[connect24h:2661] Re: 内部でのPortscan

[tominaga michiya <tominaga@xxxxxxxxxxxxx>]

富永(ぬわあ)です。

　内藤さん、レスありがとうございます。
　だい@xxxxxxxxxxさんも、ありがとうございます。

　ちょっと状況を列挙しましょう。
　(個人の常時接続の関する内容とは離れちゃいますけど)

　・L3スイッチなんかとは無縁で10MbpsのLANの部署
　・login名、Passwordが Administrator、system で統一されてる模様
　・ポリシーというコトバは使うが書面として存在しない
　・sshというコトバすら知らない管理者/ユーザたち
　・もちろん内部にIDSなんて存在しない
　・外部の人間である私が一番セキュリティの心配をしてるみたい
　・請負の仕事をする際、マトモな契約書の取り交わしもない
　・ISMSとかBS7799とか知らずに今でも安対に従っている会社
　・ネットワーク機器の設定は別会社に委託している
　・資料(LAN構成図等)の提示を求めても存在しないらしい
　・私はSniffer Distributed の導入を依頼された
　などなど

といった感じのところなのです。

　こちらのMLにはセキュリティに詳しい方々がいらっしゃるわけで、
そういったスキルを持った方がこの会社にいたらいいのにな…って
ことを私は思っています。

　管理者／会社ともにスキルはピンキリですから、セキュリティと
かって一般論で片付けるというのも難しいですね。
　とはいえ、「必ず守るべきこと」のようなことは明確に、広く一
般に広まったほうがいい。そんなことは思います。



内藤さんは書きました:
>それはできないと言うことで片づけてしまった方がみんな幸せです。

　うーん…。
　仕事しない(できない)でお金もらうというのは変だと思うのです。
　というか、私の場合、変な罪悪感を感じちゃって、胃とか痛くな
っちゃうんです。
　「お金分はちゃんと仕事せにゃ…」と思い、nmapしちゃったわけ
で…。この行為がこの会社のセキュリティ意識の向上につながって
くれるといいのですが…。

＃これって私の考え方がズレすぎてるだけの問題なのかなぁ…

-- 
富永道也
tominaga@xxxxxxxxxxxxx

--[PR]------------------------------------------------------------------
　
 　あの人気のPC、商品券などが・・・！！！
　
 お申込みは今すぐ→ http://www.freeml.com/ctrl/html/UserRegForm
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online  www.gmo.jp