パスワードを忘れた? アカウント作成
28366 story
セキュリティ

IT上級専門職の3人に1人が部外秘情報などを密かに閲覧 48

ストーリー by nabeshin
だまってみているだけか、それとも 部門より

あるAnonymous Coward 曰く、

IT上級専門職の3人に1人が権限を乱用し、同僚の給与情報や個人メール、または役員会議の議事録などの部外秘情報を密かに閲覧したことがあるという調査結果が発表された。この調査は300人のIT上級専門職を対象に米国の情報セキュリティ会社Cyber-Arkによって最近行われたものである(MSNBC記事本家/.記事)。さらに、自分の役職と関連の無い情報にアクセスしたことがあると述べた人は47%に上った。管理者用パスワードはユーザパスワード程頻繁には変更されないことも多く、部署が変わってもアクセス可能な場合があるという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2008年06月23日 15時25分 (#1368865)
    今、誰がどのネットゲームにハマってるとか、
    社長が育毛剤検索してるとか、
    課長が彼女におくった恥ずかしいポエムとか、
    いつも真面目な事務所の○○ちゃんがSM関係のサイト見てたりとか、
    彼女ができなくて心配されてる○○君がハッテン場情報と2ちゃんの相撲板交互に見てたりとか、
    遺書とか・・・

    とんでもない情報でも見たい見たくないに関わらず目に入ってしまうものです。
    「情報部」なんだからしょうがない。
    棺桶まで持っていく覚悟じゃないとできません。
    なので若い衆を新たにアドミンに配置する際は技術力よりも人間性を最優先に考えてました。

    その後転職して今の職場は給与もメールも全員お互いに見える状態なので逆に苦労しません。
    社内で秘密にしなきゃならないような事は最初から電子化しないって事です。
    • by Anonymous Coward
      数回そういったサイトにアクセスしたということと、
      そういうことに興味があることにはずいぶんと飛躍があります。
      アドリンクを間違えてクリックした等、いくらでも可能性はあるわけです。
      管理者ならば、アクセスという事実と興味という推測をちゃんと区別しましょうね。
      • Re:部外秘情報どころか (スコア:1, おもしろおかしい)

        by Anonymous Coward on 2008年06月23日 16時25分 (#1368891)
        ずいぶんあわててるように見えますね。
        大丈夫、キミがそんなサイト見てたことなんてそんなに気にしないよ。
        親コメント
      • by Anonymous Coward
        推測してるんじゃないの?
        ログのパターンから単発かそうじゃないかはある程度推測できるでしょ。
        管理者はそんなにバカじゃない。

        まあ、管理職には単発でも騒ぎ立てる人はいるけど。
        • by mocchino (13752) on 2008年06月23日 22時15分 (#1369086)
          まぁここに居るような人はログ解析程度じゃ引っかからないでしょうけどね
          ログに残さない手段は多々ありますから
          親コメント
          • by Anonymous Coward
            多々あるって言ってもパケットの痕跡は消せないから。
            そんな奴らは生暖かく見守ってるよ。
            • by Anonymous Coward
              #1369136なんだが

              ちょっと思ったんだけど、そもそもそこまでする意味って何なの?
              わざわざ会社じゃなくて家で好きなだけやってればいいんじゃない?と思うんだけど。

              「そこに山があるから」ってタイプだから?
        • by Anonymous Coward
          ログパターンじゃ分からない様なことを書いてるようにしか見えんが。>スレ元

          いくらばらさないつもりでも、知ったらばれるものだよ。
          棺桶まで、なんて考えが甘いな。

          #中身を見ない仕事方法を考えつかない素人はこれだから困る。
          • by Anonymous Coward
            業務時間内に特定ユーザーが断続的に類似URLにアクセスし続けるいる場合、どういう対処が理想的?
            っていうか、そういう場合とりあえず「何に」アクセスしてるのかって確認はしないものなんですか?
            #たとえばドメインに2chとか入ってたら板に関わらずすべからくフィルタすべき、とか?

            ちなみに、社長が理解を示していたので休憩時間の私用まで禁止はされていませんでした。
            (というかそういうとこ厳しくすると誰も活用しなくなる)

            ・本人を尋問
            →内容が内容だけに相当気まずい。

            ・該当者の上司に報告
            →その分管理職の時間を割くことになって非
      • by Anonymous Coward
        ログを時系列で追えば、偶然なのか意図してなのかは直ぐにわかりますよ。

        巡回しているなら尚更。

        毎日某ゲームのサイトを巡回しているKSさん、一日平均一時間程自動車関連のネタばかり読んでいるISさん。バレてますから控え目にね。
        そういう行為のレポート出せって言われたら出さざるを得ないんだから。

        #たまーに、社内人気サイトらランキングを張り出したくなる位に仕事外のアクセスは多いんだよな。

      • by Anonymous Coward
        どこにも「興味がある」なんて書かれてないじゃん。

        書き込まれた事実から勝手に推測してしまう好例ですな。

    • by Anonymous Coward
      >給与もメールも全員お互いに見える状態なので逆に苦労しません。
      >社内で秘密にしなきゃならないような事は最初から電子化しないって事です。

      まあ、確かにそうなんですけれど。
      企業買収の話とか、役員人事の話とか、共同研究/開発の話とかはさすがにオープンにするわけにも行かず
      かといって電子化しないで紙のままって言うのも可用性が劣りすぎますよね…(機密性も劣るかも)

      必要な人間の脳内にだけ保存っていうのがまあ機密性が高く、可用性もそれなりにあるんでしょうけれど、
      完全性が…ダメすぎる。
  • なんか (スコア:3, すばらしい洞察)

    by Anonymous Coward on 2008年06月23日 13時57分 (#1368842)
    米大企業の41%が社外宛メールの監視のために従業員を雇う [srad.jp]もそうだけど。
    この手の話聞くとうさんくさい感じがするんですよね。「だから御社もソフト/サービスを買いましょう」とか、その手の下の句がついてる気がして。
    仮に調査方法(誘導はなかったか?母集団は正しいか)が正しかったとしても有利にならない調査は公表しないんでバイアスはかかってるでしょうね。
    調査方法が正しいってこと自体全然保証ないけど。
    それでも企業のお偉いさんは数値出されて見せられると納得しちゃうんでしょう。問題が発生したときに対策はしていたと上司(または株主)に言えるし、
    問題によっては責任転嫁もできるし。
    この手の会社は不安を煽れば煽る程儲かるんでしょう(実際に日本のある会社の社長がそう言ってた)。
  • セキュリティポリシー (スコア:3, すばらしい洞察)

    by Technobose (6861) on 2008年06月23日 22時15分 (#1369087) 日記
    社内のセキュリティポリシーを作るのでコメント有るなら提案しろ、という社内掲示があったんだけど、一般社員が守らなければならないこととか、部門システムの情報セキュリティ監査するぞーとかは書かれているんだけど、肝心なものがすっぽり抜けてた。

    肝心なのは『情報システム担当者を、どう監視するか、または相互牽制させて、悪いことをさせないか』

    情報システムに関する管理権限が集まってて、情報システムに関しては何でもできるから、当然、情報システム部門の監査とか内部統制の確保が、社内の情報セキュリティ確保の要だと思うんだけどね。
    どうも、セキュリティポリシーによって、まず統制されるのが情報システム担当部門である、という意識がなくて、取り締まる方だという認識なのがうちのセキュリティポリシーの問題でした(おそらく、何かモデルになるポリシー案があって手直ししたものだと思うんだけど、情報システム部門に対する内部統制に関する部分が全く無かったんだよなぁ.ほとんどが部門管理のシステムに対するものだとか、一般職員に対するものしかない・・・)。
    コメントをつけようと思ったんだけど、コメントしてもコメントの意味を理解してもらえないと逆恨みされるだけなのでやめました。
    って、いうかコメントしても無視されるだけ無駄だし。

    ・・・SUなので、あえてID
  • 心外だ (スコア:2, 参考になる)

    by Anonymous Coward on 2008年06月23日 13時58分 (#1368843)
    余所でボランタリーにシステム管理をしているサーバーがありますが、プライバシーに関しては格段の注意を払って管理しているわけです。それなのにこういう風な統計だされると、すごく心外。  周りからそういう目で見られかねない。なんか悲しいや。
    • Re:心外だ (スコア:2, すばらしい洞察)

      by Anonymous Coward on 2008年06月23日 14時10分 (#1368846)
      そうだよな、良く訓練されたIT上級専門職だったら、たとえやったことがあってもこの手の調査には「~にはアクセスしたことなどない」と回答するはずだ。チョコレートバー1本のために正直に答えますか? [srad.jp]
      親コメント
    • Re:心太だ (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2008年06月23日 15時07分 (#1368862)
      まァそうなんですが、
      こういう記事を見て「そうか、そういうリスクもあるワケだ」と依頼主が自覚を持ってくれるのは悪いことではないんじゃないかと思います。
      自分が悪く見られたいとはもちろん思わないけど、逆に「モラルのみで守られている」という現況を把握しないで丸投げされてるのも、なんか問題が出た時に困りごとの一因になりかねない。
      親コメント
    • by mocchino (13752) on 2008年06月23日 21時13分 (#1369066)
      私の場合は一言で終わりましたが...
      「だって見つかったときめんどくさいじゃん」

      それで納得されてしまうのもなんだと思うが、本当なんだから仕方ない(笑
      親コメント
    • by Anonymous Coward
      信頼を勝ち得ている人間なら「あの人は3人に2人のほうだろう」と思われるでしょう.
      • by Anonymous Coward
        気の弱さからそんなことしないだろうと思われてます.
        信頼を勝ち得ているかは微妙です.
  • by suzushiro (30819) on 2008年06月23日 14時22分 (#1368849)
    spamや巨大添付ファイルで溢れたメールスプールのお掃除なんかも含まれるのかな?
    だとしたら100%になりそうな。
  • by takustaqu (30389) on 2008年06月23日 23時10分 (#1369112)
    この手の職種だと「目にしてしまう」ものじゃない?
    こういうのを「見なかった事にする」というのもこの仕事の重要なスキルだと思う訳ですよ。
    --
    喫茶店でもマルチモニタ協会会員
  • by kojirox (34129) on 2008年06月24日 9時36分 (#1369229)
    これって実は高度なメディアリテラシーの問題では?

    よくインターネット初心者に対して言われる言葉ですが
    上級者(?)にとっても、情報を識別する能力は必須。

    「見てどうするか」ではなく、「見ない」という選択肢を持つ。
    そういうのもメディアリテラシーとしての能力なんじゃないかと思いました。

    # 関係ないけど、見ないフリよりも見なかったことにする方が多い
    • by Anonymous Coward
      見てしまうとしゃべってしまう可能性があるので何がなんでも見ないようにして、
      はや10年あまり。特に興味もなくなりました。
      もし管理者じゃなかったら、クラッキングしたくなる衝動にかられるのかも
      しれませんが、管理者だといつでも見れるってのも興味が薄れる原因かもしれません。

      どこぞの管理者がメールを覗き見していた疑惑があったので、ウソ情報を書いた
      メールでやりとりしてたら、ウソ情報がぽろっと管理者から出てきて…
      というのを見たので意地でも見ないようにしてます。

      引き継ぎが悩みの種ですね。
      どなたか書いていましたけど、スキル云々より信頼されるような人じゃないと
      ユーザさんが安心してシステム使えないし。だいたいの人は大丈夫だと思うのですが、
      覗き見はしないっていうのをしつこく教えないといけない気はします。
    • by Anonymous Coward
      何でもかんでも一緒くたに、パスワードもかけずにディレクトリに放置して
      で、中身は「部外秘情報」そんなのしょっちゅうですからねぇ。実際問題として。
      ソースの管理をしている所は多いが、ドキュメントの管理を「アクセス権を含めて」
      管理している所は聞いた事が無い。行った事が無い。日本国内に存在するのだろうか。
  • 立場上見ちゃいけないデータを見ちゃったことなら・・・。
    派遣で入って社内システムに一番詳しくなって会計監査とか外注費用とか。

    で、金額的にこれ自分だろう・・・と言うのを見て派遣会社に60%搾取されてるのにげっそりした記憶。
  • by Anonymous Coward on 2008年06月23日 13時49分 (#1368838)
    「上級」とあるから、それなりに権限もある職種に配置されているんだろうけれども。
    雇用不安が常態化している現在では、いかに自分に不利な社内情報を自分で掴むかが生き残るキモなわけで、アクセス権があるのにアクセスしないでいる「良識のある」行動というのは過去のことかと思ってた。
  • by Anonymous Coward on 2008年06月23日 21時00分 (#1369058)
    よかった、俺だけじゃなかったのか。

    # 自分にバレるとクビなのでAC
  • by Anonymous Coward on 2008年06月23日 22時55分 (#1369106)
    社内セキュリティにおいて一番ヤバいのは、肝心の情報部門です。

    基本的につまらない仕事なので、そこで働く人間が暇潰しに何をやってるかなんて推して知るべし・・・です。で、それを出来る権限が、末端の担当(派遣・外注含む)まで与えられてるのも実情です。そこに携わる人数が多ければ多いほど、そのリスクは高いと考えて間違いありません。

    もっとも、彼らはそれを「不正を監視する業務だ!」と主張しますけどね。と言いながら、それをサマリーにして上層部に提出するわけではありません(笑)覗く内容にしたって人事部の共有フォルダだったりと、どう考えても不正発見が目的とは考えられないものまで含みます。

    まず、仕事をサボって私用で会社資産を使う・・・というのが間違いなのですが、そういうことをする場合には自己防衛が必要だと考えましょう。メールや検索など、クリアテキストで流れる通信ログなんて、個人的趣味で覗き回る変質者が間違いなくいます、特に大企業の場合では。全社的にWindowsドメインを強制される場合もありますが、あれも結構危険なものです。移動プロファイルの中まで覗く変人もいましたしね・・・。

    それでも、クライアント上で全操作をロギングされた場合はほとんどの防衛手段は無効です。なんか今は「ある一線を越えた監視」を行なう企業があるようですが、そのログのセキュリティはどうなってるのでしょう?

    今は時代が時代ですから、素直に私物の携帯とか使った方がいいです。持ち込み禁止にしてる会社もありますが。

    ・・・・・・・・・・・・・別にサボれって言ってるわけじゃないんだからね!
  • by Anonymous Coward on 2008年06月24日 1時44分 (#1369181)
    情報管理が云々とかいって、「システムできっちりアクセス権管理をしてい
    るから、安心してシステムに登録しろ。」とか「見える化なんだから、とに
    かく置け」とか言われてるんですが、やっぱり管理者(一部の人でしょうが)
    も人の子ですから、見るなといわれても、見ちゃう人はいますよね。

    さて、漏洩したら本当にまずい情報(一応言っておくが、犯罪行為ではない
    ぞ)ってどうやって保管したらいいんでしょうね。
    やっぱり暗号化した上で、外付けHDDやCD-Rに記録して、物理的に金
    庫に隔離するのが一番かな、とも思ってそうしていたのですが、最近になっ
    て、監視ソフトが外付けHDDもCD-Rにアクセスできないようにしたも
    んだから困ってます。

    こういうのを見てると、情報管理部門に悪意をもったやつがいた場合のリス
    クがどんどん高まるのを感じます。

    それこそ紙に印刷してバインダに入れて金庫に保管(電子データは消去)が
    いいのかな、とも思ったりします。あるレベルの物理セキュリティが確保で
    きれば、紙なら電子データほどコピーは容易ではないし、情報量の把握も容
    易(ページ数と斜め読みすればだいたいわかる)だし、火災にあったりしな
    い限りなんとか情報は読み取れるし。(電子データは部分的に欠損したら全
    体が消失する可能性がある)
typodupeerror

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

読み込み中...