アカウント名:
パスワード:
教育ですめばベストだけど理想論でしかない。
世の中には常識(教育)が通用しないタイプがかなりいる。今回の流出をおこしたのもそのタイプ。周りに指摘されても何が悪いのかがまったく理解できていなかった(とぼけてるだけかもしれないけど)
githubなどコピペしてもってくるためにあるようなサイトだから真っ先に遮断すべきだし、githubだけを禁止しても仕方ないから遮断はホワイトリストで運用すべき。実際、厳しい企業はそうやっている。
こう考えている企業はどんどん自社の姿勢や取り組みをアピールして、いかに自分たちが高いセキュリティ意識を持っているか特に求人欄にはしっかり書いておいてほしいと思う
自覚なく非常識な人でも、こういう対策をとっているところなら安心して働けるわけだしそれが社会のため、世界のためになるはず
仰る意味は判るんですが、>世の中には常識(教育)が通用しないタイプがかなりいる。貴方の言うとおりとんでもないことをしでかす人間はホワイトリストで運用してもA社に送るはずの資料をB社に送ったりするわけで・・・遮断すべきは理解が足りてない人間のネットワーク接続かなぁと。
とはいえ、今回は家からプロジェクト終了後数年経って漏洩したので、会社が遮断したところで全く効果は無いんですけどね。今の時代は職場をネットから完全遮断して持ち出し対策も難しいでしょうし。教育をしっかりしないと、どうにもならないでしょう。
それがその会社の方針であるなら好きにすればいいんだけどさ、ちゃんとリスクマネジメントできてる?
pushだけじゃなくて閲覧まで完全遮断するなら、ライブラリをダウンロードできなくて車輪の再発明をするコストだとか、別口でダウンロードできてもサンプルソースやドキュメントを参照できなくて使用方法の習得に余計にかかるコストだとかとちゃんと天秤かけてる?
他人のソースコードやライブラリは権利侵害やライセンス汚染のリスクがあるから、勝手に流用なんてさせないだろ使用するときは品証なり法務なりと権利問題がないことをチェックしてから採用にGoがでるのが普通そういう意味では、プログラマが独断でGitHub上のライブラリとか使ってくれちゃ困るねん、その辺をちゃんと管理してないとGPL汚染とか起こしてあとでひどい目に遭う
ライブラリ本体の入手についてはそれでいいとしても、ドキュメント類を参照出来ない問題は解決してないじゃん。GitHubにしか公式ドキュメントがない例は珍しくないだろ。後、ドキュメント見れなかったら選定することすら満足にできないから品証なり法務なりにこれ使いたいってお伺いする段階にたどり着けないぞ。
とりあえず現状で即セキュリティを求めるならそれしかないよな。
改善策も提示しないでやったつもりのセキュリティ策とレッテル貼りして何の利点があるのかの方が分らん。自分でセキュリティと言って開発効率の話なんかしてない事が分っている筈なのに。
将来的な開発の都合と今現在起こっている事への対処って別レイヤーとして対処しても良い話だと思うんだが。
「持ち帰ったソースを勝手にアップロードした」事件に対して「社内からアップロード先サイトを見れなくします」じゃ理屈がおかしい社内で起こってることは「ソースの持ち帰り」だから外部サイトは関係ないじゃない
「改善案の提示が必要だから、関連キーワードを含む検索結果を口に出しました」ってレベル叩き台として必要なのかもしれないけど、案になってない
こういうことが起きたから社内からgithubに上げるやつがいるかもしれない。だから禁止しよう。でもそれはやめて。そういう話よ。
> こういうことが起きたから社内からgithubに上げるやつがいるかもしれない
ああ、「社内からソースコードをアップして年収判定を受けようとするやつがいるかもしれない」って心配してんのかこういうところはUSBとかとっくに禁止してるだろうしなそれならGitHub禁止にするくらいしかやってみせることないわな
理屈の通った提案が通ればベストだけど理想論でしかない
世の中には常識(教育)が通用しないタイプがかなりいる部下に指摘されても何が悪いのかがまったく理解できていない(とぼけてるだけかもしれないけど)
だったら必要なのはソースの閲覧禁止、パソコンの操作禁止だろだって見たら覚えて流出させるかもしれないし、操作させたら盗むかもしれない
何度も言うけど、こいつは持ち帰って自宅かどこか社外からネットにアップロードしてるんだから
遮断すれば漏洩を防げるって理想論じゃないのかな。ソースコードのテキストでWeb検索したって外部に情報が流れる事になるんだぜ。真に情報漏洩の盾となっているのは教育の方なんじゃね。アクセス制限は教育のための矯正具と考えた方が合理的に思う。なぜならアクセス制限で全ての情報漏洩を防ぐことは不可能だから。
そのように思考すれば、社員個人毎にレベルの異なるアクセス制限を柔軟に運用しても良いという解が見えてくる。
①世の中には常識(教育)が通用しない経営者がかなりいる。今回の事故をおこしたのもその経営者。周りに指摘されても何が悪いのかがまったく理解できていなかった(とぼけてるだけかもしれないけど)②事故は必ず起きるのだから安全対策を講ずるべきである。③安全意識の高い経営者は取り組んでいる
悪口のテンプレート通りでつまらん意見だな。①あいつは馬鹿だ②~するべき③ちゃんとやってるところはある
どこから経営者を汲み取ったの?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家
一切の接続を禁止する方が効果は高い (スコア:0)
教育ですめばベストだけど理想論でしかない。
世の中には常識(教育)が通用しないタイプがかなりいる。
今回の流出をおこしたのもそのタイプ。周りに指摘されても何が悪いのかがまったく理解できていなかった(とぼけてるだけかもしれないけど)
githubなどコピペしてもってくるためにあるようなサイトだから真っ先に遮断すべきだし、githubだけを禁止しても仕方ないから
遮断はホワイトリストで運用すべき。実際、厳しい企業はそうやっている。
Re: (スコア:0)
こう考えている企業はどんどん自社の姿勢や取り組みをアピールして、
いかに自分たちが高いセキュリティ意識を持っているか
特に求人欄にはしっかり書いておいてほしいと思う
自覚なく非常識な人でも、こういう対策をとっているところなら安心して働けるわけだし
それが社会のため、世界のためになるはず
Re: (スコア:0)
仰る意味は判るんですが、
>世の中には常識(教育)が通用しないタイプがかなりいる。
貴方の言うとおりとんでもないことをしでかす人間は
ホワイトリストで運用してもA社に送るはずの資料をB社に送ったりするわけで・・・
遮断すべきは理解が足りてない人間のネットワーク接続かなぁと。
Re: (スコア:0)
とはいえ、今回は家からプロジェクト終了後数年経って漏洩したので、会社が遮断したところで全く効果は無いんですけどね。
今の時代は職場をネットから完全遮断して持ち出し対策も難しいでしょうし。
教育をしっかりしないと、どうにもならないでしょう。
Re: (スコア:0)
それがその会社の方針であるなら好きにすればいいんだけどさ、ちゃんとリスクマネジメントできてる?
pushだけじゃなくて閲覧まで完全遮断するなら、ライブラリをダウンロードできなくて車輪の再発明をするコストだとか、別口でダウンロードできてもサンプルソースやドキュメントを参照できなくて使用方法の習得に余計にかかるコストだとかとちゃんと天秤かけてる?
Re: (スコア:0)
他人のソースコードやライブラリは権利侵害やライセンス汚染のリスクがあるから、勝手に流用なんてさせないだろ
使用するときは品証なり法務なりと権利問題がないことをチェックしてから採用にGoがでるのが普通
そういう意味では、プログラマが独断でGitHub上のライブラリとか使ってくれちゃ困るねん、その辺をちゃんと管理してないとGPL汚染とか起こしてあとでひどい目に遭う
Re: (スコア:0)
ライブラリ本体の入手についてはそれでいいとしても、ドキュメント類を参照出来ない問題は解決してないじゃん。
GitHubにしか公式ドキュメントがない例は珍しくないだろ。
後、ドキュメント見れなかったら選定することすら満足にできないから品証なり法務なりにこれ使いたいってお伺いする段階にたどり着けないぞ。
Re: (スコア:0)
とりあえず現状で即セキュリティを求めるならそれしかないよな。
改善策も提示しないでやったつもりのセキュリティ策とレッテル貼りして何の利点があるのかの方が分らん。
自分でセキュリティと言って開発効率の話なんかしてない事が分っている筈なのに。
将来的な開発の都合と今現在起こっている事への対処って別レイヤーとして対処しても良い話だと思うんだが。
Re:一切の接続を禁止する方が効果は高い (スコア:1)
「持ち帰ったソースを勝手にアップロードした」事件に対して
「社内からアップロード先サイトを見れなくします」じゃ理屈がおかしい
社内で起こってることは「ソースの持ち帰り」だから外部サイトは関係ないじゃない
「改善案の提示が必要だから、関連キーワードを含む検索結果を口に出しました」ってレベル
叩き台として必要なのかもしれないけど、案になってない
Re: (スコア:0)
こういうことが起きたから社内からgithubに上げるやつがいるかもしれない。だから禁止しよう。でもそれはやめて。そういう話よ。
Re: (スコア:0)
> こういうことが起きたから社内からgithubに上げるやつがいるかもしれない
ああ、「社内からソースコードをアップして年収判定を受けようとするやつがいるかもしれない」って心配してんのか
こういうところはUSBとかとっくに禁止してるだろうしな
それならGitHub禁止にするくらいしかやってみせることないわな
Re: (スコア:0)
理屈の通った提案が通ればベストだけど理想論でしかない
世の中には常識(教育)が通用しないタイプがかなりいる
部下に指摘されても何が悪いのかがまったく理解できていない(とぼけてるだけかもしれないけど)
Re: (スコア:0)
だったら必要なのはソースの閲覧禁止、パソコンの操作禁止だろ
だって見たら覚えて流出させるかもしれないし、操作させたら盗むかもしれない
何度も言うけど、こいつは持ち帰って自宅かどこか社外からネットにアップロードしてるんだから
Re: (スコア:0)
遮断すれば漏洩を防げるって理想論じゃないのかな。ソースコードのテキストでWeb検索したって外部に情報が流れる事になるんだぜ。
真に情報漏洩の盾となっているのは教育の方なんじゃね。
アクセス制限は教育のための矯正具と考えた方が合理的に思う。なぜならアクセス制限で全ての情報漏洩を防ぐことは不可能だから。
そのように思考すれば、社員個人毎にレベルの異なるアクセス制限を柔軟に運用しても良いという解が見えてくる。
Re: (スコア:0)
①世の中には常識(教育)が通用しない経営者がかなりいる。
今回の事故をおこしたのもその経営者。周りに指摘されても何が悪いのかがまったく理解できていなかった(とぼけてるだけかもしれないけど)
②事故は必ず起きるのだから安全対策を講ずるべきである。
③安全意識の高い経営者は取り組んでいる
悪口のテンプレート通りでつまらん意見だな。
①あいつは馬鹿だ②~するべき③ちゃんとやってるところはある
Re: (スコア:0)
どこから経営者を汲み取ったの?