【IT】「セキュリティ、どこまでやれば大丈夫？」―経産省、不安をなくす指標作りへ [1/27]

「改めて基本に立ち返って考えてみると、情報セキュリティへの投資はなぜ進まない
　のか？
　なぜ情報セキュリティ対策が進まないのだろうか？
　いくつか要因はあるが、中でも多いのは『費用対効果が見えない』『どこまでやれば
　いいのかが分からない』といった声だ」（経済産業省商務情報政策局 情報
セキュリティ対策室 課長補佐の田辺雄史氏）。

IDGジャパンは1月26日、「Security Tech Update」を開催した。基調講演の中で田辺氏は
このように語り、情報セキュリティ対策への投資を適切に行うための「判断指標」が
求められるし、その投資が世の中からきちんと企業価値として「評価」されるような
仕組み作りが必要だと訴えた。

続きはリンク先をお読み下さい。
http://www.itmedia.co.jp/enterprise/articles/0501/26/news098.html
関連スレ：
【セキュリティ】個人情報保護法対策へ取り組んでいる企業は48％ DAT落ち
http://money3.2ch.net/test/read.cgi/bizplus/1106080339/

まず、重機ネットやめるところから

2

セキュリティ対策はまずセキュリティ教育

セキュリティ
どこまでやれば
大丈夫？

川柳みたいだな。

パソコンのBIOSを検査するソフトって或る？

ヴァカに最新PC最新OS最新セキュソフト与えても
最低限のマニュアルすら読まないDQNばかりじゃ
いくら指標作ったって無駄。

はた迷惑な低レベルな教えてくれ厨を
法規制したほうが手っ取り早い。無理だろうがな。

家宅侵入されて盗まれたりする場合も或る

社員教育の一環でやらんと駄目駄目。
SEがどんなに頑張っても中のアホが想像の遥か斜め上を行くし。

>>5
じゃ、漏れも一句。

セキュリティ、ウィルスは一歩先を行き。

この手のセキュリティリスクを顕在化することなんて不可能に近い。

>>5、>>10
┗┫；￣皿￣┣┛＜ｵｵｯ

こんなもん、全ての企業・団体にISMSかISO17799の取得と、
情報セキュリティアドミニストレータとかを持った担当者の設置を
義務付ければ済む話じゃないか。

パソコンの全ての線を抜く

Windowsの自動更新をオンにして
ノートンアンチウイルスを入れて自動LiveUpdateをオンにする

パソコン買わない。これでセキュリティーOK

どこまでやれば大丈夫じゃなくて
できる範囲で最高に対策するしかないと思うよ。
備えあれば憂いなし。

外部から完全に隔離した独自のネットワークを構築して
必要最低限の機能しか持たない専用端末を使ったとしても、
物理的に情報が盗まれる可能性はある。

セキュリティに「大丈夫」なんて言葉はない。

そんな要望が有ったのかな？
勝手に仕事を作ってるだけじゃ？　どうなのよ？

拡張子は常に表示、これ常識

パソコンの調子が悪いから見てくれとか言って
簡単に人にパスワード教えるなよ

まぁ、シロアリ駆除会社とおんなじで、妙なセキュリティ会社に
当たると、対策費として引っ張れるだけ引っ張られちゃうからな。

うちの会社にベーグルたんが進入したよー。
知らない差出人からのメールは迂闊に開くなとあれほど！

一般的に多く使われてない方が標的にはなりにくい？

【金融】個人情報漏洩保険伸びる、保護法の施行控え関心高まる【01/28】
http://money3.2ch.net/test/read.cgi/bizplus/1106872079/l50
【情報漏洩】CWATってどうよ【対策】
http://pc5.2ch.net/test/read.cgi/sec/1100621318/l50
会社のセキュリティ対策の相談
http://pc5.2ch.net/test/read.cgi/sec/1002726098/l50
★★セキュリティ会社設立★★
http://that3.2ch.net/test/read.cgi/bouhan/1097517453/l50

Macにする。それだけ。

馬鹿か。
大丈夫なんてないよ。
費用対効果を分析できるコンサルタントを育てる以外にない。

自分で使うコードはすべて機械語で打ち込む。
終わったら電源を切る。

以上。

>>28
ふつースイッチだろ。

まあ、ある意味保険みたいなもんだしね＞セキュリティ

場合によっては、専用線の方が安上がりｗ

unko

外部に繋げないパソコンを何台か持つ。
それらをクローズドのネットワークで繋げる。

Windows95使えばいいのに。

エ　ロ　サ　イ　ト　行　く　な　よ　馬　鹿　　

普通の一般Personsのセキュリティー
1.　モデムのユーザーネーム1・パスワード2の設定
2.　ルーターのユーザーネーム3・パスワード4の設定
3.　ルーターのIPフィルターの設定
4.　ルーターのアタックブロック展開
5.　PCのファイヤーウォール展開
6.　ネットワーク監視Software機動（攻撃態勢）

>>14が一番正しいんじゃないww？
私は>>15と同じなんだけどｺﾚで大丈夫なんかな？

>>22 おお。俺も家庭向けにやろうかな。
「ああーだめだめだめぇ奥さんこんなんじゃ。セキュリティ補強用の
ＬＡＮケーブルに差し替えないと。スピーカーケーブルにコイルつけないと
電波拾ってウィルス侵入しちゃうよー」で請求書１０万円とか。

どこまでやってもダメだよ。
社員が利便性のために写しを作るし。
安心なんかされたらたまらないね。

パソコンを使わず電卓、そろばん、携帯辞書、手紙を使う。
これでOK。

>>1

答え


どこまでやっても駄目。

最終的には生体認証に落ち着くと思うよ

最近は本人拒否率ゼロ％を謳うものも発売されてるし

役人ってほんとバカだよな。
現場の課長レベルでこんなこといってんのかよ。

その辺の民間企業でサーバー管理でもさせてやれ。
少しは勉強になるだろう。

電柱登って盗聴。ｺﾚ無敵!!マンジョンって何?
何やってんだよ政府は、国際的に問題になってるのは日本か?
いい加減にしてくれよなｗ何がしたいの？資金が欲しいの？
やめろよ!!バーカｗ

MacとウインドウズPCの両方での経験を詳述したSF GateのコラムニストMark Morford：
なぜウインドウズはいまだにダメなのか、なぜPCユーザーは多くのウイルスやワームに
耐え忍ぶのか
http://sfgate.com/columnists/morford/

「あらゆるウインドウズユーザーが知っているように、PCはマイクロソフト・ウインド
ウズのおよそ10,000箇所に及ぶセキュリティー上の欠陥やセキュリティーホールを突く
ことを目的とする、驚くほど悪意に溢れた無数のマルウェア、ワーム、ウイルスとの
勝ち目のない戦を戦っている。明らかに分かり切った質問ではあるが、私はこう問う。
なぜこれに耐え忍ばなければならないのか？」

WindowsがSuckなんじゃなくて、
MacOSがあまりにShitで、クラッカーに相手にされてないということじゃないのか。

まじレスするとセキュリティ不安ってのは何がどうヤバイのか見極めがついてない漠然とした不安が原因の場合が多い。

１） リスク一覧表（金額や信用などの被害規模が想定出来てればなお良し）の作成
２） それぞれのケースに松竹梅３種類くらいのコースを作っていくら金と手間がかかるかを見積もり提示
３） あとは一覧にどのグレードでやるか or やらないをお客さんに○付けてもらう。(アドバイスはするけど)
　　コストパフォーマンスが合わないから、もしその被害にあったら諦めましょうというのも有り。 → これ重要
４） ISO17799 (元は BIS7799だっけ) 準拠のドキュメントが作れればなお良し。

これだけでお客さんはかなり安心してくれる。
要は 「想定外の状況」 を作らないように事前に検討しとくのが大事。(リスク一覧表の出来不出来がここで問われる)
何かあっても対応が想定内であれば対策マニュアルに従って対応出来るから大混乱にはならない。

＃マニュアルの中身はほとんどが「○○さんに指示を仰ぐ」とか「××さんに電話して相談する」とかなんだけど(笑)
＃経験上、どう行動すれば良いかの指示とオーサライズされたドキュメントががあれば問題になるケースは少ない。

刑事訴訟法の改正で、メールを90日間保存しなきゃならん、っていう話は
結局成立したんだっけ？

このへんのやつ
ttp://livre.vis.ne.jp/weblog/archives/000022.html

ニュース情報サイトのMacDailyNewsは、Fotruneが掲載した有料版
のスティーブ・ジョブズインタビューの一部を抜粋して掲載した。
http://macdailynews.com/

ジョブズ「マイクロソフトはオリジナルMacをWindows 95にコピー
したが、彼らは今再び我々をコピーしようとしている。」
Mac OS Xは非常に堅牢で、アップルは軍や大学のスパコンセンター
といった、これまでMacを検討すらしなかった市場にもMacを売り
始めている。
最も興味深いゴシップに、Mac OS XをIntelチップに適応させてライ
センスするよう、三大PCメーカーがジョブズに言い寄っているとい
うものがある。それはなぜか？ウインドウズのセキュリティー問題に
うんざりとし、Longhornを待つのに疲れた多くの顧客がいるからだ。

まるでMacにはセキュリティー問題が無いかのような言い分だな。

セキュリティに対する意識が大事

マスコミに報道されなきゃいい

マイクロソフトＯＳに欠陥　対策会社「異例の規模」
http://www.asahi.com/business/update/0209/110.html
マイクロソフトは９日、パソコン向け基本ソフト（ＯＳ）の「ウィン
ドウズＸＰ」などほとんどのＯＳに、ウイルスなどで悪用される恐れ
がある安全対策上の欠陥計１２件が見つかったと発表した。このうち
８件は同社の定めるランクで最重要の「緊急」

インターネット上の悪意をもって作成されたページに接続した際に
侵入され、電子メールや文書ファイルを読まれたり消されたりする、
などの恐れがあるという。

ウイルス対策大手のマカフィーは「件数の多さと深刻度ではこれまで
でも異例の規模で、対策が必要だ」としている。

Macのほうがセキュリティ問題が少ない　Windowsに比べればな

【携帯】NTTドコモ顧客情報流出、2万4632人分確認 [2/14]
http://money3.2ch.net/test/read.cgi/bizplus/1108388998/l50
【PC】日立がHDDないパソコン、安全診断サービス　情報流出対策で [02/15]
http://money3.2ch.net/test/read.cgi/bizplus/1108481350/l50
【情報漏洩】CWATってどうよ【対策】
http://pc5.2ch.net/test/read.cgi/sec/1100621318/l50
個人情報漏洩総合スレ
http://life7.2ch.net/test/read.cgi/credit/1084049861/l50

４月以降に血祭りになった企業が続出すれば、また変わってくるんだろうな、、、＞セキュリティ意識

セキュリティの基本。

1. バックドアの機構は組み込まない。
2. バックドアの設定は無効にしておく。
3. バックドアを無効に出来ないソフトウェアは選択肢から外す。

結論: 1〜3 の何れも実行出来ず未だに Windows を使い続けている顧客は池沼である。

Macのほうがセキュリティ問題がはるかに少ない　Windowsに比べればね

>>58
ウインドウズが以上にセキュリティーホールが多いという方が正しい

お役所が絡むということは、利権があるということで。。。

入ってくるのさえ防げばいいと誤解してる奴が多すぎる。

指標作ったら、逆にそこをクリアさえすれば無防備ってこった

>>62

そうそう。
指標作ってくれたら、穴見つけるのが簡単になるから、盗みたい人は喜ぶだろうねぇ。

今なんてみんなネット経由の対策ばかりしているから、
会社にさえ潜り込めば、情報なんて盗み放題だよ、へへへ

さっきの富山県のウィルス汚染のニュース・・・びっくりした。
どう考えたって、ファイアーウォールの外に、メルマガ購読者のアカウントリストを置いてるわ。
一応、個人情報なんだからさぁ。。。

お役所がこんなレベルだぜ。。

>>65
お役所は一番レベルが低い
設備の予算は計上できても保守の予算はなかなか通らないからな
しかも入札制だからな

>>66
言われてみれば、役所はセキュリティシステム入れてるところって聞いたこと無いな。
情報漏れたって民間みたいに厳しく追及されないからだろうか？

確かにキリが無いからどこまでやれば「やってます」って言えるかわかんねーもんなコレ

最近年寄りもつかってるから、
先ずはむやみやたらに横文字つかうのやめろ。話はそれからだ。

車やバイク、家の防犯とか旅行のときの心構えとかも同じだが、セキュリティ云々に
「これでOK」などという境目なぞない。

【ﾁﾗｯ】小泉首相年金情報、２８７人が「のぞき見」　社保庁調べ
http://news19.2ch.net/test/read.cgi/newsplus/1109298665/l50
1 名前：(ο・ェ・)みっぴぃφ ★ 投稿日：05/02/25 11:31:05 ???
社会保険庁は２５日、小泉首相の年金情報を業務に関係なく
「のぞき見」していた職員が、社会保険事務所の管理職から
非常勤職員まで全国で２８７人いたことを、自民党の社保庁改革
ワーキンググループ（ＷＧ）に対して説明した。
調査した業務外閲覧の対象が首相、福田官房長官（当時）ら
５人だけだったことも分かり、ＷＧ側は「対象が限定的」などとして、
当時の閣僚などに対象を広げて追加調査を行うよう要求した。

昨年の内部調査で判明した業務外閲覧者は３１０人で、
大半が首相の記録の閲覧だったことになる。調査は昨年の
年金制度改革法の審議中、首相の国民年金保険料の未納など
個人情報の漏洩（ろうえい）疑惑が持ち上がったのを機に実施。
すでに、監督者１８３人とともに昨年７月、訓告や厳重注意などの処分が行われている。

調査した業務外閲覧の対象について社保庁は「マスコミで
未納や未加入が報道された政治家や著名人」としか説明していなかったが、
今回、首相、官房長官、衆参両院議長（いずれも当時）、
女優の江角マキコさんの計５人だけだったことを明らかにした。

｜ェ・)ｿｰｽ
http://www.asahi.com/national/update/0225/012.html

派遣に個人情報を触らせないことだな。
もちろん、外注に出してもダメだ。

最低でも、関係ない部署での採用であろうと秘守契約くらいはきっちりしておくべきだな。

検索性のある膨大な数の情報を、紙に書いた帳簿と同じ感覚で思ってるんだろうなぁ。

年功序列ジジイ共を首にして若い社員を正社員で抱えろ。
そして実力主義で待遇あげろ。

エンジニアや情報を扱う社員の待遇を上げろ。
そうすれば、情報の流出はかなり収まる。

安全なコンピュータとは電源を切ってあるコンピュータだ、という有名な言葉がある。
もっともらしい説だが、しかし真実ではない。
巧妙な”口実”を駆使するソーシャルエンジニアは、
会社の誰かを口説いて、コンピュータの電源を入れさせてしまうのだ。

ケビン・ミトニック（ハッキング行為で有罪判決を受けた史上最初の人物）

>>67
三鷹市は確かISMSとBS779と取ってたはず。

アホな話だ。
私はどこまで保険に入れば安心できるでしょうかと言っているようなもんだ。
んなもん会社による。

セキュリティセキュリティと五月蝿い会社なら、
IEとOE禁止しろよ。特にOE。。

>>78
会社というか、セキュリティ担当者(と予算)次第だとおもう。
あと77のBS779はBS7799の間違いでした、ｽﾏｿ。

コストカットでうるさい企業に、費用対効果の分からないセキュリティ予算は
通らないわな

そして、実際に被害にあって、その損失額を突きつけられて初めて費用対
効果を知る

トップの取り組み姿勢がでかいよな。
業務効率とセキュリティの充実は反比例するから。
技術面より社内の調整が結構大変。

>>82
オレも調整が面倒なので、ログ取得のほうだけ強化して、一部の部門
には指紋認証機も入れてしばらく様子を見るつもり

４月にあわせてすべてを検証して、調整して、導入まで持っていくのは
無理だわ。諦めた