Tripwireの調査によると、ITプロフェッショナルの大半はセキュリティーリスクについて経営陣に相談しないとの結果が出たそうだ(プレスリリース、本家/.)。 調査は米国と英国のITプロフェッショナル1320名を対象に実施されたもの。回答者の64%がセキュリティーリスクに関して経営陣に知らせることはないか、深刻なセキュリティーリスクが判明した場合にのみ知らせると答えたという。47%がセキュリティーリスク管理と経営側の協力関係はほとんどないか、むしろ敵対しているといい、51%はセキュリティーリスクについて経営陣と連絡をとりあったところで何の効果もないと回答したとのことだ。
トータルコスト次第 (スコア:4, すばらしい洞察)
最悪の想定に対して対処できる根拠を持った上で
理想へ進むのが良い上官だけど
そんな恵まれた環境なんて奇跡的な確率でしか存在しない
大抵はネガティブな話にファビョりますものね
そんな相手に割いてやれる時間なんてないのが現状
余程の高確率で起こり得る大惨事でない限り
報告してしまうことのほうが業務に対して損害となります
# まぁ高確率で起こり得る大惨事であってもファビョって最悪手選んだりするわけですが
絶対怒らないから報告した結果がこれだよ (スコア:4, おもしろおかしい)
報告すると仕事が増えるよ。
報告すると非難されるよ。
……そして誰も報告しなくなった。
Re:トータルコスト次第 (スコア:2, 興味深い)
俺もこれだ。
トータルコストの判断が出来ない人には余程のことがなければ何も言わない。
判断基準は人それぞれで構わないがリスクと、過剰にリスクを対処することによる損失をトレードオフとして考えられる人でなければならない。
それが出来るだけの最低限の知識と権限、バランス感覚を持ってることが前提。
そんな人なかなか居ないんで結局は話さないってことになるんだけどね。
今の上司も役員が怖くてセキュリティでなくてもほんの少しの失敗もしたくない人なんで無理だな。
Re:トータルコスト次第 (スコア:4, すばらしい洞察)
建前上、トータルコストの判断は上司しかできないはずなんですよね。でも、部下が上司を教育するわけにはいかない、ってのも建前上は正しいわけですから、こういう状況になるのは自然な流れでもあるわけです。
卑近な例にすると、「上司に能力や度量がない」という方向に話が落ち着きそうですが、システマティックにこういう傾向がでると予測できるなら、やっぱり、システマティックにそれを予防する対策をするべきなんでしょうね。社則とか例会とか。うまくいきそうなイメージが全く湧きませんけれども。
相談したけど (スコア:2)
部下さえ黙らせれば何もリスクなど無い、と考えたようだ。その結果? いや…これを放置したら大問題になる程度の事も分らなくてセキュリティー担当など勤まらないでしょう、とだけ言っておきます。
Re: (スコア:0)
まぁ、会社は株主のものであり、セキュリティ担当の役員を指名するのは株主総会の権限ですから…
Re: (スコア:0)
つまり、自社の株を買って株主提案をすればいいんですね。
# 買収資金は、セキュリティホールをついて(以下略)
現状維持 (スコア:1)
今動いてるからできるだけなにも変えたくないという理由でパッチすら当てたがらないところ多いからなぁ。
海外にも似たようなところあるんだろうか。
Re: (スコア:0)
> 今動いてるからできるだけなにも変えたくないという理由でパッチすら当てたがらないところ多いからなぁ。
多い?
君の周りだけじゃいないの?
Re: (スコア:0)
サーバーやシステム周りでは定番でしょ
「動いているものは触るな」
程度問題だとは思うけどね
Re: (スコア:0)
現状維持 =実績がある
現状から更新する=実績がない+作業が発生する
と捉えられる。
リスクは無視ですか。そうですか。
Re: (スコア:0)
更新するほうがリスクが大きいと捉えてるんじゃないですか。
一般的に (スコア:1)
淘汰で生き残るのは一部だけに決まってるんだから
大部分がいずれ滅びる状態なのは当然だな。
これは、現在の淘汰条件がセキュリティーリスクという事かも知れない。
the.ACount
そりゃそうでしょ (スコア:0)
経営陣も実務に関わるような零細企業は別として、いちいち個別の案件を報告したりしないでしょう。
>深刻なセキュリティーリスクが判明した場合にのみ知らせる
これが一般的かつ妥当な判断。
Re:そりゃそうでしょ (スコア:3)
現場の判断は信用ならん!ということになって
どんなことでも見つけたら報告!という方針になる
経営陣および本部機構に特に判断能力があるわけでないので、結局原則的な対応
現場の業務が回らんくなる(管理業務、チェック業務がやたらに増える)
経営「では」 (スコア:1)
経営「深刻なセキュリティリスクとは何かね?」
ぼく「お前ら」
Re: (スコア:0)
普通は直属の上司に報告しますよね。
それに、少なくともインシデント管理は経営陣の仕事ではなく、
それなりの規模であれば兼任か専任かはともかくインシデント管理のチームを組んでるでしょう。
Re: (スコア:0)
一円も生み出さない対策話は嫌がられるしな
リスクを伝えるのは大変だし
Re: (スコア:0)
どうせ保守なんておざなりにされるので、
リスクは上に伝えるけれど、対策するしないは判断しないことにしている。
何かあったときは、判断した人の責任。
Re:そりゃそうでしょ (スコア:1)
「リスクの深刻さを経営陣に正しく伝えていなかった」と詰め腹を切らされる未来が見えるぞ・・・・
Re: (スコア:0)
「相談したじゃないですか」
「なんでそこまで深刻だと言わなかったんだ」
こうですか?
Re:そりゃそうでしょ (スコア:3, おもしろおかしい)
それはよくある基本形。日本でよくある展開形は次の通り。
IT「深刻だといったじゃないですか」
社長「全く読み取れなかった」
報告書:
「要旨: 弊社のネットワークシステムのベースデザインに問題が発見されました。
このままでは弊社の最も重要な資料にまで容易にアクセスされる危険性があります。
対策費用は 3億円、実施時間は4ヶ月かかります。」
IT「これですよ?!」
社長「見た覚えがない」
IT「しかしちゃんと社長の閲覧印が押してあります」
社長「押した覚えはない」
秘書「社長の命令で代わりに押しましたが何か?」
fjの教祖様
Re: (スコア:0)
ディルバートとかでよく見るので日本だけじゃないかも
Re: (スコア:0)
対策による損失予測とか、対策しなかったときの損失予測とかも同時に提示しないの?
重要な資料はパスワードを書けて保存しましょうですんでしまうとか、松竹梅の各コースを提示しないの?
Re:そりゃそうでしょ (スコア:1)
対策しなかった場合の損失予測はさすがにIT部門が持っているデータだけでは推測不能でしょう。
fjの教祖様
Re:そりゃそうでしょ (スコア:1)
「深刻だって言ったじゃないですか」
「何でもっと大きな声で言わなかったんだ」
ほぼ実話。リスクについて具体的に説明済みでした。
チャレンジだのリスクを取るだの格好いいことを言ってて、いざ起きるとこうでした。
経営陣にもアンケート取ってみたら? (スコア:0)
「ITスタッフからセキュリティリスクの報告を業務として受けるべきか?」
「ITスタッフからセキュリティリスクの報告を受けた場合どう対応するか?」
みたいなアンケート取ってみたらいいんじゃない?
報告しとけ (スコア:0)
経営陣にかどうかは別として上司には報告しとけ。
判断は任せて事実だけを伝えろ。
当然、どうすると良いかの助言はするとしても、最終判断は上司にさせる。
黙ってて問題が発生したらその責任は自分に掛かる。
(現実的に責任を取らされることなんてのは、ほとんど無いだろうけど)
報連相は会社のためじゃなく自分を守るためにすべき。
Re: (スコア:0)
40代前後くらいの直属上司くらいまでならそれで「こうしよう」って真っ当な提案があるけど
50代くらいと思われる部長以上のクラスになると、そもそも判断基準が出来上がってないんだわ・・・
だから、下に全部丸投げ、結局どうしろ?って言うんだって言う
判断出来ないので責任を下に押し付けます全開な回答が帰ってきます(´A`)
俺は直属上司に判断仰げばいいだけだからいいけど、その直属上司は上の通りなんで判断仰ぎにすら行きません
Re: (スコア:0)
そんなのOKかNGかの判断だけ委ねて責任だけ押し付けろ。
自分の考えた方向に進めるチャンス。
判断を仰ぐって言ってもどうしたい・どういう方向が良いか、そう考えた理由くらいは伝えてやれ。
それすらせずに状況のみの説明して、どうすれば良い?なんて聞いたって上司は判断できん。
その理由や状況を聞いてそれでOKかNGかを判断するのが上司の仕事だろ。
報告内容に嘘や間違いが無ければ、その判断により問題が発生した所で、
最終的に上司のはんこさえ押させてしまってれば責任の在処は上司にある。
Re: (スコア:0)
同意。
「セキュリティリスクについて報告」→「上司が却下」
これも仕事なんだよね。
上司が「判断」自体ができないのか、IT知識がないだけなのかで異なってくるけれど、
IT知識がないだけなら、IT部分をかみ砕いて上司が判断できるものに仕上げるのが部下の仕事。
判断そのものができないのならハンコマシーンにするのが部下の仕事。
上司の無能をアピるためには、部下である自分の仕事を上司の上にまで到達させるのが効果的なので、
自分から上司に情報を流し続けて、上司の上にまで情報を押し上げていくことが大切。
無能な上司に付き合って口を閉ざして、自分まで無能扱いされる必要はない。
別にIT部門に限らない気がする (スコア:0)
直接の利益にならない上に、技術的、専門的な話になりがちで煙たがられ、そのうち相談すらしなくなるなって問題が起こるまで放置されるなんて流れは。
これは海外の話だけど、これが日本だと更に言霊信仰というか、縁起でもないこというなって怒られたりするから益々いいたくなくなるよね。
ITじゃないけど福島以前の原発もそんな感じだったんじゃないかな。
Re: (スコア:0)
福島以後もそんな変わってないと思うけどね。
「うちは起きないだろう」と妄信してるだろうし、経営陣も「少なくとも自分が経営してる間に問題が起きなければいいや」という心理もありそう。
利益にはならないが長期的な損失を抑える効果はあるだろうけど、見えなさすぎて優先順位が低いんでしょうね。
言ってみれば保険みたいなもの。なくても生きていけるけど問題が起きた時は大変なことになる。
経営陣への報告なら (スコア:0)
金額に換算しないと、経営陣には伝わらないでしょう。
ただ、他の業務とかけ離れすぎていて、かなりの大組織でもないと金額の算出はちょっと無理っぽいです。(大組織でも、多分鉛筆をなめて作ることになる)
そこで間を取って、企画系の人をうまいこと巻き込んで重要度の指針を作り、それに沿って重要度と対策費用・期間を報告する、ってあたりが現実的でしょうかね。
# 重要度の区分は、例えば「経営上重大な影響のあるリスク」「特定部門の業務に軽微な影響のあるリスク」とかかな。
Re: (スコア:0)
なんか経営者ってシムシティで遊んでる感覚なのかな
何でもかんでもパラメータで表現できると信じてるのかな