アカウント名:
パスワード:
これが恐ろしいことに20年以上前から全く進歩していなくて、たとえばパスワードポリシーにしても・パスワードは複雑にさせる(英数大文字小文字記号を含む8文字必須)・パスワードマネージャは使用禁止(わざわざ「組織のポリシー」で禁止してる)・パスワードは1ヵ月に1回変更強制。過去使ったものは使わせない・強度の低いパスワード監査のため、復号可能な状態で保存とかとか、「ウチはセキュリティには厳しいので」と豪語してる大企業で罷り通ってる有様。
で、当然の如く付箋貼ったりする奴が出てくるので「付箋で貼ることは禁止」と別途通達出して、今度はデスクトップに「パスワード.xlsx」とか作られて、それが漏洩して大事故。しかも漏洩経路不明。PCに監視ソフト入れてるくせにログ調べても追跡できないとか言ってる。
脆弱性とか論じる以前の段階なので、何がセキュリティなんだかもうわけが分からん。
昨年、情報漏洩やマルウェア被害が新聞で何度も報道された。うちの会社もテレワークでアクセスする際は2要素認証必須になった。今、20年前のポリシーを使っている企業は情シス部門というより社長がのんき?ヤバい?と思う。
めんどくさくする方向のセキュリティには熱心なのでMFAは当然入れてる。が、Authenticatorアプリで承認するとか簡素にする方向のセキュリティは禁止。SMS認証に拘ってる。
社長はのんきというより興味ないと思う。めんどくさいこと増やして対策してる風に見せてれば満足するので。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
物事のやり方は一つではない -- Perlな人
情シス担当の考えるセキュリティ対策 (スコア:0)
これが恐ろしいことに20年以上前から全く進歩していなくて、たとえばパスワードポリシーにしても
・パスワードは複雑にさせる(英数大文字小文字記号を含む8文字必須)
・パスワードマネージャは使用禁止(わざわざ「組織のポリシー」で禁止してる)
・パスワードは1ヵ月に1回変更強制。過去使ったものは使わせない
・強度の低いパスワード監査のため、復号可能な状態で保存
とかとか、「ウチはセキュリティには厳しいので」と豪語してる大企業で罷り通ってる有様。
で、当然の如く付箋貼ったりする奴が出てくるので「付箋で貼ることは禁止」と別途通達出して、
今度はデスクトップに「パスワード.xlsx」とか作られて、それが漏洩して大事故。
しかも漏洩経路不明。PCに監視ソフト入れてるくせにログ調べても追跡できないとか言ってる。
脆弱性とか論じる以前の段階なので、何がセキュリティなんだかもうわけが分からん。
Re: (スコア:0)
昨年、情報漏洩やマルウェア被害が新聞で何度も報道された。
うちの会社もテレワークでアクセスする際は2要素認証必須になった。
今、20年前のポリシーを使っている企業は情シス部門というより社長がのんき?ヤバい?と思う。
Re:情シス担当の考えるセキュリティ対策 (スコア:0)
めんどくさくする方向のセキュリティには熱心なのでMFAは当然入れてる。
が、Authenticatorアプリで承認するとか簡素にする方向のセキュリティは禁止。SMS認証に拘ってる。
社長はのんきというより興味ないと思う。めんどくさいこと増やして対策してる風に見せてれば満足するので。