前向きに取り組む気が起こるような情報セキュリティ対策を伺いたい。
※課題というよりも、ご意見を伺いたいための投稿となります※
私はセキュリティエンジニアを生業としています。
元々会社員で情報セキュリティ関係のシステムエンジニアをしていましたが、
3年半前に会社を退職して独立しました。
独立して仕事をしていく中で、地元の栃木でも、
多少培った技術をもとに何か貢献できないかと思い、今回の投稿に至りました。
昨今、不正アクセスやランサムウェアの感染が発生しており、
クレジットカード情報の漏洩やサービスの停止など、
情報セキュリティの観点から個人に対する被害や事業に対する影響が出ている時代となっています。
何となく、「セキュリティは大事」という意識も世の中に浸透している気はするのですが、
ただ、実際に何かセキュリティ対策を実施することとなると、
それよりも事業拡大に結びつく企画の方が優先度が高かったり、
他の優先事項に取り組むパターンが多いかと思っています。
そのような状況となる一つの要因として、
取り組みやすいセキュリティ対策が提供できていないことがあるかと考えています。
セキュリティ対策を実施することのイメージとしては、
利便性が落ちたり、利益に結びつかない、ということもあると思いますが、
そのような状況の中で「こんなセキュリティサービスだったら取り組むことを考えてみようかな」と思うものがありましたら、
ご意見頂けないでしょうか?
- 課題投稿者
- ヨッシーさん
- 【K19】
- 2022/09/27 20:24
- コメント:15件
- いいね総数:551
- 通報する
- 2024/11/21 14:11
- 意見
私もエンジニアをやっていたことがあり、セキュリティについては企業はあまり積極的ではないなとは思います。
実際に仮想環境で、偽の顧客情報を作成しその環境にサイバー攻撃を行い、どのくらい情報が流出したかのデモストレーションを行なうのはどうでしょうか。
仮想環境はその企業が使用してる環境と同じ物を用意。
また、その侵入に気付いたかのテストを行い、気づけてない場合は、その部署に必要な研修させるというのを思いつきました
本当は侵入を検知するソフトの方が良いとは思いますが、未知の攻撃も考えるとやはり人の判断が必要になるとは思います
また、日本は他国に比べセキュリティ意識が低いと何処かで聞いたことがあるので、まずは社員の意識改革が必要になるかなとは思います。
- 2022/12/20 07:59
- 解決提案
たとえばですが、実際に侵入してみる体験とかできないですかね(笑)いわゆるスケアードストレイト方式(ビビらせる)というものです。
特定の2週間、参加企業の参加パソコン2、3台のどこかに攻撃を仕掛けるというもの。
今はメール攻撃でビビらせるのが主流ですが、ホワイトハッカー界隈とタッグ組んでそういうイベントをやるってのは面白くないですか?(笑)
- 2022/12/20 14:19
- 質問・回答
コメント頂き、ありがとうございます。
大変参考になります。
侵入を体験してみることは、、、できますね(笑)
実はそんなセキュリティ勉強会といったイベントを以前やったことがあります。
ただ、企業に対してそのような催しごとはやったことがなかったので、非常に前向きに検討させて頂こうと思います。
- 2022/12/20 15:35
- 意見
ヨッシーさん
素晴らしいです!既に実施されていらっしゃったのですね。
おっしゃる通り役所ではやっていることが多いと思いますが、その役所でも実際にマルウェア等に感染したパソコンがどのような挙動を見せるか一般の職員まで伝わっておりませんので、もしそういうデモンストレーションを「参加型のイベント」を通じて広く見せることができるのであれば、マネタイズ(ヨッシー様のビジネス)につなげるためのマーケティングの一手法として面白いかもしれません。
これは製造だったり、建設だったりの「セキュリティ?なにそれ」になりがちな業界こそ、スケアードストレイトを通じた感染への恐怖とかが強そうな気がします。まずは入口を広く設定する方法が望ましいかと。
- 2022/11/18 11:37
- 意見
ヨッシーさんはじめまして。
セキュリティ対策の重要性を認識してもらい、「取り組んでみようかな」と思ってもらうことはなかなかに難しいことですよね。
私からは「社員への教育」という観点からコメントさせていただきます。
セキュリティ対策に取り組んでいない背景の1つとして
「社員一人一人が常日頃からセキュリティ対策できているから問題ない」というものがあるとすると、
「本当に全員が常日頃からできているのか?」という疑問が出てきます。
そのため、「セキュリティチェックテスト」や「怪しいメールを受け取る体験をする」等で現状の危険度を確認をしていただいてから、
セキュリティ対策の取り組みについて考えていただいた方が「取り組んでみようかな」と思ってもらいやすいと思いました。
※投稿の意図とズレていましたら、すみません。
- 2022/10/17 16:50
- 意見
ヨッシーさんはじめまして。
情報セキュリティサービスとなると、IPAでは分野別に「情報セキュリティ監査サービス」「脆弱性診断サービス」「デジタルフォレンジックサービス」「セキュリティ監視・運用サービス」等に分かれると思います。しかし、サービス利用者側の理解度不足等から、サービス自体の必要性が見いだせていないのではないかと思っています。
その為、まずは「情報セキュリティサービス」と言うものを地域に浸透させることから始めても良いと思います。
既に必要な分野だし、取り組んでいる企業も多いと思いますが、「脆弱性診断サービス」等はシステム更新や各機器のリプレース等の判断にも使えるでしょうから、一定の需要があると思います。
- 2022/09/30 13:03
- 意見
経営者側の立場では、費用をできるだけ少なくし、利益をできるだけ確保したいと、だれもが考えますよね。
個人的な傾向としては、いくら面白そうな、便利そうなツールでも、私と私の家族は、どうしてもセキュリティへの不安が拭えないとなかなか手を出さないです。
以上のことを踏まえ、Society5.0の考えではありませんが、経済発展(儲け)と課題解決(セキュリティ)の両立を図ることを念頭につらつらと考えますと、セキュリティサービスの導入を事業者へ促すためには、セキュリティが万全であることをわかりやすくお客様にお伝えする手法とセットで売り込み、顧客への心理的安心感を高めることでより多くの顧客獲得が図れることと、セキュリティに要する費用を凌駕する利益を得ることができることを示すことができれば、良いのではないかと思いました。
(投稿の意図とズレていましたらごめんなさい。)
- 2022/09/29 20:50
- 意見
セキュリティって難しいですよね。
デジタルの利用が進まない理由って、「なんとなく怖い」が大きな要因の一つだと思います。
完璧なセキュリティを求めることは難しいけれど、
「こうしたら大丈夫です」「困ったことになったらこうしましょう!」とわかりやすく、安心できるように教えてくれながら守ってくれるサービスがあるといいと思います!
- 1
コメントとアイデアを共有頂き、ありがとうございます!
企業と同じものを準備するのはハードルがありそうですが、おおよそ何が準備されているかを予想して情報流出のデモを行うことは、お客様にインパクトを与えられそうですね。
実現できるかどうか、検討させて頂きます。