今エンジニアとして働いており、はや数年ですが、一時期メーカーで働いていました。
メーカーで働いていた時のことを思い出すと、セキュリティインシデント発生の要因が多すぎることに気づきました。。。
少しレガシーな会社で働いていると気づきにくい、ヒヤリハットを紹介します。
今回は下記のアドベントカレンダーに参加しています。
発言は全て個人のもので所属する組織の見解ではありません。
想定するセキュリティインシデント
- 情報漏洩
- マルウェア感染
- サービス不能攻撃(DoS、DDoS、EDoS)
- 紛失、故障等
実際にあった怖い話
▶さまざまなできごと
-
社内Wi-Fiを私用端末でもつなぎ放題(パスワードが公開されていた・・・!)
-
出張先ホテルや漫画喫茶のWi-Fiにつなげてもオッケー
-
Googleなど個人のアカウントでログインできは
⇒GoogleDriveも入れたので、外部記録装置なくてもアップロード可能 -
ソフトウェア何入れてもオッケー
-
もちろん使用許諾は読まない
-
名刺管理ソフト、規約読まずオッケー
-
ウイルス感染時の対策がされてない(ウイルスソフトは入ってたけど使える人が…)
-
情シスがいない
-
資産管理ソフトがないのでテレワークでサボり放題
-
個人宛にメール送り放題、個人からもメール送り放題
-
個人USBを挿すことができる
-
退職者のアカウントを消さない
-
退職者のPCを初期化しない
などなど…。
今思うと鳥肌ものですが、たぶんレガシーな会社はこんな感じだと思います。(すべてがそうとは限らないと思いますが…)
上に書いた出来事がみなさんにも当てはまりませんように…。