あるセッションで。
ファイルサーバに対しての暗号化は必要ないでしょうという話をしていました。
その理由としては、社内リソースに対してはまずはちゃんとしたアクセス権をつけるのがあたりまえで、大切なことだといってた。
明示的に暗号化をきりましょうっていうのもあったかなぁ。(GPOで・・・）

実際に正しい解答だと思った。
普通は部署ごとにわけ、必要な権限を付与し、必要のないユーザーにはアクセスできない環境を作る・・これがアクセス権の基本ですね。

アクセス権制御をちゃんとおこなっていない環境において、暗号化するというのは意味を成さない。
暗号化するという事は、凄く沢山のことを検討しなくてはいけない。
バックアップの問題、暗号化した先へのアクセス権、証明書の問題。
それだけじゃない・・・・

ただし、
ノートPCなどのモバイル環境に対しての暗号化は大切でしょう。
これもグループごとに暗号化する。
OUごとの設計、そこが一番大切でしょう。一個人をもって暗号化する際に、回復エージェントの問題がでてくる。
あとは、IPSecを使ってドメイン内の端末は通信を暗号化するというのもいいでしょう。
一番良い回答は、RMSなどを使うことかもしれない。

同時に、ISAの導入をおこない、ドメイン内のクライアントやサーバーの通信履歴および利用アプリケーションの情報を保存する。
SQL Serverとの連携をして、そのログを保存し、それをSQL Serverのレポート機能で情報をレポート表示する。
メールリソースもエックスチェンジとやいろいろ使ってアーカイブ。

管理者が情報を最悪の場合みれる環境を作る。
その条件として、利用者にはサインさせないと、情報とっとくと裁判で負けるらしいので・・・orz

そんな感じで。
実際にその辺を使うと情報漏えいにたいするある程度の対策ができるんだろうな。
でもね、
そんな事よりもまずは人間をそれなりに教育したほうがいい・・・
どう考えても、それはまずいっしょっていう事が平気で許可されているのが世の中で、それをもしまずい理由を説明しても、実際に問題が起こらないと理解しない・・・起こっても理解しない。
そんな会社や上司は世の中に普通にいるんじゃないだろうか。

そんな会社でシステム的に対策をするだけ無駄・・・
まずは、人の意識を変えさせたほうがいいんだろうと思うのであった(^^;;
個人的には少なくても、管理者と上層部の意識改善が必要な会社って沢山あるような気がする・・・・。
セキュリティというのは、人的なもの、技術的なもの、物理的なもの・・・・いっぱいあるから。物理的なものっていうのは人的な方向にはいるのでしょうね。

ちゃんとした感想とかは。
www.admintech.jp
こっちにまとめる事にした。