NTT西日本、「セキュリティ投資すごろく』をWebで公開 32
ストーリー by nabeshin
限られた予算からスタートするのが泣ける 部門より
限られた予算からスタートするのが泣ける 部門より
tany 曰く、
NTT西日本がセキュリティ投資すごろくというものを公開しています。NTT西日本のトータルセキュリティのページによると『「セキュリティ投資すごろく」であなたの投資センスを試してみませんか? 限られた予算内でセキュリティ対策を選択、セキュリティの脅威から逃れ、ビジネスチャンスを得ることができるでしょうか。』と書かれています。すごろくというよりモノポリーのような感じですが、休み時間に一回どうですか?
やってみた (スコア:4, おもしろおかしい)
何回情報漏えいしても、自主的に公表すれば被害は抑えられるってNTTが考えてるってわかった
#ビジネスチャンスに3回止まってことごとくサイコロに泣かされた
##ビジネスには情報漏洩対策より運が大切!ってことですね
Re:やってみた (スコア:3, すばらしい洞察)
「セキュリティ対策に終わりはない」という意味で、モノポリー風にくるくる回るようにしている点は評価したいと思います。
しかしセキュリティ対策は初期投資だけでなく、毎年けっこうな費用がかかるので、その点がもの足りないというか…。
社員教育 (スコア:2, おもしろおかしい)
そんなのあり得ないよ。
Re:社員教育 (スコア:4, 興味深い)
「自宅PCに入っていた、顧客情報を漏えいするところでした。」
だって
NTTは社員の自宅PCに顧客情報が入っているのは問題無いって考えているんだな。
Re:やってみた (スコア:2, おもしろおかしい)
よしよし!USB紛失するんだ!いいぞ!
1を聞いて0を知れ!
Re:やってみた (スコア:1)
#一回目はそこそこ稼いでいたのに、災害対策でふっとんだ。
#二回目は安い対策は捨てて望んだら、災害対策で逆転、そのまま社長表彰。
#何だか庶民感覚とかけ離れている気がするんだなあ。
Re:やってみた (スコア:1, 興味深い)
しかし、ビジネスチャンスで両方ともISMSを取っていたからサイコロの目で仕事を持っていかれて負けた
結局ビジネスは運なのね
Re:やってみた (スコア:1, おもしろおかしい)
Re: (スコア:0)
ISMS って無駄なんだなw (スコア:2)
対戦相手も遣うことはなかった。
--- show mpls ldp neighbor
サーバ証明書というセキュリティ投資 (スコア:2, おもしろおかしい)
サーバ証明書を買う?(投資額:4万円/年)
↓
[買わない]を選択
↓
スタート
↓
3コマ進む
↓
掲示板で批判される。
NTT西日本、問い合わせサイトのSSLが「オレオレ証明書」 [srad.jp]
↓
糞会社だとレッテルを貼られる
損害額:-500万円
↓
6コマ進む
↓
ビジネスチャンス
セキュリティ投資すごろくで宣伝
スラッドットにとりあげられる
↓
「サーバ証明書も買わなかったような会社がよく言うわ」
と再び馬鹿にされる。
損害額:-100万円
↓
Re:サーバ証明書というセキュリティ投資 (スコア:1)
あれは、あれはセレブが買うもんたい!
Re: (スコア:0)
A NTT社外が格付けしているサーバ証明書は必要?
B 私たちは天下のNTTなので自作で問題ありません
って感じだと思うけどね。
もし、本当にコストだけが問題ならば、せいぜい昔のアナログ技術に詳しい
お偉いさん裁量で丸投げして、NTTの技術者は関わっていないだけだろう。
>損害額:-500万円
>損害額:-100万円
雇ってる派遣を半年延長しなけりゃ浮くような金だからなあ、
「600万円で名前が売れたぜ」って考えるだけかもね。
そもそも、
>スラッドットにとりあげられる
どこのサイトか知らないがw
裁量権を持つ人間の大多数にウケればいい、気づかれなければいいというのがある。
技術的詳細など判断つかない素人(他の分野ではプロ)に、ろくに説明をしないで
売り抜ける不安ビジネスが横行してるから、企業的背景・露出度で選ばれてしまう。
ハッカーセーフ(笑)とかね。
投資の評価が難しい点 (スコア:2, 興味深い)
妥当かどうかを判断するのが、最も難しい気がします。
その点、この双六では、
・起こったトラブルの損害額が明確な金額でわかる
・損害を回避できたと判断されれば、それを利益?と見なす
と、
ルールがシンプルなのでうらやましい限りです。
実際の企業ではどうなのでしょうか?
どんな対策をとったとしても、
トラブルが発生するのが世の常ですが、
その際、毎回、損害額の算出をしているという話は聞きませんし、
そもそも、損害が出ていることに気がつくケースがすべてでなかったり、
メールの誤り送信。なんて、さっくり見逃されてるのでは? と思います。
#いや、私じゃあないですよ。
漠然と思うそういう点を、
はっきり判らせてくれるという意味では、
良くできたゲームかもねえ。と思いました。
ああ、あとね、
NTT西日本さんが入退管理を売りたいって、
そういう気持ちは良く伝わってきます。
-- LightSpeed-J
Re:投資の評価が難しい点 (スコア:2, 興味深い)
・ooに投資して、xxのコストがかかりました←カウントされる
・zzが起こりましたが、ooに投資していたおかげで損失が最小限に抑えられました←カウントされない
・ZZが起こりましたが、OOに投資していれば防げたのにしていなかったので、XXもの大変な損害を出しました←カウントされる
結論
せっかくxxものコストをかけて投資したにも関わらず、XXもの大変な損害を出してしまった。
さて、例えば予算を決定する人が、そのように解釈したとすれば、どうなる?
たくさんのコストを要求してセキュリティ対策に講じても、防ぎ切れなかった部分で損害が出て、
責任を押し付けられる可能性を考えたら、あなたはどのようなセキュリティ対策をする?
そう考えたとき、私が担当者になったとしたら、全パソコンにノートン先生入れといて、
適当なガイドラインみたいなのを作ってシステム利用者全員に配って、
後は何もしないで、何か起きたら「ウイルス対策もしてるし、ガイドラインもしっかり配ったし。
それにも関わらずこのようなことが起こるなんて、非常に悪質な行為だor社員の重大な過失だ」
と言うって道を選択するんじゃないですかね。
1を聞いて0を知れ!
予算取りの説明資料にいいかも (スコア:2, おもしろおかしい)
わたし:「今、当社で導入済みのセキュリティ対策はこれとこれとこれです」
わたし:「今年度で投資したいのはこれとこれです」
わたし:「じゃ、投資した場合としない場合とで結果がどのように変化するかシミュレーションしてみましょう」
役員様:「君、まじめな会議でゲームをさせるつもりかね?」
わたし:「だまされたと思ってやってみてください」
(・・・20分後)
役員様:「なんだ、追加投資をした方が結果が悪いじゃないか」
わたし:「えぇ。だから、私の仕事を減らしてください」
役員様:「ん。わかった。明日から会社に来なくていいよ」
あかん。オチになってねーよ
orz
幸せ≒やまびこ [slashdot.jp]
セキュリティ対策過剰 (スコア:2, すばらしい洞察)
デバイス規制までしたら、仕事の効率下がるし、
がんじがらめになればなるほど、なんとか勝手なことをしてやろうという社員が増える。
それぞれの対策に1マス移動する度にマイナスになるような補正をかけるべきだな。
10分でわかる!? (スコア:1, おもしろおかしい)
法人向けだからここまで遅いのは対象外か。
どれを外すのがベスト? (スコア:1, すばらしい洞察)
・PC操作ログ対策
・Webアプリケーション対策
が最も外されてるようです。
まじですか!?自分の感覚と全然違うんですけども。
ログを見るのは早期発見に欠かせないし、スクリプトベースのWebアプリケーションなんて、一番狙われやすいのに。
個人的には
・入退室管理、映像監視
・Pマーク、ISMS
あたりが万が一のときにも一番叩かれにくそうに思いました。
#もしかして、私、スラドに毒されてますか?
Re: (スコア:0)
それの事故が起きたときにNTTはどんな解説をしてくれるのだろうと興味を持って外しましたよ。
みかかは人生ゲームを作るべき (スコア:1)
好い暇つぶしになるかも
初期投資の方で全てが決まるゲームだな。
買えって意味かみかかさん
経営ってそういうもの? (スコア:1)
投資をした結果、防げた出来事をプラス計上するって、おかしくない?
「○○が発生しましたが、対策をしていたため損害はゼロでした」が個人的にはしっくりくる。
つまり、このゲームはいかにマイナスにしないかを競うだけのゲームで良かったのでは?
Re: (スコア:0)
そもそも (スコア:0)
Re:そもそも (スコア:3, すばらしい洞察)
経営判断なんだから競争相手がいるのは当然でしょう。
社長表彰の条件 (スコア:0)
Re: (スコア:0)
自分は1750万で同じく部長表彰でした。
Re: (スコア:0)
結果の画面のスナップショットは撮ったけどいくらで終わったのか載ってない
&忘れたのでなんだが、社長表彰をもらった。(確か2000万以上)
結果の画面の「効果を上げた対策」の合計でいいのかな。であれば2200万。
マイナスはなし。
Re: (スコア:0)
そもそも問題なくて当然な認識をされてて、
利益として捉えてくれる企業はどれ位あるのかなぁ
Re: (スコア:0)
もう一回やってみた。今度は「不正侵入対策」と「災害対策」以外をチェック。
結果2150万で、社長表彰もらいました。今回もマイナスなし。
#今回の「効果を上げた対策」の合計は1800万だから、前回の金額はもうちょっと上だったみたい。
内容としては、内部犯行が多かったです。
人事はもうちょっとしっかりして欲しいです、まる。
前回は「認証取得」してなかったためビジネスチャンスを逃したので、今回チェックを
入れてやってみたけど、今度はそのマスに止まらず役に立たなかった。
#実際には、セキュリティ関係の仕事はしたことないんですよね。
#暗号化とかその辺り、未だにサッパリだし。
部門名が・・・ (スコア:0)
#社長に見せ付けてやりたいっすよ、なのでAC
サイバーノーガード (スコア:0)
しかし、こんなざるなセキュリティでプライバシーマークやら取れていいのか?