がるの健忘録

エンジニアでゲーマーで講師で占い師なおいちゃんのブログです。

惨劇四種orz

セキュリティ

元ネタ
セキュリティのずさんな実態
http://itpro.nikkeibp.co.jp/article/COLUMN/20080307/295672/


とりあえず

セキュリティのリスクがかつてないほど高まっている。なのに,セキュリティの現場の実態はひどいものだ。そのような状況を生んだ原因はいったい何なのだろうか。突き詰めれば「人」にたどり着く。

+1 orz


【セキュリティのずさんな実態】現場に危機感はあるのか
http://itpro.nikkeibp.co.jp/article/COLUMN/20080714/310764/?ST=system
あるわけないぢゃんw ゲラw
+2 orz

セキュリティ対策に従事する人員が不足する最も大きな原因は,上司(あるいは経営層)の無理解とそれに起因する予算不足と言えるだろう。数ある回答の中で,その典型的な例が次のケースである。
「社員が約200人いる企業の情報システム部門にいる。情報システムは3人で面倒を見ている。とはいっても,セキュリティ対策を担当するのは私一人だけ。『営業部門には余計な負担をかけるな』という号令の下に,私が営業担当のPCを預かってパッチを適用することもしばしば。そんな(人手不足の)状況なため,半年に一度は社員のPCがウイルスに感染し,ネットワークがまひする。今度,社員が50人ほど増えるので,上司にはセキュリティ担当者を増やすよう説得している。しかし,意見は聞き入れられない。社長は,株主の顔色だけを伺っており,利益を最大化することしか頭にない」。
このようにトラブルが常態化し,それを改善しようと警告を発しているにもかかわらず聞き入れられなかった。現場の担当者にとって,これほどむなしいことはない。

+5 orz

利益重視の経営判断が行き着くところまでいって,セキュリティ対策どころではなくなった“重症例”もある。
「社内システム部門を『収益を上げていない』という理由で解散させた。そのせいで,社内システムは片翼飛行の状態だ」(エンドユーザー)。

えと…あの会社とかその会社とかゲフンゴフンガフン。
+10 orz

セキュリティ担当者が置かれていても,セキュリティ対策に必要なノウハウが不十分,あるいは意識が低いという回答も多かった。

んと…場合によっては近日、某フリーウェアの楽しいセキュリティホールを曝…解説します。
+10 orz

「顧客企業のセキュリティ担当者の意識がまだ低いと感じる。広く話題になっているためウイルス対策ソフトの導入や,OS/ネットワークへのセキュリティ対策は積極的。しかし,Webアプリケーションのセキュリティ対策に関しては,提案しても構築費を抑えるために採用されないケースがほとんどだ」(ITベンダー)。

「予算がないからいつかね」とか言われる事が日常である。
+15 orz


【セキュリティのずさんな実態】リストラで慢性的な人手不足
http://itpro.nikkeibp.co.jp/article/COLUMN/20080714/310774/?ST=system

セキュリティの現場では,対策が一向に進まず,ずさんな状態のまま放置されているケースが多い。そのような企業を数多く取材したところ,根本的な原因の一つとして浮かび上がってきたのが深刻な「人手不足」だった。
典型例を一つ挙げると,企業の業績悪化やリストラなどによりシステム担当者が減らされ,通常業務の負担が急増したためにセキュリティ対策まで手が回らないというパターンである。
セキュリティ対策をしっかりと実施するために,経営者にセキュリティ専任者の設置など,人手不足の解消を要望したケースもある。だが,対策の重要性を全然理解していない経営者からは,「経営状況が厳しいからダメだ」の一言で片付けられてしまう。

日常ちゃめしごとでございますなにをおっしゃりますことやらw
+20 orz


【セキュリティのずさんな実態】ログインなき患者情報管理
http://itpro.nikkeibp.co.jp/article/COLUMN/20080715/310804/?ST=system

B病院の契約職員として事務を担当している内田氏(仮名)は,セキュリティ上の問題が起きかねない職場の状況に,漠然とした不安を感じている。この病院が運用する患者情報管理システムには,極めて重大な欠陥があるからだ。
実は,このシステムにはログインが必要ない。内田氏の職場に設置された専用端末を操作すれば,誰でも患者情報を閲覧できる。患者本人やその家族,保険会社からの問い合わせに,どの職員でも回答できるようにするためだ。
欠陥はこれだけではない。システムから患者情報を印刷することもできる。USBポートもCD-Rドライブも使えるので,電子メディアで持ち出すことも可能だ。端末を誰が操作していたのかも特定できない。安全対策と呼べるのは,外部ネットワークと接続していないので,外から不正なアクセスを受ける心配がないことくらいだという。
職員が業務で使うために印刷した患者情報も,鍵のかかっていない棚にファイリングしてある。事務用紙を廃棄するボックスには,患者情報が記載された書類がそのまま捨ててある。また,患者情報管理システムの専用端末がある部屋を含め,すべての部屋に入退室を管理する仕組みがない。そのため,「事務室に誰もいなければ,外部の人でも,容易に患者情報を持ち出せてしまう」(内田氏)。

ゲラ。っつか「欠陥」とかいう問題かしらん?
えと…表題は「開かれた病院」w
+50 orz


【セキュリティのずさんな実態】社長は現場の窮状を見ぬふり
http://itpro.nikkeibp.co.jp/article/COLUMN/20080715/310835/?ST=system
いいから見ろ;;
+100 orz

一般に,経営層がセキュリティ対策にお金を出したがらない理由の一つは,対策を怠ることによって生じ得る損害の大きさを十分に理解できないことにある。だがC社の社長は,これに全く当てはまらない。下井氏によれば,社長は「インターネットとつながらなくても,電話とファクシミリがあれば受発注業務はできる。数十台のPCがワームに感染したくらいでは金銭面の被害は出ない」と信じているようなのである。

逃げて;; 早く逃げて;;
+200 orz


えと………最後に一言。
「だめだこりゃ」。