あるAnonymous Coward 曰く、 IT上級専門職の3人に1人が権限を乱用し、同僚の給与情報や個人メール、または役員会議の議事録などの部外秘情報を密かに閲覧したことがあるという調査結果が発表された。この調査は300人のIT上級専門職を対象に米国の情報セキュリティ会社Cyber-Arkによって最近行われたものである(MSNBC記事、本家/.記事)。さらに、自分の役職と関連の無い情報にアクセスしたことがあると述べた人は47%に上った。管理者用パスワードはユーザパスワード程頻繁には変更されないことも多く、部署が変わってもアクセス可能な場合があるという。
部外秘情報どころか (スコア:4, 興味深い)
社長が育毛剤検索してるとか、
課長が彼女におくった恥ずかしいポエムとか、
いつも真面目な事務所の○○ちゃんがSM関係のサイト見てたりとか、
彼女ができなくて心配されてる○○君がハッテン場情報と2ちゃんの相撲板交互に見てたりとか、
遺書とか・・・
とんでもない情報でも見たい見たくないに関わらず目に入ってしまうものです。
「情報部」なんだからしょうがない。
棺桶まで持っていく覚悟じゃないとできません。
なので若い衆を新たにアドミンに配置する際は技術力よりも人間性を最優先に考えてました。
その後転職して今の職場は給与もメールも全員お互いに見える状態なので逆に苦労しません。
社内で秘密にしなきゃならないような事は最初から電子化しないって事です。
Re: (スコア:0)
そういうことに興味があることにはずいぶんと飛躍があります。
アドリンクを間違えてクリックした等、いくらでも可能性はあるわけです。
管理者ならば、アクセスという事実と興味という推測をちゃんと区別しましょうね。
Re:部外秘情報どころか (スコア:1, おもしろおかしい)
大丈夫、キミがそんなサイト見てたことなんてそんなに気にしないよ。
Re: (スコア:0)
ログのパターンから単発かそうじゃないかはある程度推測できるでしょ。
管理者はそんなにバカじゃない。
まあ、管理職には単発でも騒ぎ立てる人はいるけど。
Re:部外秘情報どころか (スコア:1)
ログに残さない手段は多々ありますから
Re: (スコア:0)
そんな奴らは生暖かく見守ってるよ。
Re: (スコア:0)
ちょっと思ったんだけど、そもそもそこまでする意味って何なの?
わざわざ会社じゃなくて家で好きなだけやってればいいんじゃない?と思うんだけど。
「そこに山があるから」ってタイプだから?
Re: (スコア:0)
いくらばらさないつもりでも、知ったらばれるものだよ。
棺桶まで、なんて考えが甘いな。
#中身を見ない仕事方法を考えつかない素人はこれだから困る。
Re: (スコア:0)
っていうか、そういう場合とりあえず「何に」アクセスしてるのかって確認はしないものなんですか?
#たとえばドメインに2chとか入ってたら板に関わらずすべからくフィルタすべき、とか?
ちなみに、社長が理解を示していたので休憩時間の私用まで禁止はされていませんでした。
(というかそういうとこ厳しくすると誰も活用しなくなる)
・本人を尋問
→内容が内容だけに相当気まずい。
・該当者の上司に報告
→その分管理職の時間を割くことになって非
Re: (スコア:0)
巡回しているなら尚更。
毎日某ゲームのサイトを巡回しているKSさん、一日平均一時間程自動車関連のネタばかり読んでいるISさん。バレてますから控え目にね。
そういう行為のレポート出せって言われたら出さざるを得ないんだから。
#たまーに、社内人気サイトらランキングを張り出したくなる位に仕事外のアクセスは多いんだよな。
Re: (スコア:0)
書き込まれた事実から勝手に推測してしまう好例ですな。
Re: (スコア:0)
>社内で秘密にしなきゃならないような事は最初から電子化しないって事です。
まあ、確かにそうなんですけれど。
企業買収の話とか、役員人事の話とか、共同研究/開発の話とかはさすがにオープンにするわけにも行かず
かといって電子化しないで紙のままって言うのも可用性が劣りすぎますよね…(機密性も劣るかも)
必要な人間の脳内にだけ保存っていうのがまあ機密性が高く、可用性もそれなりにあるんでしょうけれど、
完全性が…ダメすぎる。
なんか (スコア:3, すばらしい洞察)
この手の話聞くとうさんくさい感じがするんですよね。「だから御社もソフト/サービスを買いましょう」とか、その手の下の句がついてる気がして。
仮に調査方法(誘導はなかったか?母集団は正しいか)が正しかったとしても有利にならない調査は公表しないんでバイアスはかかってるでしょうね。
調査方法が正しいってこと自体全然保証ないけど。
それでも企業のお偉いさんは数値出されて見せられると納得しちゃうんでしょう。問題が発生したときに対策はしていたと上司(または株主)に言えるし、
問題によっては責任転嫁もできるし。
この手の会社は不安を煽れば煽る程儲かるんでしょう(実際に日本のある会社の社長がそう言ってた)。
セキュリティポリシー (スコア:3, すばらしい洞察)
肝心なのは『情報システム担当者を、どう監視するか、または相互牽制させて、悪いことをさせないか』
情報システムに関する管理権限が集まってて、情報システムに関しては何でもできるから、当然、情報システム部門の監査とか内部統制の確保が、社内の情報セキュリティ確保の要だと思うんだけどね。
どうも、セキュリティポリシーによって、まず統制されるのが情報システム担当部門である、という意識がなくて、取り締まる方だという認識なのがうちのセキュリティポリシーの問題でした(おそらく、何かモデルになるポリシー案があって手直ししたものだと思うんだけど、情報システム部門に対する内部統制に関する部分が全く無かったんだよなぁ.ほとんどが部門管理のシステムに対するものだとか、一般職員に対するものしかない・・・)。
コメントをつけようと思ったんだけど、コメントしてもコメントの意味を理解してもらえないと逆恨みされるだけなのでやめました。
って、いうかコメントしても無視されるだけ無駄だし。
・・・SUなので、あえてID
心外だ (スコア:2, 参考になる)
Re:心外だ (スコア:2, すばらしい洞察)
Re:心太だ (スコア:1, すばらしい洞察)
こういう記事を見て「そうか、そういうリスクもあるワケだ」と依頼主が自覚を持ってくれるのは悪いことではないんじゃないかと思います。
自分が悪く見られたいとはもちろん思わないけど、逆に「モラルのみで守られている」という現況を把握しないで丸投げされてるのも、なんか問題が出た時に困りごとの一因になりかねない。
Re:心外だ (スコア:1)
「だって見つかったときめんどくさいじゃん」
それで納得されてしまうのもなんだと思うが、本当なんだから仕方ない(笑
Re: (スコア:0)
Re: (スコア:0)
信頼を勝ち得ているかは微妙です.
閲覧と言っても (スコア:2, 興味深い)
だとしたら100%になりそうな。
こういう情報って (スコア:1)
こういうのを「見なかった事にする」というのもこの仕事の重要なスキルだと思う訳ですよ。
喫茶店でもマルチモニタ協会会員
メディアリテラシー (スコア:1)
よくインターネット初心者に対して言われる言葉ですが
上級者(?)にとっても、情報を識別する能力は必須。
「見てどうするか」ではなく、「見ない」という選択肢を持つ。
そういうのもメディアリテラシーとしての能力なんじゃないかと思いました。
# 関係ないけど、見ないフリよりも見なかったことにする方が多い
Re: (スコア:0)
はや10年あまり。特に興味もなくなりました。
もし管理者じゃなかったら、クラッキングしたくなる衝動にかられるのかも
しれませんが、管理者だといつでも見れるってのも興味が薄れる原因かもしれません。
どこぞの管理者がメールを覗き見していた疑惑があったので、ウソ情報を書いた
メールでやりとりしてたら、ウソ情報がぽろっと管理者から出てきて…
というのを見たので意地でも見ないようにしてます。
引き継ぎが悩みの種ですね。
どなたか書いていましたけど、スキル云々より信頼されるような人じゃないと
ユーザさんが安心してシステム使えないし。だいたいの人は大丈夫だと思うのですが、
覗き見はしないっていうのをしつこく教えないといけない気はします。
Re: (スコア:0)
で、中身は「部外秘情報」そんなのしょっちゅうですからねぇ。実際問題として。
ソースの管理をしている所は多いが、ドキュメントの管理を「アクセス権を含めて」
管理している所は聞いた事が無い。行った事が無い。日本国内に存在するのだろうか。
逆に・・・ (スコア:1)
派遣で入って社内システムに一番詳しくなって会計監査とか外注費用とか。
で、金額的にこれ自分だろう・・・と言うのを見て派遣会社に60%搾取されてるのにげっそりした記憶。
意外に少ない? (スコア:0)
雇用不安が常態化している現在では、いかに自分に不利な社内情報を自分で掴むかが生き残るキモなわけで、アクセス権があるのにアクセスしないでいる「良識のある」行動というのは過去のことかと思ってた。
アクセス権があるのにアクセスしないでいる「良識のある」行動 (スコア:4, すばらしい洞察)
Re:アクセス権があるのにアクセスしないでいる「良識のある」行動 (スコア:2, すばらしい洞察)
「見せられないものがあるんでしょ!」
と怒られるわけで……
Re:アクセス権があるのにアクセスしないでいる「良識のある」行動 (スコア:2, おもしろおかしい)
「落とした時に誰かに見られて危険じゃないの!」とのたまう。
その心意気良しということでパスの交換をしたんだが、翌日確認
したら速攻で変えられてた。orz
メール転送機能のあるauとかwillcomを使ってると、知らない間
に彼女のアドレスに転送設定されてて、発信メールを全部押さえ
られていたという話もあるそうだ。
Re: (スコア:0)
Re: (スコア:0)
Re: (スコア:0)
Re: (スコア:0)
うちは普通にパスワードもかけずにほっぽってありますが、見られても問題ないですし、相方も見ようとすらしませんが。
見たければどうぞ状態ですし、見られてなんら問題があるわけでもありません。
Re:アクセス権があるのにアクセスしないでいる「良識のある」行動 (スコア:1)
「問題のある」の定義、閾値のすり合わせができてないと
「自分は問題がないと思っていたのに問題として取り上げられる」ということに。
ま、そもそもほとんどメールとか通話記録とかが存在しない、私のような状態ならば問題は……
別の意味で問題があるわけですが(泣)
Re:アクセス権があるのにアクセスしないでいる「良識のある」行動 (スコア:1)
その辺ほったらかしておいても見ようともしません。
PCも同じ。
並んでPC使っていても、ちょっとこれ、とかって言わなければ基本相手の画面は見ません。
#あえて相方と言ってみる。実際は飼い主なんだけど・・・
Re:アクセス権があるのにアクセスしないでいる「良識のある」行動 (スコア:1)
ご主人様と犬、ということですね、わかります。
#ゼロの使い魔プレイ? (プレイいうな)
Re:アクセス権があるのにアクセスしないでいる「良識のある」行動 (スコア:1)
プレイじゃありません・・・たぶん。
#出会った当初あだ名がわんこでそれがそのまま、義理の父母兄姉や甥っこにまで呼ばれてたり。
Re: (スコア:0)
Re: (スコア:0)
Re: (スコア:0)
#モテようとするアプローチとそうでないコミュニケーションの境目がよく分からないAC.
Re: (スコア:0)
「×××社長交代させよう」
「○○○デパートは・・・」
「ITベンダーの□□□はやばいから・・・」
耳から入ってくるこういう情報はどうすりゃええの?と愚痴ってました。
米の国だと会社名は「きりんさん」とか「ぞうさん」に読み替えて情報漏洩防ぐとか・・・
Re: (スコア:0)
なるほど、日本だとビール会社とか魔法瓶会社に間違われる危険性が……
Re:意外に少ない? (スコア:2, すばらしい洞察)
「アクセスする能力はあるけれども本来アクセスする権利の無いデータにアクセスしてる」のが問題なのではないかと。
ここなんてソーシャルハックとどれくらい違うのかと。
Re:意外に少ない? (スコア:1)
そうそう、それで勘違いしてのぞき見してた人たちが再就職できないとかわめいてるんですよね。厚労省は骨抜きにしようとしてる [msn.com]けど。
よかった (スコア:0)
# 自分にバレるとクビなのでAC
昔、シスアドとかしてた人の見解としては (スコア:0)
基本的につまらない仕事なので、そこで働く人間が暇潰しに何をやってるかなんて推して知るべし・・・です。で、それを出来る権限が、末端の担当(派遣・外注含む)まで与えられてるのも実情です。そこに携わる人数が多ければ多いほど、そのリスクは高いと考えて間違いありません。
もっとも、彼らはそれを「不正を監視する業務だ!」と主張しますけどね。と言いながら、それをサマリーにして上層部に提出するわけではありません(笑)覗く内容にしたって人事部の共有フォルダだったりと、どう考えても不正発見が目的とは考えられないものまで含みます。
まず、仕事をサボって私用で会社資産を使う・・・というのが間違いなのですが、そういうことをする場合には自己防衛が必要だと考えましょう。メールや検索など、クリアテキストで流れる通信ログなんて、個人的趣味で覗き回る変質者が間違いなくいます、特に大企業の場合では。全社的にWindowsドメインを強制される場合もありますが、あれも結構危険なものです。移動プロファイルの中まで覗く変人もいましたしね・・・。
それでも、クライアント上で全操作をロギングされた場合はほとんどの防衛手段は無効です。なんか今は「ある一線を越えた監視」を行なう企業があるようですが、そのログのセキュリティはどうなってるのでしょう?
今は時代が時代ですから、素直に私物の携帯とか使った方がいいです。持ち込み禁止にしてる会社もありますが。
・・・・・・・・・・・・・別にサボれって言ってるわけじゃないんだからね!
やっぱりそうですか (スコア:0)
るから、安心してシステムに登録しろ。」とか「見える化なんだから、とに
かく置け」とか言われてるんですが、やっぱり管理者(一部の人でしょうが)
も人の子ですから、見るなといわれても、見ちゃう人はいますよね。
さて、漏洩したら本当にまずい情報(一応言っておくが、犯罪行為ではない
ぞ)ってどうやって保管したらいいんでしょうね。
やっぱり暗号化した上で、外付けHDDやCD-Rに記録して、物理的に金
庫に隔離するのが一番かな、とも思ってそうしていたのですが、最近になっ
て、監視ソフトが外付けHDDもCD-Rにアクセスできないようにしたも
んだから困ってます。
こういうのを見てると、情報管理部門に悪意をもったやつがいた場合のリス
クがどんどん高まるのを感じます。
それこそ紙に印刷してバインダに入れて金庫に保管(電子データは消去)が
いいのかな、とも思ったりします。あるレベルの物理セキュリティが確保で
きれば、紙なら電子データほどコピーは容易ではないし、情報量の把握も容
易(ページ数と斜め読みすればだいたいわかる)だし、火災にあったりしな
い限りなんとか情報は読み取れるし。(電子データは部分的に欠損したら全
体が消失する可能性がある)