アカウント名:
パスワード:
社員が情報を持ちだして売っちまったってのは、たまたまそういう社員がいたかどうかって話だよね。社員教育や報酬なんかである程度防ぐことができる話ではあるけれど、IT企業の事ではあるが、あんまり技術的な問題だとは言えない。サポート業務に使われる情報はハッシュやら暗号化やらは余りできないし、せいぜいアクセス制限すべきという程度かな。
うちも顧客サポートやってるけど、
・情報を持ち出し可能な状態にしない(端末の管理や外部メディアへの接続など)・一般職員は単独では多数の情報にはアクセスさせない・業務時間以外の情報へのアクセスをさせない
どれも現実的にさほど難しい対策ではないし、ちゃんとやってれば「最大12万人分の個人情報が持ち出し」みたいなタコい事態にはならない。
たとえば「有名人の個人情報を1件だけ見つけて抜き取りました」みたいなのは完全には防げないけど、これはそういう話じゃないよね。
たとえば・・
・情報を持ち出し可能な状態にしない(端末の管理や外部メディアへの接続など)これはあなたが技術者的なプライドを賭けていかなる手管を講じても持ち出しの経路が確保できないほど徹底したものか
・一般職員は単独では多数の情報にはアクセスさせない複数人の作業中人の目を盗んだり、ちょっとした理由付け、ないしは丸め込みや騙しによってもデータを移動する事は不可能か
っていうレベルの話でもある。数年程度正社員をやっていればそれなりの権限を与えられるケースもあるだろうし、内部犯に対して一瞬の隙も見せないというのはそう簡単な事ではない。
悪いけど、そんな妄言が出てくる時点で、あんたが偉そうにセキュリティーを語る資格はないよ。「情報が漏出したときの被害を想定し、その被害に応じて相応の仕組みで防護する」のが技術者の賭けるべきプライドであって、費用対効果を無視してバカみたいな仕組みを作るのは二流未満のやること。たとえば、技師を連れた熟練の特殊部隊が射殺上等でセキュリティー区画に突入してきて、社員を無力化しながら奪取を試みたら、とか言われても、そんなのはスコープじゃないわけで。
・一般職員は単独では多数の情報にはアクセスさせない複数人の作業中人の目を盗んだり、ちょっとした理由
悪いけど、そんな妄言が出てくる時点で、あんたが偉そうにセキュリティーを語る資格はないよ。
全然意味が分かってないなあ。
あなたは「タコい事態にはならない。」なんて言ってるけど、悪意のある内部犯に対してそんな事が保証できるの?って言ってるだけだよ。保証できなければ、今回のような事件は当然発生しうるでしょう。あなたの会社でもそのタコい事態が。長々語られてもそこがズレてちゃ何の意味もない。
マトモなエンジニアは「現実的には無視できる程度の可能性でも、可能性があれば絶対大丈夫とは言わない(言えない)」んだよ。たとえば「ピンポイントで隕石が降ってきて直撃し、システムのセキュリティ部分だけがだけが都合よく止まる」みたいな馬鹿げた可能性であっても、それが起きないと保証できるわけではないから。
それに対してプライドだ保証だって難癖つけても話はかみ合わないよ。ましてや「現実的に起きうる事態には対処してる」みたいな話に対して
保証できなければ、今回のような事件は当然発生しうるでしょう。あなたの会社でもそのタコい事態が。
とか言ってる時点で意味不明。「タコい事態」ってのは「ちゃんと対策されてなかった」って前提も含んだ話だろ。それくらいの読解力ないなら黙ってた方がいいよ、恥さらすだけだから。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
※ただしPHPを除く -- あるAdmin
技術的問題ではない (スコア:0)
社員が情報を持ちだして売っちまったってのは、たまたまそういう社員がいたかどうかって話だよね。
社員教育や報酬なんかである程度防ぐことができる話ではあるけれど、
IT企業の事ではあるが、あんまり技術的な問題だとは言えない。
サポート業務に使われる情報はハッシュやら暗号化やらは余りできないし、せいぜいアクセス制限すべきという程度かな。
Re: (スコア:3, 興味深い)
うちも顧客サポートやってるけど、
・情報を持ち出し可能な状態にしない(端末の管理や外部メディアへの接続など)
・一般職員は単独では多数の情報にはアクセスさせない
・業務時間以外の情報へのアクセスをさせない
どれも現実的にさほど難しい対策ではないし、ちゃんとやってれば「最大12万人分の個人情報が持ち出し」みたいなタコい事態にはならない。
たとえば「有名人の個人情報を1件だけ見つけて抜き取りました」みたいなのは完全には防げないけど、これはそういう話じゃないよね。
Re: (スコア:-1)
たとえば・・
・情報を持ち出し可能な状態にしない(端末の管理や外部メディアへの接続など)
これはあなたが技術者的なプライドを賭けていかなる手管を講じても持ち出しの経路が確保できないほど徹底したものか
・一般職員は単独では多数の情報にはアクセスさせない
複数人の作業中人の目を盗んだり、ちょっとした理由付け、ないしは丸め込みや騙しによってもデータを移動する事は不可能か
っていうレベルの話でもある。
数年程度正社員をやっていればそれなりの権限を与えられるケースもあるだろうし、
内部犯に対して一瞬の隙も見せないというのはそう簡単な事ではない。
Re: (スコア:1)
・情報を持ち出し可能な状態にしない(端末の管理や外部メディアへの接続など)
これはあなたが技術者的なプライドを賭けていかなる手管を講じても持ち出しの経路が確保できないほど徹底したものか
悪いけど、そんな妄言が出てくる時点で、あんたが偉そうにセキュリティーを語る資格はないよ。
「情報が漏出したときの被害を想定し、その被害に応じて相応の仕組みで防護する」のが技術者の賭けるべきプライドであって、費用対効果を無視してバカみたいな仕組みを作るのは二流未満のやること。
たとえば、技師を連れた熟練の特殊部隊が射殺上等でセキュリティー区画に突入してきて、社員を無力化しながら奪取を試みたら、とか言われても、そんなのはスコープじゃないわけで。
・一般職員は単独では多数の情報にはアクセスさせない
複数人の作業中人の目を盗んだり、ちょっとした理由
Re: (スコア:-1)
悪いけど、そんな妄言が出てくる時点で、あんたが偉そうにセキュリティーを語る資格はないよ。
全然意味が分かってないなあ。
あなたは「タコい事態にはならない。」なんて言ってるけど、悪意のある内部犯に対してそんな事が保証できるの?って言ってるだけだよ。
保証できなければ、今回のような事件は当然発生しうるでしょう。あなたの会社でもそのタコい事態が。
長々語られてもそこがズレてちゃ何の意味もない。
Re:技術的問題ではない (スコア:0)
マトモなエンジニアは「現実的には無視できる程度の可能性でも、可能性があれば絶対大丈夫とは言わない(言えない)」んだよ。たとえば「ピンポイントで隕石が降ってきて直撃し、システムのセキュリティ部分だけがだけが都合よく止まる」みたいな馬鹿げた可能性であっても、それが起きないと保証できるわけではないから。
それに対してプライドだ保証だって難癖つけても話はかみ合わないよ。ましてや「現実的に起きうる事態には対処してる」みたいな話に対して
保証できなければ、今回のような事件は当然発生しうるでしょう。あなたの会社でもそのタコい事態が。
とか言ってる時点で意味不明。「タコい事態」ってのは「ちゃんと対策されてなかった」って前提も含んだ話だろ。それくらいの読解力ないなら黙ってた方がいいよ、恥さらすだけだから。