« NISCグランドチャレンジ検討ワーキンググループ | トップページ | セキュリティ教育、ユーザーを脅かすだけでは逆効果 »

2008年9月 1日 (月)

「明日解雇されるなら、機密情報を持ち出す」

日経ITproの記事「大半のIT管理者は「明日解雇されるなら機密情報を持ち出す」」からです。

この記事によると「回答者の88%は「明日解雇されるとしたら,会社の機密情報を持ち出す」という衝撃の事実が判明した」とのこと。そして、持ち出すであろうとされた機密情報は「最高経営責任者(CEO)のパスワード,顧客データベース,研究開発計画,財務報告,M&A(企業の買収・合併)計画のほか,さまざまな権限を行使できるパスワードのリストなど」だそうです。

この記事から「何が価値の高い情報なのか」がわかります。それから、それを特権である管理者が知っているということも。
そして、「持ち出そう」と思ってしまうということは、抑止機能が働いていない、ということでもあります。
「抑止」というと、すぐに教育だ、罰則だということになりますが、それだけでは実効性がほとんどないということです。
それ以前に、適切なアクセスコントロール、そのモニタリングと監査(つまり適切かつ十分な「検出」)が必要です。
結局、「持ち出そう」という動機、「持ち出せる」という手段と機会、これらを排除できなければ、「抑止」などできんということです。

|

« NISCグランドチャレンジ検討ワーキンググループ | トップページ | セキュリティ教育、ユーザーを脅かすだけでは逆効果 »

ニュース」カテゴリの記事

コメント

なるほど・・・当方も何度か、そういう思い=自組織の管理部門を陥れてやりたい思い=を感じたことは有り、(実行まではしていませんが)
もしや危険分子なのかと,人にいえない罪悪感もありますが・・・。
統計まで有るとは驚きです。
ちょっとだけ、精神的に楽になりました。

(p.s.おかしなハンドルで済みません。当方、今月の10ドメインセミナーを,最後列の席で受講させて頂いている者です。)

投稿: にせもの | 2008年9月11日 (木) 05時04分

>にせものさん

コメントありがとうございます。
抑止の実効性とその限界、動機の排除の困難性、そんなことを実感した記事でした。やはり、そのためにも「検出」は重要なのだと。

>当方、今月の10ドメインセミナーを,最後列の席で受講させて頂いている者です。

そうでしたか、恐縮です…
本日もよろしくお願いいたします。

投稿: Hase | 2008年9月11日 (木) 06時57分

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.f.cocolog-nifty.com/t/trackback/98720/23352543

この記事へのトラックバック一覧です: 「明日解雇されるなら、機密情報を持ち出す」:

« NISCグランドチャレンジ検討ワーキンググループ | トップページ | セキュリティ教育、ユーザーを脅かすだけでは逆効果 »