- ベストアンサー
情報セキュリティに対して否定的な方への説明
下記のは間違いだとわかっていますが、社内で情報セキュリティ対策を進めるのに、 何故、ダメなのか旨く説明できません。 脅威について説明したら、「それだったら、ネットワークなんかやめたら」と言われます。 1、「重要なデータは扱っていないので大丈夫」 2、「ワクチンソフトを入れてるから大丈夫」 3、「完全遮断方式のサービスを利用しているから大丈夫」
- その他(インターネット・Webサービス)
- 回答数7
- ありがとう数4
- みんなの回答 (7)
- 専門家の回答
質問者が選んだベストアンサー
その他の回答 (6)
- Akesimu2149
- ベストアンサー率7% (71/906)
- bardfish
- ベストアンサー率28% (5029/17766)
>何故、ダメなのか旨く説明できません。 理解できてないから説明できないんですよね。 セキュリティーの向上は理解の深さと比例すると思うんですけど… 結局、情報漏洩は「人」が重要な要素になるんだから「~だから大丈夫」という思い込みを払拭するところから始めないと時間と費用の浪費で終わってしまうかも・・・ 特定秘密保護法案みたいにザルにならないように気をつけてくださいwww
お礼
回答ありがとうございます。
補足
今の現状をネットで質問したり、パソコンを入れている業者に聞いたら、それは危険だ、簡単に進入できてしまう、完全遮断方式がどんなのか知らないけど、内側が甘かったら簡単に情報が漏れたり、ウィルスに感染したりしてしまう。 否定的な方は、じゃどういったことをされるんだ? ネットの回答や業者の回答を参考に噛み砕いていうと、じゃ、お前が出来るのか、それだったら、何とかせんとあかんけど、CIAやFBIのような機関でも狙ってこない限り、そんなことないだろって。 今導入している完全遮断方式のサービス私は破ることが出来ない、だから、「出来る人がすれば出来る」ってことになり中途半端な対策で、なにかあったらなんでしなかった、しようとすれば金がかかるから、ネットワークをやめたらって言われる、けど便利さは損なうなって。 いい加減、困っています。 業者にお願いしても、結局、実際に、ハッキングやウィルスを作れるレベルの人じゃない方から説明されても、危険なんでよ程度です。 じゃ実際どんなに危険なん? あんた、出来んのって? ってことで論破できません。
- Glory_777
- ベストアンサー率50% (105/208)
私も否定的でしたが、最近は考えも変わりました。 で、1、2、3はちゃんとしたセキュリティ対策だと思います。 ただし、コンピュータ・デバイスだけに閉じており、 最初の段階とされているはずです。 本来は情報資産の定義、リスクの定義、管理者の設置を行うのが 本質的かと思います。 セキュリティ対策が上手くいかない本当の所は、 推進者が担当を脅す一方で、反感を買っているからだと思います。 これまで必要でなかった仕事を増やし、 その上でお金を使っても体感効果を得られませんから。 最近は、 「一度やってしまう(漏洩してしまう)と手遅れなんだ」 と言う戦法に変えて説得しようとしていますが、これも脅しですね。 やはり、 セキュリティ対策について身近に感じる必要があると思います。 セキュリティの本当の専門家は技術にも詳しく、 技術によって対策を練ろうとしています。 しかし、最後は冒頭に述べたあたりに落ち着きます。 やけにローテクに感じ、ITぽく無いのですよね。 つまり、ここに落ち着いた経緯の説明を無視して、 作業だけをやらせるのは無理でしょう。 働いている社員が身近に感じるためには、 一般の家庭のPCがどれくらい危険であるか、 また、悪意のある人達に対してどのくらい抵抗できるのかを、 技術的な部分から説明する切り口が必要です。 さらに、 情報漏洩を阻止しようとする切り口がまずいのです。 他社や他人の情報をどうやって取得するか? 仮想的に攻撃する方法を考えるように投げかけるべきです。 その上で、一般的なやり方を説明し、これが流布されている事。 さらに、殆どのWebやミドルウェア製品が無防備である事。 最近の有名製品のセキュリティホールを題材に、 どんな事が出来てしまうのか? 誰でも出来るのか? を説明する。 更に漏洩した情報がどう扱われているのか。 悪意のある組織の地下的な経済活動を説明するべきです。 つまり、 情報の漏洩ばかりの話をするため、 情報を悪意を持って扱う人達について、 まったく知識を与えていないのです。 これらをもう少しリアルに感じさせることです。 悪意のある人達。その考え方や行動。態度や発言。 そして、それらの人達が大手のIT製品メーカよりも技術的に 力を持っていることも説明する。 悪意に対して怒りを感じるようにさせないといけませんよ。 また、 不慮の事故から、 情報がどう(ここも悪意のある人達に)利用されて行くのか、 これも説明しないといけない。 組織的な地下活動の存在を調査し、理解させないと、 対抗する気にならないと言うことです。 対策委員会だけがリアルに存在し、何と戦っているのかが 見えてないわけです。 他社がどうしているのか。 そこで起きた事故から社員がどうなったのか。 こうした事例を話す必要もあります。 こうした部分を全て知って、その上で問うはずです。 「だとしたら、自分らは何をすれば良いのか?」 一つ一つの対策が、悪意のある相手にとって不利に働く事。 これが大事です。 害虫の存在を知らない人に、殺虫剤の散布を強いれば、不満がでますよ。 以上、私の考えですが参考になれば。
お礼
回答ありがとうございます。
補足
現状は、3の完全遮断方式のサービスを導入しているからということで、ワクチンソフトも全てには導入していない、自社で開発を行っていないから取られて困るような情報はない。 反対する方の考えは。 スパイみたいに情報盗んだりするのは、自社開発しているところで、そこから量産品の下請けするようなウチらは関係ないって。 ワクチンソフトもインターネットに繫ぐ必用のあるパソコンだけワクチンソフトを入れてればいいって。 お金かけてもキリがない、それだったら、ネットワークしなければって。
- lupin-333333
- ベストアンサー率31% (294/933)
この質問内容では、当然の事ですね。 >情報セキュリティに対して否定的な方への説明 これさえ、きちっと説明できていない。その否定的な方の意見は >脅威について説明したら、「それだったら、ネットワークなんかやめたら」と言わ が、代表されているのでしょうか? 否定的とは、どのような意味でしょう。「やらない方がいい」と主張しているのでしょうか? 意味がまったく分かりません。 「ネットワークやめたら」、当然の意見です。セキュリティーの大原則です。 もしかして、それさえも質問者さんは知らないとか?????? Closeedネットワークが大原則です。映画でも、クローズドネットワークが最強のシステムで、天才的なハッカーでも、もぐりこめないので、実際にCIAとかNSCAとかスパイが乗込んで、データーを持ち出すドラマ、映画が最も多いわけです。 あのミッションインッポッシビルでもテーマになりました。 まず、大原則から教えないと。その状態で、どうやって規律正しく、そのネットにアクセスする事から始まり、徐々にセキュリティーが解除されてゆくのが大原則です。最も硬いほうから、やわらかいほうへ、開放してゆくのがセオリーです。 世界には、特にガバナンスレベルだと、誰もアクセスできないデーターはたくさんあります。 例えば、USAの大統領が持っている、核ミサイルの鍵。大統領さえ、その鍵は、全体のセキュリティーの一部にすぎない。大統領さえ、その発射の仕方はしらない。ミサイルのボタンの前にいる人間さえも、安全ロックをはずすキーコードは知らない。 大統領には、発射命令するだけの権限しかない。 これもセキュリティーの考え方。単にネットだけの話ではなく、今、国会で審議されている、、話題のスパイ防止(じっさいのなまえは違うか)法案なんかと、実生活を当てはめればいいだけのこと。
お礼
回答ありがとうございます。
補足
ワクチンソフト入れていないスペックの低いPC、お客さんがそのPCでしているデータが欲しいってんで繫いでメールでお客さんに。 お客さんにメールで送るのはワクチンソフトを入れてるから大丈夫って。 ワクチンソフトの入れていないスペックの低いPC「あれにはワクチンソフトいれてないです」 いったい幾らかかるんだ「適当でいいだろ」、「ネットワークやめたら」といいながら、ワクチンソフトの入ってない低スペックのPCが集めている情報(検査データ)お客さんが欲しいと言えば「いちいちフロッピィなんかで出来ないケーブルで繫げば簡単じゃないか」
- ok-kaneto
- ベストアンサー率39% (1798/4531)
- kokorone
- ベストアンサー率38% (417/1093)
お礼
回答ありがとうございます。
補足
ハッキング出来るレベル、ウィルスを作れるレベルのプロじゃないと無理だと思います。 でも、そんな知り合いもいないし。 否定的な人は最終的には、じゃやって見せてよ、じゃ今のままでいいじゃないか。