■NTTにはセキュリティの専門家がいない

docomoの平文保存が話題だけど、そもそもNTTの中にはセキュリティの専門家なんていないからな

平文保存みたいなことを平気でやる一方で逆にクラウド一切信用しないマンみたいなのもいたり

GitHub禁止とか社内網をプロキシでガチガチにしちゃってるのに

一部のクラウドサービスはザルになってて（接待でも受けたんだろうね）シャドーIT天国になってたりする

ちなみに研究所にはセキュリティの研究者や暗号の研究者とかはいるんだけど

システムのセキュリティ監査的なことが出来る人はいない

ペネトレーションテストっていう意味は知ってても実際に出来る人はいない

子会社に行くとそもそも意味を知ってるかどうか怪しい（知ってたら外注すると思う）

ただ部署としては各子会社が「情報セキュリティ部門」みたいなのを作ってるんだけど

実際に業務してる中の人は地方から参勤交代で人事異動してきた素人

トップにいる人も前職は法人営業してた人とかで

「〇〇県の教育委員会にITシステム納入実績あり」→「ということはセキュリティ分かるよね？」

って感じで素人が座るポストになってる

一週間ぐらいの研修受けたら「スペシャリスト認定」みたいなの貰える

「我が社には専門家が多数在籍！」

とかはそういうこと

そのくせに多大なる権限を持っているので、業務効率化のために社内サーバを建てようとしてもデフォルトDenyになってる

仮に設置しても四半期に一度はエクセルでできたセキュリティチェック表をPDF化して上長の手書きサイン貰うとかそういうレベル

（さすがに今は手書きサインしてないと思う）

社外向けにクラウドでサーバ構築する時も導入必須のソフトウェアがズラーッと並んでて

「このソフトはこの機能で代替できます」

「このソフトがやってることならスクリプト２行で終わります」

とかいうのを指摘しても

「規則なので導入してください」

の一点張りっていうお役所丸出しの人達しかいない

当然土日とかは返事が無いのでlog4jのときも週明けになってようやく

「Log4jを使っている人は集計Excelに記載よろしく」

みたいなメールが届いたりするレベル

平文保存なんて全然不思議じゃ無いな

ちなみに苦情とか改善要望を上げても上長はまだしもその上の偉い人とか役員は重要性がさっぱり分かってないからどこかで消えてしまう

問題が起きたらどうするか？もちろん揉み消す！流石だね！

Permalink | 記事への反応(3) | 08:30

ツイートシェア