アカウント名:
パスワード:
漏洩させた資料の分量と中身は、巡査長一人が担当できる分量や内容でない事がうかがい知れる。
>今回は、それを置いておいたところと管理方法がまずかったということ。という事に考えが至っているのだから、上記に別段異論は無いし釈迦に説法かと思います。ここまで解っていればこそ、「巡査長一人が担当できる分量や内容でない」ということは、「関係なさそうな事を結び付けて初めて意味や価値」が出てくる可能性がどれほどあるのか、可能性はゼロになりえないとしても巡査長個人がPCに保管して常にアクセスする必要は無い、必要以上のアクセスは有益ではなく有害という事も気がついているのでは無いでしょうか。
いろいろと実例を上げて述べられている、情
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
巡査長一人が担当できる分量や内容? (スコア:1)
私物のHDやWinny入りのPCに捜査情報を保存しておくのはともかくとして、「巡査長一人が担当できる分量や内容でない」ことが何か問題なのだろうか?
情報って、一見関係なさそうな事を結び付けて初めて意味や価値がでてくるのだから、いろんな情報を1箇所に貯めておくこと自体はとやかくいうことはない。
今回は、それを置いておいたところと管理方法がまずかったということ。
Re:巡査長一人が担当できる分量や内容? (スコア:1, すばらしい洞察)
たれこんだACです。
捜査上隠匿すべき情報が漏洩すると、円滑な捜査の障害になるという視点ではなく、
被害者はもちろん被疑者、容疑者まで含めてプライバシーに関わるセンシティブな
情報の扱いとして考えてみると、捜査に関わっていない人間にまでアクセス権限を
与えるあるいは、ファイルをコピーして渡すなどそれに準じる行為を犯している、
ここに問題の根深さがあると考えました。
Yahooで恐喝に発展した漏洩事件は、Winnyなど介する事無く、杜撰な権限管理が
原因だったのは、まだ記憶に残っていると思います。
Winny上のウイルスが、杜撰な管理事実を暴いたきっかけにな
Re:巡査長一人が担当できる分量や内容? (スコア:1)
いろいろと実例を上げて述べられている、情
Re:巡査長一人が担当できる分量や内容? (スコア:0)
>ばかばかしいことがなされるような気がして、最初の指摘をしました。
そういうソリューションしか選択出来ない場合、不便でも必須になります。
特に、捜査機密は軽々しく扱っていいような情報では無いのですから。
馬鹿馬鹿しい事をしないで済む常識力に任せたいという性善説でしょうか。
しかし、貴方が馬鹿馬鹿しいと思う主観的な判断では情報の統制が出来て居ない現状です。
一般論で考えてもそうですが、今回の流出が如実に証明していますよね。
本件に関して結果論から言えば、その馬鹿馬鹿しい手法が理にかなっていたようにさえ思えます。
それを裏付けるように、それだけの情報量が必要だったという現場の声は聞かれていません。
つまり、なーんにも有効に生かされること無く死蔵していた、価値を考える事も無く。
タレコミにも書いたように「何も考えずにコピーして膨れ上がった結果」に過ぎない事は、
当の警視庁が言って裏付けられている事です。
動機無く、本人の意図しない、本人が扱いきれない情報が伝達されていく、
そのような行為は無益なだけで有益な面など少しもありません。
技術的な別策としては、今の常駐先で取られている措置を例にすると、
秘文による持ち出し時の暗号化(の習慣化)とJP1、SMS等の組み合わせによる持ち出しの記録化があります。
悪意の直接的抑制ではなく、悪意を実行したらトレースされるという予防線の有無が重要です。
それが結局、「情報の漏洩につながる杜撰な行為を間接的に抑制」に繋がります。
性善説や特例の慣例化で運用すればそれも無意味ですが、何もしていなかった。
裏金を作る [ombudsman.jp]暇があるなら、そういう目的に使っておけば同情もされように。
>つまり、形式化、システム化の難しい情報管理の問題と、「一人が扱える量と内容」という一見、
>定量化のしやすそうな指標を、安易に結びつけてよいのか、という指摘です。
この指摘は、そこら辺の中小企業ではコスト的に実施出来ないシビアな問題です。
しかし、あくまで本件は国家機関、警視庁における事例ですので当てはめる事はできません。
企業一般の「システム化の難しい情報管理」と同列に扱うのは不適切です。
>「一人が扱える量と内容」という一見、定量化のしやすそうな指標
実際、デンソーからの情報漏洩の事実が発覚したのは「一人が扱える量と内容」の指標でした。
ログを取っていてもアラートを出していなかったので、時既に遅しだった訳ですけどね。
ログ記録が「扱っている情報の量や内容を目に見える形」の最も簡単な基本形の一つで、
昔からあるフォレンジック対象です、今回の件は持ち出した先で孫コピーされていたので、
集中管理は行う事が出来ず、ログでは限界があったでしょうけどね。
普通、組織の持ち出しPCでは、そのような行為が出来ないような物理的制限とソフト的制限が
かけられているのですが、警視庁がそうでなかったというのは驚愕の事実でした。
未だ何のセキュリティも施されていない、私物PCへ流出を許可している組織ですから、
持ち出しの分量を抑える以前に業務PC貸与だけでも有効だったかもしれない、
そういう意味で個人の罪より組織の罪がもっとクローズアップされるべき、
という処罰の方向性に注文をつけたい部分は多い。
情報セキュリティを効果的に運用するのは難しいのは一般論としてアリです。
前述したようないくつかの対策も、偉い人が自分だけ例外を認めさせるなどして、
スパイに手渡して流出なんてのは防衛庁であった話を持ち出すまでも無い。
しかし、今「そこまでの意図」で指摘する以前、常識の通用しない組織に必要なのは、
そうした情報セキュリティの難しさという議論ではない、基本的な話なのですね。
こんな組織では、「情報と情報が結びついて活きてくる」なんて噴飯なんですよ。
情報の価値が解らないから流出させた、そういう組織を擁護するのに、
あなたの言葉は滑稽に空回りするばかりです。
結局その食い違いは、おそらく貴方がメタな議論をしようとしているからだと思います。
事件を見ないで大局的な一般論に落とし込むのは、真実を煙にまくだけで意味が無い。
メタな議論をするならば、「システム化の難しい情報管理」で言わんとしている、
落とし穴の話もしようがあるのですが、ここですべきじゃなかったという事です。