アカウント名:
パスワード:
前の会社で会社に泊まりになって先に入り口のカギをかけたんですがしばらくしてカギを開けて入ってきた人がいました。なんと既に退職した人。見たい資料があったので来たらしい。部屋の電気を消して机のスタンドだけで仕事をしていたのでむこうも人がいるとは思わなかったらしい。
辞める前に会社のカギを複製してたらしいんだけど…中小企業だとマンションの1室を会社にしたりとかでロクなセキュリティをかけていないところもそれなりにあると思うんだけど、辞めて行った人が入り口のカギの複製を持ってる事まで想定してカギを変更とかなかなかしないのが実情なのかもしれない。
当然通報した。それでなにか?
それでどうなりました?
呼び出して事情聴取その後はしらん
あー、なんか都合の悪い質問しちゃったみたいですみません。
意外と多いですね。
って、昨日ちょうどそんな話が今の社内で出てた。共用ファイルサーバー(CIIFS)で、組織変更に合わせて権限を調整されたらアクセスできない人がボロボロ出てきて。管理者を探すと、既に退職した人が管理者に設定されたままになってて結局大本の管理部門に頼んで旧い管理者を消して今いる人につけ直してもらってた。
人事勤労が退職者とか把握してるけど、彼らは社内IT管理やらファイルサーバー管理しているところにその情報を降ろすようにはなってないし。セキュリティ対策やコンプライアンスなんとかチームは居るけど、彼らも上下からのエスカレーションには対応してるけど、横方向での情報共有はしないみたいだし。結局、人が居なくなってもアカウントやパスワード設定は生きてるらしい。アクセス経路さえあれば入れちゃうはず。
退職ではないが、某カメラメーカーに派遣契約で入って、無事契約終了。で、業務用のサーバーその他にアクセスするのにアカウントを作るのだが。
数年後、別案件でそのメーカーに派遣されて、アカウントを作ろうとしたら何故か登録エラーとなり、客先が原因を調べたところ数年前の派遣契約で作ったアカウントが生きていて・・・・。二重登録でエラーになったとの事、試しに昔のパスワード使ってみたら、なんとまぁ。そのままログインできて数年分のメールやらグループウェアのメッセージやらの洪水に見舞われた。・・・・その中に、「XXX日間アカウントのパスワードを変更してないから早急に変更しろ!!」って警告メールが山の様に・・・・。
#後日判ったことだけど一度作ったアカウントは削除できないそうな(ほんとか?)
>#後日判ったことだけど一度作ったアカウントは削除できないそうな(ほんとか?)
それはできない仕様にしているというか、メンテしない運用にしているだけですね。その会社穴だらけなのかもしれない。
スラド…
うあ、未だに退会できないんだっけ
> #後日判ったことだけど一度作ったアカウントは削除できないそうな(ほんとか?)
本当に削除してしまうと、履歴レコードにのこった利用者IDが行方不明になってしまうので、無効化(ログイン不可)で対応する、というのは普通にあります。
GDPRとか考えると、個人情報保護を真面目にやるなら、個人情報部分については物理的に削除できる仕組みにしないとだめでしょうが。
つまり、契約が切れたら対象を抹殺するということですね
それでも、故人情報はやっぱり真面目に保護しないといかんと思うよ。
人事部門と情報処理部門の連携が思ったほどとれていない組織が多いという事なのでしょうか。異動があってもPCの登録が移動前のままだったり、既に解散した過去の部署名がシステムに登録されたまま放置されているというのも見かけます。アクセスIDの削除にも人事情報が必要ですが、お互いセキュリティを気にしすぎて自分の情報を他部署に渡す習慣がないのかもしれませんね。
>お互いセキュリティを気にしすぎてトリガーは人事側にしかないですよね。こっちは知りようがない。辞めた人がいたら連絡しろと言ってるのにイマイチ徹底してくれません。年一で各部署に直接ユーザ一覧を回して棚卸しするようにはしてますが。
情シスの業務負担を軽くするためにクラウドサービスに移行する会社が増えてると思うけど、退職した従業員も使ってたアカウントそのまま使えちゃったりするところも多いんだろうな。
人事がやるべき業務をシステム部に押し付けたりするから発生する問題だけど。
企業が上下構造だと、せっかく無いはずのIDに気づいても、情報処理部門に情報いきにくいのもあるかもしれません。
そのIDでないと使えない権限があるんだろうなぁ、と思いつつ、それとも削除忘れただけか、部下は聞けないという。聞くべきかなぁ.....
いなくなる人の話もそうだけど、新しく入ってくる人のPCの準備なんかも同じですね。いきなり「明日の朝までにPC2台準備しといてね」とか前日の夕方ぐらいに連絡なんて日常茶飯事。ひどい時は当日になって「なんでPC用意出来てないんだ」と大声を出せばまわりが動くと思ってるクソ部長とか。
社内の情報機器は部課長の決済権限外で値段に関係なく社長承認が判子を押した状態で出ないと発注すら出来ないというのに…
ただ異動になっても、元の部署の権限が使えると何かと便利なんだよね。営業に行ってからも開発部のチケットシステムが閲覧できたり、ベータ製品が使えたりすると、セールス上すごく有利。
本来ならば、2つの部署をブリッジするような専任者を置くべきなのだけど、どちらの部にもそんな余裕はなかったりという。
IDの使いまわしはしないけど、ユーザID消してしまうと、宙ぶらりんになるファイルやらなんやらが出てきてしまうので、ログインできないようにするだけだな。
権限を残してもらっている、ってケースは結構あります。
新規のお客さんのところに行って、サーバの設定とか見せて?って聞くとよその会社の人の名刺渡されて「前に務めてたこの人に連絡して」って言われることがあります。さすがに辞めた人ってのは少ないけど、部署移動で引継ぎできずに異動した後もその部署のメンテナンスしてる人は結構見ます。
自分の場合も、退職日をずらしたくなかったので内緒でリモートアクセスと権限をしばらく残してもらったというのはあります。
こういったのはActiveDirectoryで一元管理してると楽ただしMSへの上納金やシステム費用ちゃんと用意できる会社限定MSと心中する覚悟でやらないといけない
自社LAN内のシステムのアカウントならそうでしょうけどね。この手の退職後も使えるって、外部サービスもあると思うけど、例えばGoogleアカウント(gmailとか)ってLAN内のADと連携できるの?
ウチは連動してる
> 例えばGoogleアカウント(gmailとか)ってLAN内のADと連携できるの?
ActiveDirectory っていわゆる LDAPのまっとうな実装+オマケなので、世の中ADと連携できない物のほうが少ないんじゃないかな。ADが出てきたころだと「実装してみました」レベルではない、運用に耐えられる唯一のLDAP実装だった気がする。
> ADが出てきたころだと「実装してみました」レベルではない、運用に耐えられる唯一のLDAP実装だった気がする。
Netscape Directory Server...使ってたひとも居るんですよ。
うちはこないだ自分のメアド宛に、同じイニシャルの今は居ない部長さん宛の営業メールが届いたわ。昔辞めた人のメアドを再発行してしまったんだと思うんだが、こういうのも情報漏洩になりそうで危険だなと思った。
なお、不思議なことに、古参の上司陣に聞いても、うちの会社にそんな部署も部長も過去存在したことがないらしい。誰だよ。
>部署が売られてパソコン持って行ったが、数ヶ月後こちらから言うまでそのままだった
部署が売られてって、部署丸ごと売られたの?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
ITだけの話ではない (スコア:3, 興味深い)
前の会社で会社に泊まりになって先に入り口のカギをかけたんですが
しばらくしてカギを開けて入ってきた人がいました。なんと既に退職
した人。見たい資料があったので来たらしい。部屋の電気を消して
机のスタンドだけで仕事をしていたのでむこうも人がいるとは
思わなかったらしい。
辞める前に会社のカギを複製してたらしいんだけど…
中小企業だとマンションの1室を会社にしたりとかでロクなセキュリティを
かけていないところもそれなりにあると思うんだけど、辞めて行った人が
入り口のカギの複製を持ってる事まで想定してカギを変更とかなかなか
しないのが実情なのかもしれない。
Re: (スコア:0)
当然通報した。
それでなにか?
Re: (スコア:0)
それでどうなりました?
Re: (スコア:0)
呼び出して事情聴取
その後はしらん
Re: (スコア:0)
あー、なんか都合の悪い質問しちゃったみたいですみません。
1/3 (スコア:2)
意外と多いですね。
って、昨日ちょうどそんな話が今の社内で出てた。
共用ファイルサーバー(CIIFS)で、組織変更に合わせて権限を調整されたらアクセスできない人がボロボロ出てきて。
管理者を探すと、既に退職した人が管理者に設定されたままになってて結局大本の管理部門に頼んで旧い管理者を消して今いる人につけ直してもらってた。
人事勤労が退職者とか把握してるけど、彼らは社内IT管理やらファイルサーバー管理しているところにその情報を降ろすようにはなってないし。
セキュリティ対策やコンプライアンスなんとかチームは居るけど、彼らも上下からのエスカレーションには対応してるけど、横方向での情報共有はしないみたいだし。
結局、人が居なくなってもアカウントやパスワード設定は生きてるらしい。
アクセス経路さえあれば入れちゃうはず。
Re:1/3 (スコア:2, おもしろおかしい)
退職ではないが、某カメラメーカーに派遣契約で入って、無事契約終了。
で、業務用のサーバーその他にアクセスするのにアカウントを作るのだが。
数年後、別案件でそのメーカーに派遣されて、アカウントを作ろうとしたら
何故か登録エラーとなり、客先が原因を調べたところ数年前の派遣契約で作ったアカウントが生きていて・・・・。
二重登録でエラーになったとの事、試しに昔のパスワード使ってみたら、
なんとまぁ。そのままログインできて数年分のメールやらグループウェアのメッセージやらの洪水に見舞われた。
・・・・その中に、「XXX日間アカウントのパスワードを変更してないから早急に変更しろ!!」って警告メールが山の様に・・・・。
#後日判ったことだけど一度作ったアカウントは削除できないそうな(ほんとか?)
Re:1/3 (スコア:1)
>#後日判ったことだけど一度作ったアカウントは削除できないそうな(ほんとか?)
それはできない仕様にしているというか、メンテしない運用にしているだけですね。
その会社穴だらけなのかもしれない。
Re:1/3 (スコア:1)
スラド…
Re:1/3 (スコア:1)
うあ、未だに退会できないんだっけ
Re:1/3 (スコア:1)
> #後日判ったことだけど一度作ったアカウントは削除できないそうな(ほんとか?)
本当に削除してしまうと、履歴レコードにのこった利用者IDが行方不明になってしまうので、無効化(ログイン不可)で対応する、というのは普通にあります。
GDPRとか考えると、個人情報保護を真面目にやるなら、個人情報部分については物理的に削除できる仕組みにしないとだめでしょうが。
Re: (スコア:0)
つまり、契約が切れたら対象を抹殺するということですね
Re: (スコア:0)
それでも、故人情報はやっぱり真面目に保護しないといかんと思うよ。
人事と情シスの連携 (スコア:1)
人事部門と情報処理部門の連携が思ったほどとれていない組織が多いという事なのでしょうか。
異動があってもPCの登録が移動前のままだったり、既に解散した過去の部署名がシステムに登録
されたまま放置されているというのも見かけます。
アクセスIDの削除にも人事情報が必要ですが、お互いセキュリティを気にしすぎて自分の情報を他部署に
渡す習慣がないのかもしれませんね。
Re:人事と情シスの連携 (スコア:4, 興味深い)
>お互いセキュリティを気にしすぎて
トリガーは人事側にしかないですよね。こっちは知りようがない。
辞めた人がいたら連絡しろと言ってるのにイマイチ徹底してくれません。
年一で各部署に直接ユーザ一覧を回して棚卸しするようにはしてますが。
Re:人事と情シスの連携 (スコア:1)
情シスの業務負担を軽くするためにクラウドサービスに移行する会社が増えてると思うけど、退職した従業員も使ってたアカウントそのまま使えちゃったりするところも多いんだろうな。
人事がやるべき業務をシステム部に押し付けたりするから発生する問題だけど。
Re: (スコア:0)
企業が上下構造だと、せっかく無いはずのIDに気づいても、情報処理部門に情報いきにくいのもあるかもしれません。
そのIDでないと使えない権限があるんだろうなぁ、と思いつつ、それとも削除忘れただけか、部下は聞けないという。
聞くべきかなぁ.....
Re: (スコア:0)
いなくなる人の話もそうだけど、新しく入ってくる人の
PCの準備なんかも同じですね。いきなり「明日の朝までに
PC2台準備しといてね」とか前日の夕方ぐらいに連絡なんて
日常茶飯事。ひどい時は当日になって「なんでPC用意出来て
ないんだ」と大声を出せばまわりが動くと思ってるクソ部長とか。
社内の情報機器は部課長の決済権限外で値段に関係なく社長承認が
判子を押した状態で出ないと発注すら出来ないというのに…
Re: (スコア:0)
ただ異動になっても、元の部署の権限が使えると何かと便利なんだよね。
営業に行ってからも開発部のチケットシステムが閲覧できたり、ベータ製品が使えたりすると、セールス上すごく有利。
本来ならば、2つの部署をブリッジするような専任者を置くべきなのだけど、
どちらの部にもそんな余裕はなかったりという。
ID管理 (スコア:1)
退職日の翌日に無効にするぐらい。利用部門は自分の仕事じゃない感で
いつも放置プレイ気味
#他所もそんなもんですかね
Re: (スコア:0)
#先日古い顧客からメールが来たので当時の上司に転送した。削除されていたら行方不明メールになるところだった。
Re: (スコア:0)
IDの使いまわしはしないけど、ユーザID消してしまうと、宙ぶらりんになるファイルやらなんやらが出てきてしまうので、ログインできないようにするだけだな。
引継ぎが完了していないので (スコア:0)
権限を残してもらっている、ってケースは結構あります。
新規のお客さんのところに行って、サーバの設定とか見せて?って聞くとよその会社の人の名刺渡されて「前に務めてたこの人に連絡して」って言われることがあります。
さすがに辞めた人ってのは少ないけど、部署移動で引継ぎできずに異動した後もその部署のメンテナンスしてる人は結構見ます。
自分の場合も、退職日をずらしたくなかったので内緒でリモートアクセスと権限をしばらく残してもらったというのはあります。
ActiveDirectory (スコア:0)
こういったのはActiveDirectoryで一元管理してると楽
ただしMSへの上納金やシステム費用ちゃんと用意できる会社限定
MSと心中する覚悟でやらないといけない
Re: (スコア:0)
自社LAN内のシステムのアカウントならそうでしょうけどね。
この手の退職後も使えるって、外部サービスもあると思うけど、
例えばGoogleアカウント(gmailとか)ってLAN内のADと連携できるの?
Re: (スコア:0)
ウチは連動してる
Re: (スコア:0)
> 例えばGoogleアカウント(gmailとか)ってLAN内のADと連携できるの?
ActiveDirectory っていわゆる LDAPのまっとうな実装+オマケなので、世の中ADと連携できない物のほうが少ないんじゃないかな。
ADが出てきたころだと「実装してみました」レベルではない、運用に耐えられる唯一のLDAP実装だった気がする。
Re:ActiveDirectory (スコア:1)
> ADが出てきたころだと「実装してみました」レベルではない、運用に耐えられる唯一のLDAP実装だった気がする。
Netscape Directory Server...
使ってたひとも居るんですよ。
辞めた人のメアドが再利用されるパターン (スコア:0)
うちはこないだ自分のメアド宛に、同じイニシャルの今は居ない部長さん宛の営業メールが届いたわ。
昔辞めた人のメアドを再発行してしまったんだと思うんだが、こういうのも情報漏洩になりそうで危険だなと思った。
なお、不思議なことに、古参の上司陣に聞いても、うちの会社にそんな部署も部長も過去存在したことがないらしい。誰だよ。
Re: (スコア:0)
偽名なのにイニシャルが同じなのは君自身に気付いてほしかったからだ。
Re: (スコア:0)
>部署が売られてパソコン持って行ったが、数ヶ月後こちらから言うまでそのままだった
部署が売られてって、部署丸ごと売られたの?
Re:残存設定が残ってるから仕方ない (スコア:1)