
えもてっととかうぉなくらいとかは既知の脆弱性をつかれた上政府やマイクロソフトなんかが修正パッチで回避できるのを周知しても中々被害が収まらなかった記憶があるが。
Re: (スコア:0)
容易ではないのでしょうねぇ。
日本では評価の基準が歪ですので無理でしょうね
1億の売上を上げた人と
1億の損失を防いだ人と
どう評価しますかとなったとき
売上を上げた人は利益1億上げてないのに評価されますが
損失を防いだ人は損益1億を回避したのに評価されません
実効性のある重い罰則の法で縛らない限り
日本での改善の見込みは皆無でしょう
# 可能性があるとすれば国内が外資に完全支配されたときくらいかなぁ
Re: (スコア:0)
何というか、海外旅行で危険な地域に行くときの様な警戒心が無いんですよね。
どうしても、身の安全はあることと、脅威が目に見えないことが、警戒心が湧かない理由だと思います。
被害に遭った零細企業が「自分が狙われた理由がわからない」と言っていたけど、・・・。
攻撃者の要求(目標)金額が10万円とか20万円(あるいは100万円)でも、彼らの国の平均年収に相当するとか、そういう経済格差の視点も教えられないと気づかないものですからね。
# プログラマの平均年収は200万円(全世界平均)とか言っているところもありますよね。(どこの統計ですかね。)
大ざっぱに言っても、50万円の支払い能力があれば十分に標的にされるわけですよ。企業、個人問わず。
# 私自身も年収100万円クラスのプログラマ等の存在を見落としていました。
# これを意識改革の素材にでもしてくださいませ。