アカウント名:
パスワード:
テレワークがそれなりに浸透した昨今、機密の軽重あれどデータの入ったノートPCを持ち運ぶ事を前提としている現場も多いだろう。物理的な紛失の回避を努力はすれど、十分な数のケースがあればミスをゼロにできるとする考え方は現実的ではない。と想定すれば、確率的にノートPC紛失の発生は起こるものであり、それは前提でセキュリティを維持するべき?(→詰めると当該従業員に物損以上の責を問わない思想になる)
セキュリティと言えばIPA。モバイルデバイスの情報漏洩対策設定マニュアルを公開しています。 [ipa.go.jp]
今回、取り扱われた情報は氏名と受講講座名ですので、情報価値レベルは2と3の中間あたりで、最低限のセキュリティ対策は利用者認証の厳格化と暗号化による対策の多重化。具体例として、
が示されています。
今回の事例ではファイルの暗号化については記載されていませんが、その点は対策不足と指摘できるでしょうか?
# 不必要に持ち出すべきではないは当然として、# 持ち出すときの対策はsradでは会話のネタにならない?
ファイルの暗号化・・・ファイル名はそのままなのですね!受講生毎にファイルが作られていて中身みれなくとも受講生の名前は漏洩すると。
ドライブの暗号化するのが筋でファイル単位にやってもあんまり意味ない。
ドライブ暗号化しても、ファイル名は編集履歴等でレジストリに残っていたりするから結局漏洩したりするけどな。
置き忘れみたいなミス以外にも盗難もあるからなぁ。肌身離さず持っとけって?
普通のセキュリティワイヤーを取付けて、ワイヤーを袈裟懸けにする
社会に目を向けよう、例えば車確率的に事故は避けられんシートベルトやエアバッグはその事故ありきの対策だが、それはそれとしてその事故に過失があれば罰せられるだろ世界中で行われているごく普通の運用『回避の努力』とやらで責が変わる(こともある)のも同様
それはむしろ事故のダメージを無効化するのが不可能だから事故を回避するための手段を講じるしかないごく普通のパターンであって。
たとえ話ならもっと良いものを。
> 確率的にノートPC紛失の発生は起こるものであり、それは前提でセキュリティを維持するべき?エアバックという実例
> 詰めると当該従業員に物損以上の責を問わない思想になるその様に事故が起こるのは当然だとしても責を問わない思想になってないという実例
# 例え話を読み取れないやついるよな
在宅勤務してても時には出社するだろ。そしたら作業用のPCは結局持ち帰りなんだから紛失前提は当然だろ。そうでなくとも自宅に空き巣に入られたとか、当人に責のない事態だって簡単に想像つくだろ。どこでも紛失時はどうするかってマニュアル化してるものだと思ってたが。
シンクラ使えって話だよVDIサーバの費用どうすんのという別の問題が出てくるが
そこに繋ぐ端末はどうするのさ。純粋なシンクライアントなんて今時存在するのか?ノートパソコンかタブレットしか選択肢ないだろ。どうしたってローカルに何か残るから同じさ。
端末なんて大した性能いらんのだからお古にクライアント突っ込んでキオスク化でもすりゃいいだろんで、ノートでもタブレットでもオンメモリのファイルシステム被せりゃ通常利用なら保存されようがない
そもそもシンクラ使ってローカルに何か残るって何の話だ?画面転送プロトコルだけ許可して、プロトコル内でファイル・クリップボード転送は禁止にすりゃ情報流出なんか後はディスプレイを写真取るくらいしか出来んぞ
テレワークがそれなりに浸透した昨今
浸透?流れ過ぎてまばらな水たまり程度にしか残ってないのが現状なような
# 隷属と称賛度合いを直に見れないとメンタル管理できないというのが一番の理由みたいな
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
普通のやつらの下を行け -- バッドノウハウ専門家
ノートPC紛失は「ありき」? (スコア:0)
テレワークがそれなりに浸透した昨今、機密の軽重あれどデータの入ったノートPCを持ち運ぶ事を前提としている現場も多いだろう。
物理的な紛失の回避を努力はすれど、十分な数のケースがあればミスをゼロにできるとする考え方は現実的ではない。
と想定すれば、確率的にノートPC紛失の発生は起こるものであり、それは前提でセキュリティを維持するべき?
(→詰めると当該従業員に物損以上の責を問わない思想になる)
IPA・・・ (スコア:1)
セキュリティと言えばIPA。モバイルデバイスの情報漏洩対策設定マニュアルを公開しています。 [ipa.go.jp]
今回、取り扱われた情報は氏名と受講講座名ですので、情報価値レベルは2と3の中間あたりで、
最低限のセキュリティ対策は利用者認証の厳格化と暗号化による対策の多重化。具体例として、
が示されています。
今回の事例ではファイルの暗号化については記載されていませんが、
その点は対策不足と指摘できるでしょうか?
# 不必要に持ち出すべきではないは当然として、
# 持ち出すときの対策はsradでは会話のネタにならない?
Re: (スコア:0)
ファイルの暗号化・・・ファイル名はそのままなのですね!
受講生毎にファイルが作られていて中身みれなくとも受講生の名前は漏洩すると。
ドライブの暗号化するのが筋でファイル単位にやってもあんまり意味ない。
Re: (スコア:0)
ドライブ暗号化しても、ファイル名は編集履歴等でレジストリに残っていたりするから結局漏洩したりするけどな。
Re: (スコア:0)
置き忘れみたいなミス以外にも盗難もあるからなぁ。肌身離さず持っとけって?
Re:ノートPC紛失は「ありき」? (スコア:1)
普通のセキュリティワイヤーを取付けて、
ワイヤーを袈裟懸けにする
Re: (スコア:0)
社会に目を向けよう、例えば車
確率的に事故は避けられん
シートベルトやエアバッグはその事故ありきの対策だが、それはそれとしてその事故に過失があれば罰せられるだろ
世界中で行われているごく普通の運用
『回避の努力』とやらで責が変わる(こともある)のも同様
Re: (スコア:0)
それはむしろ事故のダメージを無効化するのが不可能だから事故を回避するための手段を講じるしかないごく普通のパターンであって。
たとえ話ならもっと良いものを。
Re: (スコア:0)
> 確率的にノートPC紛失の発生は起こるものであり、それは前提でセキュリティを維持するべき?
エアバックという実例
> 詰めると当該従業員に物損以上の責を問わない思想になる
その様に事故が起こるのは当然だとしても責を問わない思想になってないという実例
# 例え話を読み取れないやついるよな
Re: (スコア:0)
在宅勤務してても時には出社するだろ。
そしたら作業用のPCは結局持ち帰りなんだから紛失前提は当然だろ。
そうでなくとも自宅に空き巣に入られたとか、当人に責のない事態だって簡単に想像つくだろ。
どこでも紛失時はどうするかってマニュアル化してるものだと思ってたが。
Re: (スコア:0)
シンクラ使えって話だよ
VDIサーバの費用どうすんのという別の問題が出てくるが
Re: (スコア:0)
そこに繋ぐ端末はどうするのさ。
純粋なシンクライアントなんて今時存在するのか?ノートパソコンかタブレットしか選択肢ないだろ。
どうしたってローカルに何か残るから同じさ。
Re: (スコア:0)
端末なんて大した性能いらんのだからお古にクライアント突っ込んでキオスク化でもすりゃいいだろ
んで、ノートでもタブレットでもオンメモリのファイルシステム被せりゃ通常利用なら保存されようがない
そもそもシンクラ使ってローカルに何か残るって何の話だ?
画面転送プロトコルだけ許可して、プロトコル内でファイル・クリップボード転送は禁止にすりゃ
情報流出なんか後はディスプレイを写真取るくらいしか出来んぞ
Re: (スコア:0)
テレワークがそれなりに浸透した昨今
浸透?流れ過ぎてまばらな水たまり程度にしか残ってないのが現状なような
# 隷属と称賛度合いを直に見れないとメンタル管理できないというのが一番の理由みたいな