人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

【システム・セキュリティ】
企業で情報・システム担当の方に質問です。セキュリティ・ソフトウェアを入れていても、防ぎ切れない「こんなことでこまっている」というようなことがあったら教えてください。よろしくお願いします。

●質問者: ICE_9
●カテゴリ:コンピュータ
✍キーワード:システム セキュリティ ソフトウェア 企業 担当
○ 状態 :終了
└ 回答数 : 3/3件

▽最新の回答へ

1 ● Quphondi
●27ポイント

昨年度まで担当しておりました。社内で議論する前提としたシステムでは禦げず、かつクリティカルなのは


・ノウハウ、未公開情報など知っていることを、故意の有無によらず他所でしゃべること


です。家族がライバル企業、漏れては困るところで働いているとか、転職・退職の際にリスクがあります。

他にも

・人間的な暗号、お互いにしか判らない諜符でのやりとり(麻雀でいうなら”通し”です)

これはシステムでは禦ぎようがありません。

あまりガチガチにすると人間は抜け道、抜け穴を探すので、返って漏洩リスクを高めることになる、よって、システムによるガードはほどほどにしようという方針になりました。

http://q.hatena.ne.jp/

URLはダミーっす。

◎質問者からの返答

ありがとうございます。人的要因、また「セキュリティリテラシー」ということですね。参考になります。


2 ● スナフキン
●27ポイント

当たり前ですが、セキュリティソフトウエアはツールであり、その使い方を間違える(故意でも過失でも)場合は、セキュリティ上の「防ぎ切れない」リスクは残ります。

もっと云えば作業者の心にまで踏み込むことが出来ない以上、どのようなツールを以ってしてもリスクは残るのです。

例えば正しい権限を持った利用者が正しい手続きを踏んで正しくアクセスした場合、目的とする情報は丸裸になってしまいます。その利用者が悪意を持っているか、今後持ちえるかは誰にも(もしかすると本人も)わかりません。

一部ではそういった心の問題に関しても心理的アプローチと組み合わせるツールの開発も進んでいると漏れ伝えられています。

見聞きした範囲で困った事例を挙げると、職位、職責の高い方々への応対だったりします。こういった方々の中には職位、職責に応じた高い権限をアカウントに付与するように要求してきます。パスワードのいい加減な設定しか出来ない人に権限を与えることはそのままリスクなのに中々理解してもらえなかったりします。

企業の不祥事の多くに経営層が関与している場合であるのはご承知の通りです。

◎質問者からの返答

ありがとうございます。なるほど、権限を持つ人ほど、心理的な要素が大きくなるということですね。


3 ● burningfarm
●26ポイント

上記、回答のお二人、質問者の方も人的要因について触れられていますが、そこをどうマネージメントしていくか?という事を規定し運用していく事。そして、それがきちんと実施されているか?を認証する制度としてISO/IEC27001,ISMSなどがあります。

[rakuten:book:11106458:detail]

http://www.isms.jipdec.jp/isms/

http://www.isms.jipdec.jp/

ちなみにISO27001,ISMSの中にはリスクアセスメントとしてセキュリティのリスクを洗い出して認識し、その「防ぎ切れない」ものをどう対策するか?(残留リスク)という点に関してをどうするかという事があります。リスクはリスクとして「そりゃ、しゃーねーなー」と受容するという選択肢もあります(経営陣の承認があれば)

『防ぎ切れない「こんなことでこまっている」』ってのを予め認識できているか?(洗い出せているか)ってのが大事だとおもいます。

# 元の質問の回答になってなくてすみません。

◎質問者からの返答

ありがとうございます。人的要因のマネジメントまで踏み込んでいただきましたね。多分この議題はCIOを含む経営陣の決断によるところなのでしょうか。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ