パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Trend Microで従業員による顧客情報売却が発覚、詐欺に使われる」記事へのコメント

  • 社員が情報を持ちだして売っちまったってのは、たまたまそういう社員がいたかどうかって話だよね。
    社員教育や報酬なんかである程度防ぐことができる話ではあるけれど、
    IT企業の事ではあるが、あんまり技術的な問題だとは言えない。
    サポート業務に使われる情報はハッシュやら暗号化やらは余りできないし、せいぜいアクセス制限すべきという程度かな。

    • Re: (スコア:3, 興味深い)

      by Anonymous Coward

      うちも顧客サポートやってるけど、

      ・情報を持ち出し可能な状態にしない(端末の管理や外部メディアへの接続など)
      ・一般職員は単独では多数の情報にはアクセスさせない
      ・業務時間以外の情報へのアクセスをさせない

      どれも現実的にさほど難しい対策ではないし、ちゃんとやってれば「最大12万人分の個人情報が持ち出し」みたいなタコい事態にはならない。

      たとえば「有名人の個人情報を1件だけ見つけて抜き取りました」みたいなのは完全には防げないけど、これはそういう話じゃないよね。

      • by Anonymous Coward on 2019年11月07日 1時54分 (#3711892)

        たとえば・・

        ・情報を持ち出し可能な状態にしない(端末の管理や外部メディアへの接続など)
        これはあなたが技術者的なプライドを賭けていかなる手管を講じても持ち出しの経路が確保できないほど徹底したものか

        ・一般職員は単独では多数の情報にはアクセスさせない
        複数人の作業中人の目を盗んだり、ちょっとした理由付け、ないしは丸め込みや騙しによってもデータを移動する事は不可能か

        っていうレベルの話でもある。
        数年程度正社員をやっていればそれなりの権限を与えられるケースもあるだろうし、
        内部犯に対して一瞬の隙も見せないというのはそう簡単な事ではない。

        親コメント
        • by Anonymous Coward on 2019年11月07日 3時30分 (#3711906)

          ・情報を持ち出し可能な状態にしない(端末の管理や外部メディアへの接続など)
          これはあなたが技術者的なプライドを賭けていかなる手管を講じても持ち出しの経路が確保できないほど徹底したものか

          悪いけど、そんな妄言が出てくる時点で、あんたが偉そうにセキュリティーを語る資格はないよ。
          「情報が漏出したときの被害を想定し、その被害に応じて相応の仕組みで防護する」のが技術者の賭けるべきプライドであって、費用対効果を無視してバカみたいな仕組みを作るのは二流未満のやること。
          たとえば、技師を連れた熟練の特殊部隊が射殺上等でセキュリティー区画に突入してきて、社員を無力化しながら奪取を試みたら、とか言われても、そんなのはスコープじゃないわけで。

          ・一般職員は単独では多数の情報にはアクセスさせない
          複数人の作業中人の目を盗んだり、ちょっとした理由付け、ないしは丸め込みや騙しによってもデータを移動する事は不可能か

          今回みたいな件に関して言うなら不可能だね。
          何万件単位の個人情報へのアクセスを許可するような業務フローはシステム化されて然るべきで、誤魔化してどうこうできるものではない。
          ましてや媒体への移動は物理的なのも含めてロックかかってるから。

          ああ、まあ、フロー管理システムの未知の脆弱性を、開発・分析ツール等を使わずに突破して、何万件オーダーの個人情報を媒体に移さず記憶だけで持ち帰る、みたいなことされたら漏出するだろうね。特殊部隊が突入してくるより「ありえない」と思うけど。

          そのレベルの杞憂を根拠に「絶対はない」みたいに言ったり、今回やらかしたトレンドマイクロを擁護するなら、「馬鹿じゃねーの」以外に言葉のかけようがない。すまないが。

          親コメント

最初のバージョンは常に打ち捨てられる。

処理中...