アカウント名:
パスワード:
意外と多いですね。
って、昨日ちょうどそんな話が今の社内で出てた。共用ファイルサーバー(CIIFS)で、組織変更に合わせて権限を調整されたらアクセスできない人がボロボロ出てきて。管理者を探すと、既に退職した人が管理者に設定されたままになってて結局大本の管理部門に頼んで旧い管理者を消して今いる人につけ直してもらってた。
人事勤労が退職者とか把握してるけど、彼らは社内IT管理やらファイルサーバー管理しているところにその情報を降ろすようにはなってないし。セキュリティ対策やコンプライアンスなんとかチームは居るけど、彼らも上下からのエスカレーションには対応してるけど、横方向での情報共有はしないみたいだし。結局、人が居なくなってもアカウントやパスワード設定は生きてるらしい。アクセス経路さえあれば入れちゃうはず。
退職ではないが、某カメラメーカーに派遣契約で入って、無事契約終了。で、業務用のサーバーその他にアクセスするのにアカウントを作るのだが。
数年後、別案件でそのメーカーに派遣されて、アカウントを作ろうとしたら何故か登録エラーとなり、客先が原因を調べたところ数年前の派遣契約で作ったアカウントが生きていて・・・・。二重登録でエラーになったとの事、試しに昔のパスワード使ってみたら、なんとまぁ。そのままログインできて数年分のメールやらグループウェアのメッセージやらの洪水に見舞われた。・・・・その中に、「XXX日間アカウントのパスワードを変更してないから早急に変更しろ!!」って警告メールが山の様に・・・・。
#後日判ったことだけど一度作ったアカウントは削除できないそうな(ほんとか?)
>#後日判ったことだけど一度作ったアカウントは削除できないそうな(ほんとか?)
それはできない仕様にしているというか、メンテしない運用にしているだけですね。その会社穴だらけなのかもしれない。
スラド…
うあ、未だに退会できないんだっけ
> #後日判ったことだけど一度作ったアカウントは削除できないそうな(ほんとか?)
本当に削除してしまうと、履歴レコードにのこった利用者IDが行方不明になってしまうので、無効化(ログイン不可)で対応する、というのは普通にあります。
GDPRとか考えると、個人情報保護を真面目にやるなら、個人情報部分については物理的に削除できる仕組みにしないとだめでしょうが。
つまり、契約が切れたら対象を抹殺するということですね
それでも、故人情報はやっぱり真面目に保護しないといかんと思うよ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ
1/3 (スコア:2)
意外と多いですね。
って、昨日ちょうどそんな話が今の社内で出てた。
共用ファイルサーバー(CIIFS)で、組織変更に合わせて権限を調整されたらアクセスできない人がボロボロ出てきて。
管理者を探すと、既に退職した人が管理者に設定されたままになってて結局大本の管理部門に頼んで旧い管理者を消して今いる人につけ直してもらってた。
人事勤労が退職者とか把握してるけど、彼らは社内IT管理やらファイルサーバー管理しているところにその情報を降ろすようにはなってないし。
セキュリティ対策やコンプライアンスなんとかチームは居るけど、彼らも上下からのエスカレーションには対応してるけど、横方向での情報共有はしないみたいだし。
結局、人が居なくなってもアカウントやパスワード設定は生きてるらしい。
アクセス経路さえあれば入れちゃうはず。
Re:1/3 (スコア:2, おもしろおかしい)
退職ではないが、某カメラメーカーに派遣契約で入って、無事契約終了。
で、業務用のサーバーその他にアクセスするのにアカウントを作るのだが。
数年後、別案件でそのメーカーに派遣されて、アカウントを作ろうとしたら
何故か登録エラーとなり、客先が原因を調べたところ数年前の派遣契約で作ったアカウントが生きていて・・・・。
二重登録でエラーになったとの事、試しに昔のパスワード使ってみたら、
なんとまぁ。そのままログインできて数年分のメールやらグループウェアのメッセージやらの洪水に見舞われた。
・・・・その中に、「XXX日間アカウントのパスワードを変更してないから早急に変更しろ!!」って警告メールが山の様に・・・・。
#後日判ったことだけど一度作ったアカウントは削除できないそうな(ほんとか?)
Re:1/3 (スコア:1)
>#後日判ったことだけど一度作ったアカウントは削除できないそうな(ほんとか?)
それはできない仕様にしているというか、メンテしない運用にしているだけですね。
その会社穴だらけなのかもしれない。
Re:1/3 (スコア:1)
スラド…
Re:1/3 (スコア:1)
うあ、未だに退会できないんだっけ
Re:1/3 (スコア:1)
> #後日判ったことだけど一度作ったアカウントは削除できないそうな(ほんとか?)
本当に削除してしまうと、履歴レコードにのこった利用者IDが行方不明になってしまうので、無効化(ログイン不可)で対応する、というのは普通にあります。
GDPRとか考えると、個人情報保護を真面目にやるなら、個人情報部分については物理的に削除できる仕組みにしないとだめでしょうが。
Re: (スコア:0)
つまり、契約が切れたら対象を抹殺するということですね
Re: (スコア:0)
それでも、故人情報はやっぱり真面目に保護しないといかんと思うよ。