セキュリティに関する意思決定は淡々とやろう

自社への不正アクセスが起きた時の損害ははかりしれないと思うべし！

　個人的に一番「やば！」と思ったのはカプコンの事例ですね。大企業でもこれだけやられちゃうんだという。

不正アクセスに関する調査結果のご報告【第4報】 | プレスリリース | 株式会社カプコン

　これは一番最悪なケースですが「プロ」にやられると何が起こるのかというと、

・データが暗号化されて企業活動が継続できなくなる
・システムが使えなくなる
・データを盗み取られて「身代金を払わないとシステム復旧もできないし、個人情報をほかに渡しちゃうぞ」と脅される

　カプコンは支払いを拒否しましたが、同様の被害を受けて支払った企業もあるようで。
　まあ確かに被害の大きさを考えると払っちゃうのはわかりますけど、払ったからと言って復旧してくれる保証なんてないわけで、判断が難しいところだと思います。

カプコンは11.5億円支払い拒否！ランサムウェア被害でも身代金は払うべきでない理由

問題のあるクラウドサービスは使わない、使わせない

　同じ時期に問題になったのは宅ふぁいる便ですね。弊社の場合は、以前かなり使っていたのですが、クラウドサービスに対する規制が厳しくなってきたときに、真っ先に引っかかったんですよね。

で「全面使用禁止！」ってなった後で、あの報道ですよ。
　めちゃめちゃ問い合わせ来ましたけどね。ガン無視。

情報漏えい発生の「宅ふぁいる便」、3月末で終了　システム再構築に要する時間・費用を考慮

　大体ね、こういったことを引き起こすようなやり取りで、普通のやり方を拒否されるようなケースは、それを使い勝手いる組織や、相手との契約自体に問題があるんですよ。

　それは、その契約から正すべきであって、それに対応できない取引先とさようならせざるをえなくなるのもしょうがないかなという気持ちになりつつあります。

　そして、実は多くの場合、担当同士が面倒くさがっているだけで、会社間にすると大体はするっといくものです。

　当たり前だっちゅーねん。

毅然として対応すべし

　二要素認証も、この記事を買いてから、さらに強化しようとしているんですけど、まあいろいろと来ましたけどね。

部長がオールブロックしていました。
　問題は、事業本部側も部課長しかやり取りしないことだと思います。

　そして、私のようなマネージャー側にも「何とかなりませんか？」という相談来ましたけどね。

何ともなりません。

　というシンプルな回答を秒で返しましたよ。

　しかしまあ、部署によってはめっちゃ意識低いですからね。。。こんな例を見ても、心が痛い。

ひとり情シス「セキュリティ寺」へ駆け込む！

　ゼロトラストも、それをめざしてやっていますが、難しいところだなと思います。お金も手間もめっちゃかかるぞ。

ゼロトラスト Googleが選んだ最強のセキュリティー

おしまい。