課題

前向きに取り組む気が起こるような情報セキュリティ対策を伺いたい。

※課題というよりも、ご意見を伺いたいための投稿となります※

私はセキュリティエンジニアを生業としています。
元々会社員で情報セキュリティ関係のシステムエンジニアをしていましたが、
3年半前に会社を退職して独立しました。

独立して仕事をしていく中で、地元の栃木でも、
多少培った技術をもとに何か貢献できないかと思い、今回の投稿に至りました。


昨今、不正アクセスやランサムウェアの感染が発生しており、
クレジットカード情報の漏洩やサービスの停止など、
情報セキュリティの観点から個人に対する被害や事業に対する影響が出ている時代となっています。

何となく、「セキュリティは大事」という意識も世の中に浸透している気はするのですが、
ただ、実際に何かセキュリティ対策を実施することとなると、
それよりも事業拡大に結びつく企画の方が優先度が高かったり、
他の優先事項に取り組むパターンが多いかと思っています。

そのような状況となる一つの要因として、
取り組みやすいセキュリティ対策が提供できていないことがあるかと考えています。

セキュリティ対策を実施することのイメージとしては、
利便性が落ちたり、利益に結びつかない、ということもあると思いますが、
そのような状況の中で「こんなセキュリティサービスだったら取り組むことを考えてみようかな」と思うものがありましたら、
ご意見頂けないでしょうか?

  • 【K19】
  • 2022/09/27 20:24
  • コメント:12件
  • いいね総数:549
  • 通報する
たかしたかしさん
  • 2022/12/20 07:59
  • 解決提案

たとえばですが、実際に侵入してみる体験とかできないですかね(笑)いわゆるスケアードストレイト方式(ビビらせる)というものです。
特定の2週間、参加企業の参加パソコン2、3台のどこかに攻撃を仕掛けるというもの。
今はメール攻撃でビビらせるのが主流ですが、ホワイトハッカー界隈とタッグ組んでそういうイベントをやるってのは面白くないですか?(笑)

ヨッシーさん
  • 2022/12/20 14:19
  • 質問・回答

コメント頂き、ありがとうございます。
大変参考になります。

侵入を体験してみることは、、、できますね(笑)
実はそんなセキュリティ勉強会といったイベントを以前やったことがあります。
ただ、企業に対してそのような催しごとはやったことがなかったので、非常に前向きに検討させて頂こうと思います。

たかしたかしさん
  • 2022/12/20 15:35
  • 意見

ヨッシーさん
素晴らしいです!既に実施されていらっしゃったのですね。
おっしゃる通り役所ではやっていることが多いと思いますが、その役所でも実際にマルウェア等に感染したパソコンがどのような挙動を見せるか一般の職員まで伝わっておりませんので、もしそういうデモンストレーションを「参加型のイベント」を通じて広く見せることができるのであれば、マネタイズ(ヨッシー様のビジネス)につなげるためのマーケティングの一手法として面白いかもしれません。
これは製造だったり、建設だったりの「セキュリティ?なにそれ」になりがちな業界こそ、スケアードストレイトを通じた感染への恐怖とかが強そうな気がします。まずは入口を広く設定する方法が望ましいかと。

ヨッシーさん
  • 2022/12/22 19:15
  • 質問・回答

たかしたかしさん
コメント頂き、ありがとうございます。
非常に有難いです。

まずは入口を広く設定する方法ですね、承知しました。

いくつかの企業に情報セキュリティに関する教育コンテンツを提供させて頂いたことはありますが、
もっと入口を広く、そして踏み込んだデモンストレーションの実施も組み込んでいこうと思います。

みかんさん
  • 2022/11/18 11:37
  • 意見

ヨッシーさんはじめまして。
セキュリティ対策の重要性を認識してもらい、「取り組んでみようかな」と思ってもらうことはなかなかに難しいことですよね。
私からは「社員への教育」という観点からコメントさせていただきます。

セキュリティ対策に取り組んでいない背景の1つとして
「社員一人一人が常日頃からセキュリティ対策できているから問題ない」というものがあるとすると、
「本当に全員が常日頃からできているのか?」という疑問が出てきます。
そのため、「セキュリティチェックテスト」や「怪しいメールを受け取る体験をする」等で現状の危険度を確認をしていただいてから、
セキュリティ対策の取り組みについて考えていただいた方が「取り組んでみようかな」と思ってもらいやすいと思いました。
※投稿の意図とズレていましたら、すみません。

ヨッシーさん
  • 2022/11/19 12:03
  • 質問・回答

コメント頂き、ありがとうございます。
投稿の意図とは全くズレておりません。
大変参考になります。

セキュリティチェックテスト、怪しいメールの受信体験、
確かに、まず危険度を確認することが大事かなとコメント頂いて思いました。

そのようなサービスや教育コンテンツ等、準備は少しだけしていたのですが、本格的に進めてみようと思います。

Red_featherさん
  • 2022/10/17 16:50
  • 意見

ヨッシーさんはじめまして。
情報セキュリティサービスとなると、IPAでは分野別に「情報セキュリティ監査サービス」「脆弱性診断サービス」「デジタルフォレンジックサービス」「セキュリティ監視・運用サービス」等に分かれると思います。しかし、サービス利用者側の理解度不足等から、サービス自体の必要性が見いだせていないのではないかと思っています。
その為、まずは「情報セキュリティサービス」と言うものを地域に浸透させることから始めても良いと思います。

既に必要な分野だし、取り組んでいる企業も多いと思いますが、「脆弱性診断サービス」等はシステム更新や各機器のリプレース等の判断にも使えるでしょうから、一定の需要があると思います。

ヨッシーさん
  • 2022/10/29 11:19
  • 質問・回答

コメント頂き、ありがとうございます。
大変参考になります。
# そして昨日はありがとうございました。

「脆弱性診断サービス」、確かに仰る通りですね。
脆弱性診断サービスも取り組みやすいような形で提供できるよう、今後積極的に検討いたします。

うなぎさん
  • 2022/09/30 13:03
  • 意見

経営者側の立場では、費用をできるだけ少なくし、利益をできるだけ確保したいと、だれもが考えますよね。
個人的な傾向としては、いくら面白そうな、便利そうなツールでも、私と私の家族は、どうしてもセキュリティへの不安が拭えないとなかなか手を出さないです。
以上のことを踏まえ、Society5.0の考えではありませんが、経済発展(儲け)と課題解決(セキュリティ)の両立を図ることを念頭につらつらと考えますと、セキュリティサービスの導入を事業者へ促すためには、セキュリティが万全であることをわかりやすくお客様にお伝えする手法とセットで売り込み、顧客への心理的安心感を高めることでより多くの顧客獲得が図れることと、セキュリティに要する費用を凌駕する利益を得ることができることを示すことができれば、良いのではないかと思いました。
(投稿の意図とズレていましたらごめんなさい。)

ヨッシーさん
  • 2022/10/02 08:52
  • 質問・回答

コメント頂き、ありがとうございます。
大変参考になります。
セキュリティサービスと導入することによって脅威から守れる手法がセットであることの必要性、実感しました。
また、セキュリティに要する費用を凌駕する利益を得ることを示せるよう、資料やサービス等を改めて考えていこうと思います。

つるみんさん
  • 2022/09/29 20:50
  • 意見

セキュリティって難しいですよね。
デジタルの利用が進まない理由って、「なんとなく怖い」が大きな要因の一つだと思います。
完璧なセキュリティを求めることは難しいけれど、
「こうしたら大丈夫です」「困ったことになったらこうしましょう!」とわかりやすく、安心できるように教えてくれながら守ってくれるサービスがあるといいと思います!

ヨッシーさん
  • 2022/10/02 08:54
  • 質問・回答

コメントありがとうございます。
大変参考になります。
「なんとなく怖い」が利用が進まないという大きな要因ということ、確かにその通りだと感じました。
「こうしたら大丈夫です」
「困ったことになったらこうしましょう!」
まずはこの2点を訴求すべく、セキュリティサービスの内容やプレゼンする内容をより良いものに変えていこうと思います。

  • 1