docomoの平文保存が話題だけど、そもそもNTTの中にはセキュリティの専門家なんていないからな
平文保存みたいなことを平気でやる一方で逆にクラウド一切信用しないマンみたいなのもいたり
GitHub禁止とか社内網をプロキシでガチガチにしちゃってるのに
一部のクラウドサービスはザルになってて(接待でも受けたんだろうね)シャドーIT天国になってたりする
ちなみに研究所にはセキュリティの研究者や暗号の研究者とかはいるんだけど
ペネトレーションテストっていう意味は知ってても実際に出来る人はいない
子会社に行くとそもそも意味を知ってるかどうか怪しい(知ってたら外注すると思う)
ただ部署としては各子会社が「情報セキュリティ部門」みたいなのを作ってるんだけど
実際に業務してる中の人は地方から参勤交代で人事異動してきた素人
「〇〇県の教育委員会にITシステム納入実績あり」→「ということはセキュリティ分かるよね?」
一週間ぐらいの研修受けたら「スペシャリスト認定」みたいなの貰える
「我が社には専門家が多数在籍!」
とかはそういうこと
そのくせに多大なる権限を持っているので、業務効率化のために社内サーバを建てようとしてもデフォルトDenyになってる
仮に設置しても四半期に一度はエクセルでできたセキュリティチェック表をPDF化して上長の手書きサイン貰うとかそういうレベル
社外向けにクラウドでサーバ構築する時も導入必須のソフトウェアがズラーッと並んでて
とかいうのを指摘しても
「規則なので導入してください」
当然土日とかは返事が無いのでlog4jのときも週明けになってようやく
ちなみに苦情とか改善要望を上げても上長はまだしもその上の偉い人とか役員は重要性がさっぱり分かってないからどこかで消えてしまう
問題が起きたらどうするか?もちろん揉み消す!流石だね!
はてなにはITの専門家がいないって話と似てる
なるほどぉ~リアルだね。 たぶん工事とかの伝統でも「この業者」って決まってるのに近いんじゃないかな 予算が取りやすいとか
全ての元凶は人事異動制度にあると思っていて 引き継ぎが繰り返されるから 「自分が何かして問題が起きたら自分の責任になる」 っていう感じで昔から変わらないんだと思う 工事業者...
飼いなさられることで安全で無難な人生を選んだプロたちってことだろうね 飼いならされ偏差値でいえば65くらいだろう
セキュリティって頑張っても金にならないから仕方ないね
逆に予算はあるんだよね ただ使い方を知ってる人がいないから二重三重の無意味な防衛する そんでお金だけ使って 「予算しっかり使ってるな!ヨシ!」 っていう管理を幹部とかはやっ...
仕事ってそういうもん