情報セキュリティに対して否定的な方への説明

下記のは間違いだとわかっていますが、社内で情報セキュリティ対策を進めるのに、
何故、ダメなのか旨く説明できません。
脅威について説明したら、「それだったら、ネットワークなんかやめたら」と言われます。

１、「重要なデータは扱っていないので大丈夫」
２、「ワクチンソフトを入れてるから大丈夫」
３、「完全遮断方式のサービスを利用しているから大丈夫」

No.7 ベストアンサー 回答者： Akesimu2149 回答日時： 2013/12/02 19:01

回答を見たけど質問者は大きな勘違いをしてますね。

情報セキュリティってのはネット対策だけの問題ではないです。
昔からよく使われているものでいえば、社外秘、部外秘なども情報セキュリティ対策になります。

情報ってのは顧客、商品、社員etcさまざまなものがあります。
これらの情報を適切に管理していくためのものであって、
情報漏えいを防ぐだけでなく、
責任所在を明確にし、それによって情報の信頼性を担保するなどの効果もある。

まあ、そういうものだから、ウィルスを作れる人とはまったく別です。
会社全体の情報の管理体制の確立、および社員の情報取り扱いの際の意識改革など
これらすべてを総括して進めていくもので、
ほとんどの大企業で専門の部署をつくってるとおもいます。

No.6 回答者： Akesimu2149 回答日時： 2013/12/01 11:41

まあ、あなたも無知だから、ちゃんとプロに依頼したほうがいいと思いますよ。

＞「それだったら、ネットワークなんかやめたら」

つか反対する人間が辞めればいいじゃん
会社が投資して導入したのに改善するまえから
金を溝に捨てようなんて提案するあほを会社が飼っておく意味ないでしょ。

この回答への補足

ハッキング出来るレベル、ウィルスを作れるレベルのプロじゃないと無理だと思います。
でも、そんな知り合いもいないし。
否定的な人は最終的には、じゃやって見せてよ、じゃ今のままでいいじゃないか。

補足日時：2013/12/02 16:24

この回答へのお礼

回答ありがとうございます。

お礼日時：2013/12/02 16:20

No.5 回答者： bardfish 回答日時： 2013/11/30 21:59

>何故、ダメなのか旨く説明できません。

理解できてないから説明できないんですよね。
セキュリティーの向上は理解の深さと比例すると思うんですけど…

結局、情報漏洩は「人」が重要な要素になるんだから「～だから大丈夫」という思い込みを払拭するところから始めないと時間と費用の浪費で終わってしまうかも・・・
特定秘密保護法案みたいにザルにならないように気をつけてくださいwww

この回答への補足

今の現状をネットで質問したり、パソコンを入れている業者に聞いたら、それは危険だ、簡単に進入できてしまう、完全遮断方式がどんなのか知らないけど、内側が甘かったら簡単に情報が漏れたり、ウィルスに感染したりしてしまう。

否定的な方は、じゃどういったことをされるんだ？
ネットの回答や業者の回答を参考に噛み砕いていうと、じゃ、お前が出来るのか、それだったら、何とかせんとあかんけど、CIAやFBIのような機関でも狙ってこない限り、そんなことないだろって。

今導入している完全遮断方式のサービス私は破ることが出来ない、だから、「出来る人がすれば出来る」ってことになり中途半端な対策で、なにかあったらなんでしなかった、しようとすれば金がかかるから、ネットワークをやめたらって言われる、けど便利さは損なうなって。
いい加減、困っています。
業者にお願いしても、結局、実際に、ハッキングやウィルスを作れるレベルの人じゃない方から説明されても、危険なんでよ程度です。
じゃ実際どんなに危険なん？
あんた、出来んのって？
ってことで論破できません。

補足日時：2013/12/02 16:20

この回答へのお礼

回答ありがとうございます。

お礼日時：2013/12/02 15:59

No.4 回答者： Glory_777 回答日時： 2013/11/30 12:41

私も否定的でしたが、最近は考えも変わりました。

で、１、２、３はちゃんとしたセキュリティ対策だと思います。
ただし、コンピュータ・デバイスだけに閉じており、
最初の段階とされているはずです。

本来は情報資産の定義、リスクの定義、管理者の設置を行うのが
本質的かと思います。

セキュリティ対策が上手くいかない本当の所は、
推進者が担当を脅す一方で、反感を買っているからだと思います。

これまで必要でなかった仕事を増やし、
その上でお金を使っても体感効果を得られませんから。

最近は、

「一度やってしまう（漏洩してしまう）と手遅れなんだ」

と言う戦法に変えて説得しようとしていますが、これも脅しですね。

やはり、
セキュリティ対策について身近に感じる必要があると思います。

セキュリティの本当の専門家は技術にも詳しく、
技術によって対策を練ろうとしています。

しかし、最後は冒頭に述べたあたりに落ち着きます。
やけにローテクに感じ、ITぽく無いのですよね。

つまり、ここに落ち着いた経緯の説明を無視して、
作業だけをやらせるのは無理でしょう。

働いている社員が身近に感じるためには、
一般の家庭のPCがどれくらい危険であるか、
また、悪意のある人達に対してどのくらい抵抗できるのかを、
技術的な部分から説明する切り口が必要です。

さらに、
情報漏洩を阻止しようとする切り口がまずいのです。
他社や他人の情報をどうやって取得するか？
仮想的に攻撃する方法を考えるように投げかけるべきです。

その上で、一般的なやり方を説明し、これが流布されている事。
さらに、殆どのWebやミドルウェア製品が無防備である事。

最近の有名製品のセキュリティホールを題材に、
どんな事が出来てしまうのか？

誰でも出来るのか？　を説明する。

更に漏洩した情報がどう扱われているのか。
悪意のある組織の地下的な経済活動を説明するべきです。

つまり、
情報の漏洩ばかりの話をするため、
情報を悪意を持って扱う人達について、
まったく知識を与えていないのです。

これらをもう少しリアルに感じさせることです。

悪意のある人達。その考え方や行動。態度や発言。
そして、それらの人達が大手のIT製品メーカよりも技術的に
力を持っていることも説明する。

悪意に対して怒りを感じるようにさせないといけませんよ。

また、
不慮の事故から、
情報がどう（ここも悪意のある人達に）利用されて行くのか、
これも説明しないといけない。

組織的な地下活動の存在を調査し、理解させないと、
対抗する気にならないと言うことです。

対策委員会だけがリアルに存在し、何と戦っているのかが
見えてないわけです。

他社がどうしているのか。
そこで起きた事故から社員がどうなったのか。
こうした事例を話す必要もあります。

こうした部分を全て知って、その上で問うはずです。

「だとしたら、自分らは何をすれば良いのか？」

一つ一つの対策が、悪意のある相手にとって不利に働く事。
これが大事です。

害虫の存在を知らない人に、殺虫剤の散布を強いれば、不満がでますよ。

以上、私の考えですが参考になれば。

この回答への補足

現状は、３の完全遮断方式のサービスを導入しているからということで、ワクチンソフトも全てには導入していない、自社で開発を行っていないから取られて困るような情報はない。
反対する方の考えは。
スパイみたいに情報盗んだりするのは、自社開発しているところで、そこから量産品の下請けするようなウチらは関係ないって。
ワクチンソフトもインターネットに繫ぐ必用のあるパソコンだけワクチンソフトを入れてればいいって。
お金かけてもキリがない、それだったら、ネットワークしなければって。

補足日時：2013/12/02 07:58

この回答へのお礼

回答ありがとうございます。

お礼日時：2013/12/02 07:54

No.3 回答者： lupin-333333 回答日時： 2013/11/30 12:08

この質問内容では、当然の事ですね。

＞情報セキュリティに対して否定的な方への説明

これさえ、きちっと説明できていない。その否定的な方の意見は

＞脅威について説明したら、「それだったら、ネットワークなんかやめたら」と言わ

が、代表されているのでしょうか？　否定的とは、どのような意味でしょう。「やらない方がいい」と主張しているのでしょうか？　意味がまったく分かりません。

「ネットワークやめたら」、当然の意見です。セキュリティーの大原則です。

もしかして、それさえも質問者さんは知らないとか？？？？？？


Closeedネットワークが大原則です。映画でも、クローズドネットワークが最強のシステムで、天才的なハッカーでも、もぐりこめないので、実際にCIAとかNSCAとかスパイが乗込んで、データーを持ち出すドラマ、映画が最も多いわけです。

あのミッションインッポッシビルでもテーマになりました。


まず、大原則から教えないと。その状態で、どうやって規律正しく、そのネットにアクセスする事から始まり、徐々にセキュリティーが解除されてゆくのが大原則です。最も硬いほうから、やわらかいほうへ、開放してゆくのがセオリーです。

世界には、特にガバナンスレベルだと、誰もアクセスできないデーターはたくさんあります。

例えば、USAの大統領が持っている、核ミサイルの鍵。大統領さえ、その鍵は、全体のセキュリティーの一部にすぎない。大統領さえ、その発射の仕方はしらない。ミサイルのボタンの前にいる人間さえも、安全ロックをはずすキーコードは知らない。

大統領には、発射命令するだけの権限しかない。

これもセキュリティーの考え方。単にネットだけの話ではなく、今、国会で審議されている、、話題のスパイ防止（じっさいのなまえは違うか）法案なんかと、実生活を当てはめればいいだけのこと。

この回答への補足

ワクチンソフト入れていないスペックの低いＰＣ、お客さんがそのＰＣでしているデータが欲しいってんで繫いでメールでお客さんに。

お客さんにメールで送るのはワクチンソフトを入れてるから大丈夫って。
ワクチンソフトの入れていないスペックの低いＰＣ「あれにはワクチンソフトいれてないです」
いったい幾らかかるんだ「適当でいいだろ」、「ネットワークやめたら」といいながら、ワクチンソフトの入ってない低スペックのＰＣが集めている情報（検査データ）お客さんが欲しいと言えば「いちいちフロッピィなんかで出来ないケーブルで繫げば簡単じゃないか」

補足日時：2013/12/02 16:07

この回答へのお礼

回答ありがとうございます。

お礼日時：2013/12/02 16:01

No.2 回答者： ok-kaneto 回答日時： 2013/11/30 11:37

1.

重要かどうかよりも、「流出した」という事実の方が大事。それだけで信頼を失ってしまう。信頼を取り戻すことはすぐには不可能。「大事なデータは流出していない」といっても顧客は信用しない。

2.
ワクチンソフトは万能ではない。ウイルスが発生してからワクチンソフトの対策が始まるので、それまでに様々な脅威にさらされる危険性もあります。

3.
サービスをかいくぐる悪意のソフトウェアがある可能性がある。

なお、ネットワークを止めるというのもひとつの選択肢です。
(隕石が落ちてくる可能性があるので外を歩かないと言っているのと同じですが)
よ「よくご存知ですね」と褒めてその気にさせてからこっちのやりたいように誘導すれば良いのでは。

情報セキュリティへの対策はいくつか種類があります。
(1)リスクそのものを縮小化する・・・重要なデータをネットワークから隔離して扱うなど
(2)リスクが発生する確率を下げる・・・ウイルス対策ソフトを使用する
(3)そもそもネットワークを使用しない
(4)ある程度のリスクは許容する

No.1 回答者： kokorone 回答日時： 2013/11/30 11:37

１、「重要なデータは扱っていないので大丈夫」

　　自社の社員情報も立派な個人情報です。
　　本当に、個人情報などがコンピュータ内に無いとしても、しばらく前にあった外部からの
　　コンピュータアクセスでコンピュータを乗っ取られて、脅迫メールを送ってしまうようなこと
　　も考えられます。
２．、「ワクチンソフトを入れてるから大丈夫」
　　更新プログラムを常に最新にしなければ、あの手この手で不正アクセスしてくる相手に
　　対処できません。
３．、「完全遮断方式のサービスを利用しているから大丈夫」
　　確かに、外部からの不正アクセスには有効です。
　　しかしながら、社員がUSBメモリなどで、データを社内で作成したデータを顧客・業者
　　に渡すため、外部に持ち出すことも考えられます。
　　その途中で、置き忘れ・紛失・盗難など思わぬこちが発生します。

こんなところでしょうか？