- - PR -
会社で行うセキュリティ対策
投稿者 | 投稿内容 | ||||
---|---|---|---|---|---|
|
投稿日時: 2003-12-24 12:02
現在、PCのBIOSパスワード、PCのログオンパスワード、ウィルス駆除ソフトの導入、ファイヤーウォールの設置と様々なセキュリティ対策が行われています
今後、ICカードを用いたPCログオンのセキュリティが導入されます ここで疑問が出てくるわけです セキュリティ対策は経費をかけないと出来ない物なのかと 皆さんの会社等のセキュリティ対策はどのようなことを実施されているか この場を借りてお聞きしたいと思います よろしくお願いします | ||||
|
投稿日時: 2003-12-24 12:26
ども。がると申します。
んと…セキュリティの概念がなんとなく広すぎるような。 この書き込みからだと「どの辺が気になっているのか」が、広すぎて逆に 見えてこないなぁ、というのが私の雑感です。 本来セキュリティは「守らなくてはならない脅威から守るためのもの」 だと思うのですが。 では、ぽちくんさんが守りたい「脅威」とはどんなものでしょう? 外部からの攻撃を基準に考えるとF/Wなどはわりと有効ですが(飽く迄 「わりと」です)、内部からの攻撃は多くの場合考慮されておらず、 脆弱であることが多いようです。 ウィルス駆除ソフトで「物理的破壊」を防御することは難しいですし、 ログオンパスワードもソーシャルクラックに対しては無防備です。 セキュリティを考えるときは、まず ・どのような脅威があり ・その脅威でどの程度の被害の可能性があり ・したがって防御が必要であるのか否か という段階が必要になると思います。 ちなみに、個人的にははやり「社員教育」が非常に重要かなぁ、と。 「出金」という意味合いで考えるなら経費はかからないですし(有識者が 社内にいれば)。 なによりも、最も弱く危険な「人間」という部分への強化になりますので :-P | ||||
|
投稿日時: 2004-06-03 15:55
こんにちわ
・どのような脅威があり ・その脅威でどの程度の被害の可能性があり ・したがって防御が必要であるのか否か がるがるさんの上記コメントは参考になりました。 この3ステップで、1つの組織のネットワークセキュリティ環境をどのようにしていくか決定する事ができるんだなぁと思いました。 今後の判断基準を作るときに参考にさせていただきたいです。 後、自分も管理するLANにワームが入り(持込PCが原因でした)、苦労した事は何度かありますが、いくら集中管理などの環境を構築してもそれぞれのマシンを利用する人間の知識と意識によって安全度は変わってくるんだと思います。自分の例の場合は、持ち出しをしたマシンを再度LANに繋ぐ場合にそのマシンにウィルスなどの脅威がないことチェックする事さえしていれば、防ぐ事ができるんですもんね。 お金をかけたくなければまず「社員教育」が一番なのかもしれません。 勘違いした知識でウィルスに感染する人もいますしね。。。 最近は大容量リムーバルディスク(ドライバ不要)も沢山売っていますし、情報漏洩の問題も結局人間の意識によるところが大きいだろうと思います。 余談ですが、こういう人間の問題を「レイヤ8の問題」と聞いた事があります。 | ||||
|
投稿日時: 2004-06-03 16:06
なにを守りたいのでしょうか?
| ||||
|
投稿日時: 2004-06-03 16:27
unibon です。こんにちわ。
チャチャも入りますが、一般に、やらなかったことに対する非難から「自分の身(や自社)」を守りたい、という面が強いと思います。「保身」ということでしょうか。現在の企業の多くは、直接守りたいという目的よりも、間接的なアカウンタビリティーを確保したい、のが本音ではないかと思います。 したがって、どうやってどんな強度で守りたいかということよりも、いくらお金や人員をかけられるか、で決まることが多いでしょう。 | ||||
|
投稿日時: 2004-06-04 08:13
顧客情報流出ならば、効果的にアクセスログをとるシステムを使うのがいいでしょう。
顧客情報などは、正当な管理権限もっている人が持ち出すケースがほとんど なんで、それを防ぐことが優先順位が高いはずです。 パスワードをつけるシステムを増やすのは、不便になるだけで、実際上の効果はすくないのでは ないでしょうか
| ||||
|
投稿日時: 2004-06-05 16:50
引用:unibonさんの発言:「保身」ということでしょうか(投稿日時: 2004-06-03 16:27)
yowatariと申します。よろしく。以前は「保身」的で済んだと思いますが、現在は、事故・事件によっては、会社の生死にかかわってくるので、もう少ししっかり守るべきと思います。(1)守るべき第一のものは、その会社の「お客さま」(の情報)でしょう。自社の情報資産も守らないと、競争に負けることになりかねません。(2)ソフトバンク、ファミリーマートは、迷惑料的な意味の一人あたり500円/1000円で済ませましたが、もし、宇治市の判決と同等の一人10,000円の損害補償金が常識になれば、数百億円になるので、たいていの会社ならつぶれてしまうでしょう。 | ||||
|
投稿日時: 2004-06-05 17:15
私は500円でも高すぎると思いますが。 http://internet.watch.impress.co.jp/static/column/jiken/2004/03/03/ この記事にあるように、市場価値としては5円とか3円とかしかないわけで、 そんなものを「10000円の価値があるものとして扱え」というのは どうかしているというか、社会全体を停滞させる無茶な要求というか。 ・・・いや、情報化社会そのものを否定するのであれば主張は一貫するので 話としては「アリ」ですが。 金の問題じゃなくて、その企業に対する信頼感という「看板」の 問題じゃないのかなあ... |