セキュリティとクラウドとそれを扱う人たち
セキュリティとクラウドとそれを扱う人たち
と、その前に
はてなブログがあいかわらずつかいにくい
ブログの管理画面で、本文の文字入力箇所がなかなかあらわれず
広告が表示されるのをまたないといけない
あたりをつけてこのあたりかなと
表示前にクリックすると他のリンク文字が遅延で表示されて
他画面に遷移してしまったりと
UIがくそ悪い
不便だ
情報システムを扱う運用の人たちのスキルについて
次のステージへすすむためのIT業界になれてもらうための場として
とらえると悪いことではないんだけどね
でもときどき質の悪いひとがいたりする
たぶんITスキル高くはないけど、まじめな人を採用して
そういう人にITを教える方が話は早いと思うのよね
・縁故採用は、紹介者の信用を人質に取っているから悪いことをしない
・高い給料を支払えば、お金に困って悪いことをしない可能性が高まる
というのがあげられます。
そしてプライベートで何も悪気がなくても急用がお金が必要だ!そういう時に、お金があると「ついうっかり」となってしまうのが人間というもの。
ちょっとと思って拝借した少額な現金が、不運にも返せなくなったことがきかっけで雪だるまのように大規模な不正経理になって行くニュースは年に1回ぐらいは見るのではないでしょうか。
だからこそ、お金の管理を1人だけにしてあげないというのは鉄則です。
つまり製造業やシステムの用語で言う「フールプルーフ」の解決方法として使われているという説です。
情報産業は、今は3K、土方などと叫ばれています。
特に運用に関わる人件費が低いのはよく言われることでしょう。
ディフェンスのためのコストとしてみなされれば人件費は抑制する方向が正になるのは当然です。
しかし何故か、そこで取り扱われる情報は企業の存続を脅かすセンシティブな生情報そのもの、というジレンマが存在しています。
そこで個々の担当者のプロ意識や日本人が得意とする規範意識に依存するのも良いのですが、それだけに委ねるのはリスク管理とは言いがたい部分もあります。
ベネッセの顧客情報流出の件でも、パソコンにスマートフォンをつないだたらUSBメモリとして使えることに気がついたような記事が書いてあります。
しかし、今回の容疑者は、データベースの生データにアクセスする権限を持った「信頼されている人」でした。
そのレベルで外部からセキュリティやシステムの安定性をシステムだけで維持するのは不可能です。
必ずどこかに生データにアクセスできる方法が存在します。
また、その技術レベルと信頼があれば、その気になれば持ち出しに関しても他の抜け道などいくらでもあるハズです。
そしてデジタルデータは目に見えない、そして新しい技術はどんどん出てくる。
今、解決した気になっても、明日は新しい手段が出ているかもしれません。
流出経路について「たまたま今回使った手段」がスマートフォンだったと考えるべきです。
今後、対策としてUSBメモリやスマートフォンの締め付けが、今まで以上に増えることは十分に想定されますし、そういうITソリューションの人たちは商機が来たとも言えます。
しかし対症療法として一定の効果はあるでしょうが、本質的な対策ではないでしょう。
こういう事件が起きるとガチガチに規制が増えていくのはパターンで、あらゆる企業の情報システム部門に対する締め付けが増えることが想定されます。
その結果として生産性や日本の競争力が落ちていくことは見えています。
Servicesが公開しているセキュリティです。
アマゾンが提供するクラウドインフラの安全性が高いですよ、とクラウドの不安を払拭するために頑張ってこられました。
これが1つの理想的なモデルであれば、追っかけたくなる部分はあるのですが、AWSの場合は、それそのものがビジネスでありクラウドコンピューティングの成立要件だからできた投資だとも言えます。
もちろん、彼らのクラウドに対するビジョンがあってこそです。
今回の学びとしては、ベネッセに限らず、必ずも事業ドメインがIT産業ではない会社では、アマゾンのセキュリティモデルに比べて「中の中の人」の倫理観にゆだねている割合が大きい状態と言えます。
乱暴に言えば、お金に困って犯行に走ってしまう状況を比較的作りやすい状況だと言えるのかもしれません。
AWSの場合はセキュリティそのものを商品にしており、情報にアクセスできないことそのものが商品なわけです。
それをそのまま参考にすることはできない。
セキュリティといえば日本の企業の有名どころの名前をあまりきかないんだけどね
信頼というわりには有名な企業がでてこない
そのすきにクラウドストライクやその似たような会社が米国で伸びてるんだよね