新入社員に教えがちな「セキュリティの常識」、本当に正しい?
コメント
注目のコメント
社内へ情報セキュリティの教育を行う立場で言えば、最も重要なのは社員ひとりひとりの意識を向上させることです。扱っている情報がどれほど重要なのか意識してもらうことが大切。
社員から「こういう情報を送りたいんですけど、メールに添付して送るのは危険ですか?」のような質問が来たときは嬉しかったです。よく思いますが、セキュリティを成功する(≒リスクをできるだけ防ぐ)にははフレームワークが必要です。ルールをただ守るだけでは意味なさそう、或いは逆効果を招く可能性があります。社員の異常に対する意識が一番効果的です。なぜこうするとか。
パスワードの定期的な変更について、一般的に不要のは確かです。しかし必ずしもとは言えません。例えば、Windows アクティブディレクトリでパスワードを定期的に変更するルールはバックアップがある場合、その古いバージョン(脆弱性がある、暗号化されてない、等)と現在使用されているバージョンに同じパスワードが設定されていないことを強制するため。ペンテストの人はバックアップからパスワードを取得して管理権限をもらうことが多いです。
暗号化zipは逆に完全にアウトです。日本を出たら誰もやりません。むしろzipファイルは絶対に開くなとは常識です。
大昔、メールが届かなかった場合は中間サーバに止まっていたため、サーバ管理者が添付ファイルを開けないため暗号化していましたが、当時でもどちらかというと気持ちのためだったと思います。メールのセキュリティはがきと同じレベルです。
Defenderについて、果たしたいものによりますが、そもそも新卒が会社端末で利用するセキュリティツールをチョイスするのおかしくない?(笑)会社全体のセキュリティ体制を疑います。(因みにDefenderはすごく良くなったのは確か)
ネットワーク遮断は場合によるのでどちらとも言えません。感染よりフォレンジックを優先するのはあり得ないと思いますけど。
最後になぜダークウェブが出てきたの?マジでセキュリティ教育と全く無関係で、ただキーワードを無理やりに入れた感が半端ないです。