IT 系従業員の半数、会社の情報を持ち出すと答える 32
ストーリー by reo
最後のは妄想では 部門より
最後のは妄想では 部門より
eggy 曰く、
米 Cyber-Ark 社による調査報告 "Trust, Security, and Passwords Survey" [PDF] が、特権アカウントのずさんな管理が外部侵入者の標的に晒される危険性を指摘している。同調査は、北米及び欧州、中東、アジアの IT 系従業員及び役員 820 名を対象に行われた (Threat Post の記事、本家 /. 記事より) 。
アンケートに回答した 820 名の半分弱が、もし明日会社をクビになったら管理者パスワードのリストや会社のデータベース、研究開発計画書、会計報告書といった会社所有のデータを持ち出すと回答。内部者からの脅威は最も大きなビジネスリスクを孕んでおり、優先すべきセキュリティー問題であると答えた人は 71 % もいたとのこと。一方で、特権アカウントの監査を厳しくする必要性を自覚しながらも、実際に策を講じていると答えたのは 57 % だけで、残りの 43 % は対策がとられていない、またはそういった対策がとられているのかも分からないと答えていたという。45 % が自分の役割と関係のない情報の保存されているシステムにアクセスでき、42 % が自分もしくは同僚が管理者パスワードを利用して機密情報にアクセスしたことがあると答えた。
また 55 % は、競合相手が自社の極めて重要な機密情報や知的財産に関する情報を入手したことがあると思うと答えており、この数字は昨年より大幅に上昇しているという。
IT系ではありませんが (スコア:3, 興味深い)
持ち出すの定義 (スコア:2)
会社の中に居たって、LANごしにサーバのデータにアクセスして何か作業してたら、
それはもうほとんど「持ち出してる」と言えるのではないか。
今更脅しでそんなこと言われなくても、最初から曖昧な状態な気がしてきます。
辞めさせたい人が出勤してきたら、急に何もない部屋に呼び、一日中拘束して、
本人の権限を全て没収(パス変更)してからさようならと言うのでどうでしょうか。
でもNASとか使って自宅で作業されてたりしてね。
Re:持ち出すの定義 (スコア:1)
そういうのって下手したら見ただけヤバイ情報?
数字の羅列と紐付いたものがあって有効になる情報とかなら社内でいじるだけならいいんじゃないすか。
緊急時うちから会社か遠隔地のサーバーに入ってメンテしなきゃいけないときとかあるけど。
それだと社外にデータ持ち出してることになるか。
root権限持ってた人が辞めたりしたら引き継ぎ時にパスワード変更するのは普通ですね。
3年前に一人辞めた時その人が触ったことのあるWSのrootパスワードを変えていくだけで一仕事でした。
Re: (スコア:0)
>辞めさせたい人が出勤してきたら、急に何もない部屋に呼び、一日中拘束して、
>本人の権限を全て没収(パス変更)してからさようならと言うのでどうでしょうか。
会社によっても異なるだろうけど、米国だと、ある日出社したら、段ボールとかを渡されて
「これに私物をまとめたらさっさと出て行け」みたいな感じになるらしいですね。もちろん作業は
監視付きだし、PCへのアクセスも一切禁止とか。
手際の良い所だと、アクセス権限も前日のうちに全部剥奪しておくでしょう。
Re: (スコア:0)
手際の良い所だと、アクセス権限も前日のうちに全部剥奪しておくでしょう。
会社に入るパスを失効させた上で、玄関で入館できず戸惑っている相手に、警部担当がダンボールを渡し....以下同文。
なんてことは、アメリカ映画だと良くあるパターンですね。
日本の場合、取引先の名刺なども会社の所有物として取り上げられる場合が多いみたいですし。
# よく、クラウド会社の宣伝でクラウドの活用方法としてあるけれど、社内(会社が与えた、会社名義)のクラウドは、会社がアカウント停止で終わるけれど、 社外のクラウド内の会社の情報というのは、このような場合どうなのでしょうか?
Re: (スコア:0)
アメリカだと解雇通知後警備員に監視されるね
PCには触れない
以上のことから (スコア:0)
メンタルを病んだシステム管理者が増えていることが読み取れる。
Re: (スコア:0)
むしろ
「俺をクビにしたらデータを持ち出すぞ!それがいやなら解雇するな!」
という意思表示とも読める。
「クビにされた時のために、今のうちにデータを持ち出す準備をしておこう。」
という人間なら、「持ち出すつもり」とは書かずに、さっさとコッソリ持ち出すだろう。
本意はどうあれ、雇用情勢が殺伐としてきているのは、洋の東西を問わないと思われる。
Re: (スコア:0)
だよなー。
特権アカウント云々の問題ではなくて、首にされるんだから報復として会社管理の情報なり資材なりをかっぱらって金に換えてやろう、って思想の問題だよなあ。
Re: (スコア:0)
安全に換金できるなら良いんだけど、人生終わる可能性のほうが高いw
Re:以上のことから (スコア:1)
換金しなくても、次の転職先への手土産にするとか、顧客情報を利用して転職先から
営業をかけるとか、利用法はいろいろあると思われる。
Re: (スコア:0)
>次の転職先への手土産にするとか、
転職した会社に、次に転職する時も同じことをする、と思われるよ。
Re:以上のことから (スコア:1)
手土産を要求する会社が、そんな先のことまで考えてるものか。
手土産さえもらえばハイそれまで、って可能性もある。
Re: (スコア:0)
そういうのは会社がやっている不正でも握っておいて、チクって報奨金をもらう、という
こちらが法的に正しい立場に立ってやるほうが吉。
Re: (スコア:0)
> そういうのは会社がやっている不正でも握っておいて
労働基準法違反なら、どこでもやってるでしょう?
技術や理論部分なら持っていきたい (スコア:0)
自分が構築したサーバのメンテ情報とか、案とかについては持って行きたいと思ってる。
まぁ実際には忘れないように家でメモしなおしていたりするけど。
逆にパスワードとかはいらんなぁ。腹いせしたところで捕まるだけだし前向きじゃない。
Re: (スコア:0)
同意。
あとは、自分で書いたツール類(書きためたスクリプトとかexcelアドインとか)も。
# 業務時間に書いたものは会社のもの、持ち出しはアウトなんだろうな。
Re:技術や理論部分なら持っていきたい (スコア:2)
はっ
もしかして: クリエイティブな仕事は全て業務時間外にやればいい?
Re:技術や理論部分なら持っていきたい (スコア:1)
それとはちょっと違うけど、参考書籍は全部自腹を切って買った物を持ち込み、
ちょっとしたノウハウ等は全部本の方にメモることにしている。
#ソースコードまるごととかは無理だが。。。
しかし転職の度に仕事内容も変わることが多いので、ほとんど役に立った試しはない。(T^T)
持ちださせられるパターンがある (スコア:0)
あとでメンテさせられたりするから……
# あと、自分で書いたコード・ロジックは俺のものって意識で持ち出すことがあるんじゃないかな
Re:持ちださせられるパターンがある (スコア:1)
割と最近、DB消しちゃって騒いでたら関係してた外部業者がバックアップ持ってて事なきを得たって話を聞いた気がする。
Re:持ちださせられるパターンがある (スコア:1)
Pixarのrm *事件 [srad.jp]?
Re: (スコア:0)
景気が悪くなったときに案件切られたんで、関連情報を削除しました。
(セキュリティ上危険なもの以外は必要がないので捨てた程度ですが)
結構たってから、上書きしちゃって戻せなくなったんだがどうにかならないかって相談が…。
探してみたら最終じゃないのまでは見つかったので送りましたが
そこを当てにして欲しくないというのが正直な感想。
(本番以外にバックアップが一切なかったということのようで)
Re: (スコア:0)
このような案件の場合
相手に費用というのは、請求できるのでしょうか?
また、請求する場合の件名等を参考に教えてください。
EX.メンテナンス費用。サポート料。相談料。
Re:持ちださせられるパターンがある (スコア:1)
そんな時はこちらの言い値で買わせたくなるね。
よく回答したなー (スコア:0)
密告されるリスクは考えなかったんだろうか。
調査会社と自分の会社が裏で繋がってるとか。
まあそのレベルだからクビにされるのか。
Re:よく回答したなー (スコア:2)
「持ちだしてやるー」って回答した人も、いざその時になったら
踏みとどまる人が多いんじゃないでしょうか(と思いたい)。
ところで自分の勤め先では、けっこうパスワード管理が甘い。
ベテラン連中は自分ルールで分かりやすいのを使うので、
仲間内では推測可能だったり。
まあ今時の若い管理者は、ちゃんとランダム生成してますが。
Re: (スコア:0)
されてない人たちですが。
Re: (スコア:0)
残りの半分はちゃんとその辺りに気づく人たちですから。
会社に依存した人たちですね。 (スコア:0)
こういう人は、逆に会社への依存度が高いから、会社の情報を持ち出すんでしょうね。
もっと独立心があってプロ意識があれば、まずこんな回答はしないと思う。
個人的には、厄介ことに巻き込まれたくないというのが本音かな。
やめた会社のことなんて興味ないし・・・新しい仕事に全力を傾けたい時に、前の会社からごたごた言われたくないよ。
Re: (スコア:0)
> こういう人は、逆に会社への依存度が高いから、会社の情報を持ち出すんでしょうね。
> もっと独立心があってプロ意識があれば、まずこんな回答はしないと思う。
たぶん論点がズレまくってる。
「独立心」とか「プロ意識」なんて持っていた所で、あんたのクビが守られるわけじゃないんだよ。
脳内の情報が一番ハイリスクかも (スコア:0)
×ヶ月前に起きた障害の(お客にはひた隠しにしたうえ、社内文書にすることさえ禁じられた)本当の原因とか、
○○システムに隠れている(自分しか気付いていない)脆弱性とか、
コンプライアンス面で超ヤバい不正経理を見ちゃった話とか・・・
追い込みやリストラ、転職後の嫌がらせの口実にされたくないから、媒体や電子ファイルはむしろ持ち出さないな。