はい。電算室です。今日は何が起きるのでしょうか。
時代の流れというものがありますが、セキュリティに事細かくそして神経質になっている今日この頃です。
ある日、上司からわけのわからない質問がありました。
なんでも、上部団体から情報セキュリティに関する注意事項の連絡があり、その中に、行政独立法人 情報処理推進機構が行っている、情報セキュリティ対策ベンチマーク(自社のセキュリティ対策自己診断テスト)を行い、その結果において対策を講じなさいというものでした。
こんなことを書いているだけで、わけが分からなくなりました・・・。
[0回]
で、そのテストは見たことも、聞いたこともありません。プリントアウトされた質問を見てみると・・・。
「情報セキュリティポリシーや情報セキュリティ管理に関する規程を定め、それを実践していますか。」
あったっけなぁ・・・・。しかも、答えは
「実践しており、定期的確認も行っている。」
としています。ん?誰が答えたの??????
よく見ると、総務課が答えているようです。まぁ、規程などは総務がやるものですからねぇ・・・。
なになに?
「経営層を含めた情報セキュリティの推進体制やコンプライアンス(法令遵守)の推進体制を整備していますか。」
ふーん。仕事のミスのあげあし取りとコンプライアンスの推進をごちゃまぜにしているような経営層。やはり、
「他社の模範となるべきレベルに達している」
と答えています。ナルシストもいいところです。しかもこんな答えを設けている情報処理推進機構も変です。
さて、40問もある設問に対し、せっせと答えた総務課。そしてその結果が、
通信ネットワークに流れるデータに関して、暗号化等の適切な保護策が弱い
ソフトウェアに対して適切な脆弱性対策を実施されていない
というものでした。それに対して、役員が「なんでだ!」と怒ったようです。
で、怒られて自分で答えられないから電算に助けを求めてきたという訳。
知るかそんなこと・・・(-_-#)
で、どんな設問にどんな答えをしたのか見てみると・・・。
「貴社で導入しているソフトウェアに対して適切な脆弱性対策を実施していますか。」
まぁ、確かに・・・。
「一部しか実現できていない」
「通信ネットワークに流れるデータに関して、暗号化等の適切な保護策を実施していますか。」
「実施されていない」
わははは。そりゃそーだ。私でもそう答えるかも。が、売られた喧嘩、買います。
脆弱性対策について
内部基幹ネットワークは外部とは完全に遮断されており、自己のパソコンなどを持ち込み、かつネットワークに繋がない限り内部基幹ネットワークに入ることはできません。現在、自己のパソコンを持ち込むことは一切禁止されており、また、FDやCD等の外部記憶媒体も使用することは許可していませんので、外部からの不正侵入はほとんどないと考えています。その上、OS等の脆弱性対策は、インターネットを介してのプログラム修正を適用することになっているので、外部接続のできない内部基幹ネットワークのPCに対して適用は不可です。
インターネットのできる端末についてはOSの自動更新をおこなっており、また、無線LANにおいてはWEPによる暗号化、MACアドレスの制限など、セキュリティ対策を講じているとともに、内部基幹ネットワークとは完全に切り離しています。
通信ネットワークのデータについて
脆弱性対策についてでも述べたように、内部基幹ネットワークは外部とは完全に遮断されているため、不正進入によるデータの流出および盗聴は行えないと考えています。また、HOST間の通信については公衆回線ならびにインターネット回線ではなく、専用線を使用しています。専用線は現在考えうる最も安全な回線です。
追伸:自宅で製作したWORDやEXCELファイルが最もウィルスに感染している危険性が高いことを付け加えます。
システム屋を敵に回すとこんな言葉が30秒で返ってきます。当然????が飛び交うわけで、結局なんか知らんが大丈夫ということになったようです。
さらに、普段何も言わない私がいきなり何も言わずメモ帳でハイスピードで上記のことを入力、プリントアウトして突き出したため、怒ったと思われたらしく、役員に説明に行った上司曰く
「すまんすまん と謝っていたよ」
だったそうです。
電算の「専門用語で煙に巻く作戦」は成功ということで。
ちゃんちゃん。(^。^)v
PR