パスワードを忘れた? アカウント作成
24093 story
NTT

NTT西日本、「セキュリティ投資すごろく』をWebで公開 32

ストーリー by nabeshin
限られた予算からスタートするのが泣ける 部門より

tany 曰く、

NTT西日本がセキュリティ投資すごろくというものを公開しています。NTT西日本のトータルセキュリティのページによると『「セキュリティ投資すごろく」であなたの投資センスを試してみませんか? 限られた予算内でセキュリティ対策を選択、セキュリティの脅威から逃れ、ビジネスチャンスを得ることができるでしょうか。』と書かれています。すごろくというよりモノポリーのような感じですが、休み時間に一回どうですか?

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • やってみた (スコア:4, おもしろおかしい)

    by Anonymous Coward on 2008年04月25日 16時58分 (#1335992)
    自主休み時間にやってみた
    何回情報漏えいしても、自主的に公表すれば被害は抑えられるってNTTが考えてるってわかった

    #ビジネスチャンスに3回止まってことごとくサイコロに泣かされた
    ##ビジネスには情報漏洩対策より運が大切!ってことですね
    • Re:やってみた (スコア:3, すばらしい洞察)

      by Pravda (33859) on 2008年04月25日 17時53分 (#1336018) 日記

      自主休み時間にやってみた
      同じく。

      「セキュリティ対策に終わりはない」という意味で、モノポリー風にくるくる回るようにしている点は評価したいと思います。

      しかしセキュリティ対策は初期投資だけでなく、毎年けっこうな費用がかかるので、その点がもの足りないというか…。

      親コメント
    • 社員教育 (スコア:2, おもしろおかしい)

      by Anonymous Coward on 2008年04月25日 19時29分 (#1336049)
      Winnyするなと社員教育しておくと、素直にやめてくれる。
      そんなのあり得ないよ。
      親コメント
      • Re:社員教育 (スコア:4, 興味深い)

        by johnnie (35138) on 2008年04月26日 0時40分 (#1336160)
        対策してなければ
        「自宅PCに入っていた、顧客情報を漏えいするところでした。」
        だって

        NTTは社員の自宅PCに顧客情報が入っているのは問題無いって考えているんだな。
        親コメント
    • Re:やってみた (スコア:2, おもしろおかしい)

      by greentea (17971) on 2008年04月25日 21時47分 (#1336091) 日記
      いいぞ!災害起これ!災害起これ!
      よしよし!USB紛失するんだ!いいぞ!
      --
      1を聞いて0を知れ!
      親コメント
    • by smilingpet (21791) on 2008年04月25日 18時54分 (#1336038)
      「ちまちまメール対策するよりドーンと災害対策しとこうぜ!」という啓蒙なのか。

      #一回目はそこそこ稼いでいたのに、災害対策でふっとんだ。
      #二回目は安い対策は捨てて望んだら、災害対策で逆転、そのまま社長表彰。
      #何だか庶民感覚とかけ離れている気がするんだなあ。
      親コメント
    • by Anonymous Coward on 2008年04月26日 0時05分 (#1336143)
      ライバルがwinnyで漏洩&公表せずに大事になって大損害となり、勝ったと思った
      しかし、ビジネスチャンスで両方ともISMSを取っていたからサイコロの目で仕事を持っていかれて負けた
      結局ビジネスは運なのね

      親コメント
    • Re:やってみた (スコア:1, おもしろおかしい)

      by Anonymous Coward on 2008年04月26日 1時19分 (#1336167)
      暗号化してたらHDDやUSBメモリを無くしてもOK、ってNTTが考えてるのもわかった。
      親コメント
    • by Anonymous Coward
      「ファイル ひろがる わかちあう」に言われたって、説得力なしですな。
  • ISMS だけ外してやってみたけど、一度も使うことはなかった。
    対戦相手も遣うことはなかった。

    --
    --- show mpls ldp neighbor
  • by Anonymous Coward on 2008年04月25日 21時14分 (#1336078)
    個人情報収集サイトを立ち上げ。SSLで暗号化。
    サーバ証明書を買う?(投資額:4万円/年)
      ↓
    [買わない]を選択
      ↓
    スタート
      ↓
    3コマ進む
      ↓
    掲示板で批判される。
    NTT西日本、問い合わせサイトのSSLが「オレオレ証明書」 [srad.jp]
      ↓
    糞会社だとレッテルを貼られる
    損害額:-500万円
      ↓
    6コマ進む
      ↓
    ビジネスチャンス
    セキュリティ投資すごろくで宣伝
    スラッドットにとりあげられる
      ↓
    「サーバ証明書も買わなかったような会社がよく言うわ」
    と再び馬鹿にされる。
    損害額:-100万円
      ↓
    • >サーバ証明書を買う?(投資額:4万円/年)

      あれは、あれはセレブが買うもんたい!
      親コメント
    • by Anonymous Coward
      他の中小企業と違ってNTTの場合、4万円で済むなら節約はしないと思うな。

      A NTT社外が格付けしているサーバ証明書は必要?
      B 私たちは天下のNTTなので自作で問題ありません

      って感じだと思うけどね。
      もし、本当にコストだけが問題ならば、せいぜい昔のアナログ技術に詳しい
      お偉いさん裁量で丸投げして、NTTの技術者は関わっていないだけだろう。

      >損害額:-500万円
      >損害額:-100万円
      雇ってる派遣を半年延長しなけりゃ浮くような金だからなあ、
      「600万円で名前が売れたぜ」って考えるだけかもね。
      そもそも、

      >スラッドットにとりあげられる

      どこのサイトか知らないがw
      裁量権を持つ人間の大多数にウケればいい、気づかれなければいいというのがある。
      技術的詳細など判断つかない素人(他の分野ではプロ)に、ろくに説明をしないで
      売り抜ける不安ビジネスが横行してるから、企業的背景・露出度で選ばれてしまう。
      ハッカーセーフ(笑)とかね。
  • by LightSpeed-J (4514) on 2008年04月25日 23時09分 (#1336126) ホームページ
    実際の社会では、セキュリティ対策の投資の額が、
    妥当かどうかを判断するのが、最も難しい気がします。

    その点、この双六では、

     ・起こったトラブルの損害額が明確な金額でわかる
     ・損害を回避できたと判断されれば、それを利益?と見なす

    と、
    ルールがシンプルなのでうらやましい限りです。

    実際の企業ではどうなのでしょうか?

    どんな対策をとったとしても、
    トラブルが発生するのが世の常ですが、
    その際、毎回、損害額の算出をしているという話は聞きませんし、
    そもそも、損害が出ていることに気がつくケースがすべてでなかったり、
    メールの誤り送信。なんて、さっくり見逃されてるのでは? と思います。

    #いや、私じゃあないですよ。

    漠然と思うそういう点を、
    はっきり判らせてくれるという意味では、
    良くできたゲームかもねえ。と思いました。

    ああ、あとね、
    NTT西日本さんが入退管理を売りたいって、
    そういう気持ちは良く伝わってきます。
    --
    -- LightSpeed-J
    • by greentea (17971) on 2008年04月26日 4時30分 (#1336188) 日記
      その気づかないところをカウントしないなら、

      ・ooに投資して、xxのコストがかかりました←カウントされる
      ・zzが起こりましたが、ooに投資していたおかげで損失が最小限に抑えられました←カウントされない
      ・ZZが起こりましたが、OOに投資していれば防げたのにしていなかったので、XXもの大変な損害を出しました←カウントされる

      結論
      せっかくxxものコストをかけて投資したにも関わらず、XXもの大変な損害を出してしまった。

      さて、例えば予算を決定する人が、そのように解釈したとすれば、どうなる?
      たくさんのコストを要求してセキュリティ対策に講じても、防ぎ切れなかった部分で損害が出て、
      責任を押し付けられる可能性を考えたら、あなたはどのようなセキュリティ対策をする?

      そう考えたとき、私が担当者になったとしたら、全パソコンにノートン先生入れといて、
      適当なガイドラインみたいなのを作ってシステム利用者全員に配って、
      後は何もしないで、何か起きたら「ウイルス対策もしてるし、ガイドラインもしっかり配ったし。
      それにも関わらずこのようなことが起こるなんて、非常に悪質な行為だor社員の重大な過失だ」
      と言うって道を選択するんじゃないですかね。
      --
      1を聞いて0を知れ!
      親コメント
  • もう、予算組みの時期は過ぎちゃっているので、「旬は過ぎちゃった」感がありますけど、来年度予算の会議でお偉いさんの前でやってみたいなぁ。(まて

    わたし:「今、当社で導入済みのセキュリティ対策はこれとこれとこれです」
    わたし:「今年度で投資したいのはこれとこれです」
    わたし:「じゃ、投資した場合としない場合とで結果がどのように変化するかシミュレーションしてみましょう」
    役員様:「君、まじめな会議でゲームをさせるつもりかね?」
    わたし:「だまされたと思ってやってみてください」
    (・・・20分後)
    役員様:「なんだ、追加投資をした方が結果が悪いじゃないか」
    わたし:「えぇ。だから、私の仕事を減らしてください」
    役員様:「ん。わかった。明日から会社に来なくていいよ」

    あかん。オチになってねーよ
    orz

    --

    幸せ≒やまびこ [slashdot.jp]
  • セキュリティ対策過剰 (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2008年04月26日 14時14分 (#1336297)
    投資すりゃメリットしかないってのはおかしいよな。
    デバイス規制までしたら、仕事の効率下がるし、
    がんじがらめになればなるほど、なんとか勝手なことをしてやろうという社員が増える。
    それぞれの対策に1マス移動する度にマイナスになるような補正をかけるべきだな。
  • 10分でわかる!? (スコア:1, おもしろおかしい)

    by Anonymous Coward on 2008年04月25日 19時20分 (#1336046)
    回線が遅いので、10分たったけどフラッシュのダウンロードが終わってません(泣)。

    法人向けだからここまで遅いのは対象外か。
  • by Anonymous Coward on 2008年04月25日 23時36分 (#1336135)
    終了後の「よく選ばれる対策ランキング」を見ると
    ・PC操作ログ対策
    ・Webアプリケーション対策
    が最も外されてるようです。
    まじですか!?自分の感覚と全然違うんですけども。
    ログを見るのは早期発見に欠かせないし、スクリプトベースのWebアプリケーションなんて、一番狙われやすいのに。
    個人的には
    ・入退室管理、映像監視
    ・Pマーク、ISMS
    あたりが万が一のときにも一番叩かれにくそうに思いました。

    #もしかして、私、スラドに毒されてますか?
    • by Anonymous Coward
      おお、私もその2つを外しました。
      それの事故が起きたときにNTTはどんな解説をしてくれるのだろうと興味を持って外しましたよ。
  • 一応基本はなっている模様ですので、出来ると思います。
    好い暇つぶしになるかも

    初期投資の方で全てが決まるゲームだな。
    買えって意味かみかかさん
  • 投資をしなかった結果、起こってしまった出来事がマイナス計上されるのはいいとして、
    投資をした結果、防げた出来事をプラス計上するって、おかしくない?
    「○○が発生しましたが、対策をしていたため損害はゼロでした」が個人的にはしっくりくる。

    つまり、このゲームはいかにマイナスにしないかを競うだけのゲームで良かったのでは?
    • by Anonymous Coward
      実際のお金じゃなくて、「投資対効果額」だからいいんじゃない? 2,000万円投資したけど、2,500万円分も防いだから投資した価値があったんだという考え方ということで。 現実的に防いだ額を算出するのは大変だが、ログとか見て自動的にレポートしてくれるツールがあったらいいなぁ。
  • by Anonymous Coward on 2008年04月25日 17時36分 (#1336012)
    セキュリティ対策って相手・ライバルというものが存在するようなものなのか?
    • Re:そもそも (スコア:3, すばらしい洞察)

      by Anonymous Coward on 2008年04月25日 17時40分 (#1336013)
      セキュリティ「対策」じゃなくて、セキュリティ「投資」
      経営判断なんだから競争相手がいるのは当然でしょう。
      親コメント
  • by Anonymous Coward on 2008年04月25日 18時09分 (#1336020)
    1回目は1,100万円で終わって「部長表彰」だった。2回目は対策を変えずにやったら2,150万円で終わって「社長表彰」だった。 社長表彰の条件(しきい値?)ってなんだろうね?
    • by Anonymous Coward
      2000万なんじゃ?
      自分は1750万で同じく部長表彰でした。

    • by Anonymous Coward
      「災害対策」と「認証取得」以外にチェックしてやった。

      結果の画面のスナップショットは撮ったけどいくらで終わったのか載ってない
      &忘れたのでなんだが、社長表彰をもらった。(確か2000万以上)

      結果の画面の「効果を上げた対策」の合計でいいのかな。であれば2200万。
      マイナスはなし。
      • by Anonymous Coward
        同じ設定で-1500万。うーむ。
        そもそも問題なくて当然な認識をされてて、
        利益として捉えてくれる企業はどれ位あるのかなぁ
      • by Anonymous Coward
        #1336042のACです。

        もう一回やってみた。今度は「不正侵入対策」と「災害対策」以外をチェック。
        結果2150万で、社長表彰もらいました。今回もマイナスなし。

        #今回の「効果を上げた対策」の合計は1800万だから、前回の金額はもうちょっと上だったみたい。

        内容としては、内部犯行が多かったです。
        人事はもうちょっとしっかりして欲しいです、まる。

        前回は「認証取得」してなかったためビジネスチャンスを逃したので、今回チェックを
        入れてやってみたけど、今度はそのマスに止まらず役に立たなかった。

        #実際には、セキュリティ関係の仕事はしたことないんですよね。
        #暗号化とかその辺り、未だにサッパリだし。
  • by Anonymous Coward on 2008年04月25日 18時41分 (#1336034)
    さいころやって感想でも・・・と思ったら、部門名がなんとも痛々しかったり:-(

    #社長に見せ付けてやりたいっすよ、なのでAC
  • by Anonymous Coward on 2008年04月25日 20時18分 (#1336063)
    プライバシーマーク・ISMSのみ取得で、3回やって1回だけだけど勝てた。
    しかし、こんなざるなセキュリティでプライバシーマークやら取れていいのか?
typodupeerror

物事のやり方は一つではない -- Perlな人

読み込み中...