脆弱性のあるアプリケーションと脆弱性を気にしない上司、どうすればいい? 58
ストーリー by headless
修正 部門より
修正 部門より
本家/.「Ask Slashdot: Application Security Non-existent, Boss Doesn't Care. What To Do?」より
私はフォーチュン500にランキングされている企業でシニアエンジニアとソフトウェアアーキテクトを務めており、子供を持つ人のためのよく知られているブランドのWebサイトとモバイルアプリを管理している。今年はサーバーのホスティングやアプリケーションフレームワークを含め、新しいプラットフォームへの移行を行った。ユーザー視点から見ればスムーズに移行できているが、システム管理者にとってはセキュリティー上の悪夢、最低限のスキルを持ったハッカーには格好のターゲットとなっている。毎週、多い時は毎日リリースされるコードは脆弱性が修正されないままだ。デプロイするコードはマーケティング部門から渡されるだけで、自分のコントロール下にないことも多い。上司や同僚にセキュリティーの問題を先に修正する必要があることを伝えても、答えは決まって「期限までに間に合わせる必要がある。修正は後でもいいだろう」といったものだ。私はどうしていいのかわからない。上司を飛び越えて上の人間と話す必要があるだろうか。児童プライバシー保護法(COPPA)に違反する点が多数あるといった法的な内容で訴えるのがいいだろうか。セキュリティーの問題が修正されるまでコードのデプロイを拒否すべきだろうか。それとも他の仕事を探した方がいいだろうか。/.erならこのような状況でどのように行動するだろう。
事が起きたときに備えて自己防衛して放置 (スコア:3, すばらしい洞察)
言っても分からないやつを説得するのは不可能。
実際に事が起きない限り、リスクにリアリティを感じない人なんでしょう。だから脆弱性のチェックや修正が余計なコストにしか見えない。
上司の上司なんてさらに業務の遂行を優先するから、言っても無駄。
報告をちゃんと証拠として提示できるように残して、あとは放置でいいでしょ。
それに耐えられないなら転職するしかないけど、似たような話はどこにでもあるよ。メンテナンス性の悪いコードに対するリファクタリングとかね。
Re:事が起きたときに備えて自己防衛して放置 (スコア:1)
組織にもよると思うが、上司が本当に脆弱性とその問題をについて理解してないのか、理解していてもコストと危険性との兼ね合いからあえて除外している可能性もある。問題が起こりにくい(マイナーな)ものだったりしたら、問題が発生してから対処するって方法の方がコストとの兼ね合いで現実的だったりするし。
現場判断では、技術屋として完璧な方が良いに決まっているけど、予算と時間は無制限では無いので。そこいらの政治的・戦略的判断を理解した上で上司が判断したのならば言うべきことは無いのじゃないかなと思う。なにも上司が常に無理解と決めるつけるのは現場の悪い判断だと思うよ。実際に金とコストとリスクを判断しているのは上司なので。
なんだか、いつもこの手の話をみると上司は無能って意見が多いけど。そんな上司に使われている(上司になれない)自分はもっと無能だって感じないのかね?だから万年下っ端。下っ端のエースのままでいたいのならばいいのだけど。だったら一生そういう上司に悩まされ続けることになる。現場のエースは年齢と共に上司にならない食っていくのつらいよ。そこでも上司としての能力を発揮できる元現場は貴重でしょ。自分が上司として同じ立場になっても良い仕事が出来る自身があるのならばドンドン出世せよ。(大抵はどこかで無能な上司になって出世が止まっておわりだけど。つまり出世の止まった上司は無能なわけだが)
まぁ、でも、そういう(考えた上でのリジェクトした)上司だったとしても、または何も理解してない(本当の意味での無能)の上司であったとしても、実は結果的には現場としての対応は同じ。
おっしゃるような対応で現場の責任をきちんと回避しておくこと。
Re:事が起きたときに備えて自己防衛して放置 (スコア:1)
そんな上司に使われている(上司になれない)自分はもっと無能だって感じないのかね?
まあ、無能なだけの上司に使われている、と言う話ならその通りだよね。
でも、エンジニアの仕事とマネージャの仕事は別なんだから、エンジニアは必ずしもマネージャを目指さなくて良いんじゃ無いかな。
優秀なエンジニアが出世して無能なマネージャになる、って話もあるしね(ピーターの法則 [wikipedia.org])。
Re: (スコア:0)
犠牲者が顧客の親子なのが辛いところだな
後手になるがパケット解析が賢いF/W入れるくらいか
Re: (スコア:0)
> それに耐えられないなら転職するしかないけど
しかしなぜかこの手のタレコミ系の愚痴を
言う人に限って転職しないというなぞ。
Re: (スコア:0)
でも、そういう奴ほど「言った」という事実だけは覚えているので、
「セキュリティに問題があることが判っていたのに、(結果的に)何もしなかった奴」
としてスケープゴートにされる。
#多分、ほかのメンバーと同じ様にバカを装っていた方が利口じゃないかな。
どうにもできない (スコア:2)
それが出来れば誰も苦労はしない
ほっとく (スコア:1)
もう伝えたんなら何かあったとき自分の責任にされないためのアリバイ作りは完了。次の仕事探しはそれからでも遅くないだろう
Re:ほっとく (スコア:1)
上司「そんな報告は聞いていない!」
上司の上司「もし聞いていたら彼がそんな判断を下すはずが無い。責任を人になすりつけるのはやめたまえ!」
Re:ほっとく (スコア:1)
そういう上司にかぎって、
「最近発言が少ない、発言が少ないと査定できない」
「もっと積極性がほしい、なにか改善案はないのか」
「プログラム組まないから、ロジック的なことはなされても分からない」
とか言ってそう
Re: (スコア:0)
それ以前に問題が発生した時点で上司が全責任を持って対応するので自宅待機といわれて隔離され、質問一つされること無く、会社は上司の言い訳だけ聞いて、あなたに全責任を押し付けられてクビになる可能性もある。
もしくは問題発生時には上司は昇進していて部下(あなたか、後釜の上司)のミスとして処理されるかも。
毎回、上司の判子付の指示書と修正した脆弱性の報告を上げておいた方がいいですよ。
もちろん、全書類は問題発生時には使うために複数コピーしておいて、書類が廃棄されていたり、もみ消されている場合は、手元のコピーを提出したり裁判のためだけに使うことです。
Re: (スコア:0)
ああ、レコーダー持ってもう一度聞きに行ったほうがいいね。一筆書かせておけばもっといい。
# 結局法務へ行くことになったとさ。
Re: (スコア:0)
そうだな。上司が脆弱性を気にしないのと同じようにあなたも上司を気にしない方が良い。選べる道はたくさんある。
Re: (スコア:0)
これに1票だけど、
なんつーか、後ろ向きな姿勢だよな。自分が世に出すシステムに対して誇りがないというか。
そういう姿勢は個人的にはアリはアリだと思うんだが、あまり人に褒められるような生き方じゃないな。
Re: (スコア:0)
プログラマの分をわきまえた、素晴らしい回答だと思う
騒ぎを自ら大きくせず、引き際をおだやかに
そして何よりも現実はプログラマにとって理不尽である
Re:ほっとく (スコア:1)
素晴らしいとまでは思わないな。
全体的に、アイヒマンテストの教訓というか、行動分析に近い印象を受ける。というかそれ以上ではないような。
「ほかになかった」とか「しょうがない」って自分に言い聞かせるっていうのも、やりたくない対応を命令でやらされたときの典型的なストレス回避行動じゃないかと。
LIVE-GON(リベゴン)
Re: (スコア:0)
誇りを持って欠陥を指摘するためにシステムに進入する人よりはマシでしょう。
Re: (スコア:0)
見合うだけの給料を払ってくれればプロフェッショナル意識くらいいくらでも発揮してやるよ。
Re: (スコア:0)
トラブルになったら無償で徹夜対応させられるオチになると思うよ
脆弱性を気にしないアプリケーションと脆弱性のある上司 (スコア:1)
最高じゃないか!
米国の伝統 (スコア:1)
上司を射殺するんじゃないのか?
大きいことはいいことだ (スコア:0)
上司が解雇されてからな
上司の脆弱性を突けば良い (スコア:1)
上司の価値観を変更させるのに普通の説得は時間がかかると思うなら、上司の脆弱性を突いて優先順位決定アルゴリズムを操作すれば良い。
#でも、もっと簡単なのは自分の脆弱性を突いてその件の優先順位を最低にすること
全部やろうぜ! (スコア:0)
> 上司を飛び越えて上の人間と話す必要があるだろうか。児童プライバシー保護法(COPPA)に違反する点が多数あるといった法的な内容で訴えるのがいいだろうか。セキュリティーの問題が修正されるまでコードのデプロイを拒否すべきだろうか。それとも他の仕事を探した方がいいだろうか。
Re:全部やろうぜ! (スコア:2, 参考になる)
意味不明だとおもったら誤訳か
> Approach legal and tell them about our many violations of COPPA?
法務に行ってCOPPA違反について話す、だな
はいはいtaraiok…じゃなかった (スコア:0)
いくら休日はOSDN社員が休みだからって自作自演で誤訳までしてたら恥ずかしすぎるな。
QAチームがいない?そんなバカな (スコア:0)
「デプロイするコードはマーケティング部門から渡されるだけで、自分のコントロール下にないことも多い。」
どういうことなのよ・・・誰がデプロイするコードの確認・承認やってんの?
そういう仕組みが無いなら、無いことそのものを上司に訴えるべきだし、訴える際は何がリスクで何がメリットなのか説明する必要があるでしょ。
「上司がわかってくれない」じゃなくて、「上司を説得するだけの材料を揃えて、相手に理解させるだけの説明が出来ない」側にも問題があるんだよ。
まずそこから考え違いしてるとしか思えん。
「期限までに間に合わせる必要がある。修正は後でもいいだろう」と言われて引き下がる時点で、リスクを全く説明できてないよねこれ。
Re: (スコア:0)
自分らのチームで糞コードに手を入れたりはできないという意味だよ
Re: (スコア:0)
そこまでこっちでお膳立てしてやらないと何もできない上司はそもそも何のためにいるの?
Re:QAチームがいない?そんなバカな (スコア:1)
Re: (スコア:0)
人事管理ハブだな、それ以上の義務や能力はオプションに過ぎない。
無能な上司が許せなければ昇進するか、社長をやればいい。
Re: (スコア:0)
プログラマのコミュニケーションスキルが試されるところですね
http://askslashdot.srad.jp/story/13/11/16/200232/%E3%83%97%E3%83%AD% [askslashdot.srad.jp]
関連リンクにこれがないなんて! (スコア:0, 荒らし)
巫女SE、脆弱性のあるサービスを独断で停止し、あわや警察沙汰に [srad.jp]
答えの一つがこれ。だが/.Jで炎上する危険性があるため、素人にはお勧めできない。
# 彼女はその後どうしていることやら・・・。
よかった、危機にさらされた本番システムは存在しなかったんだ。 (スコア:0)
まだ実話だと思ってるの?
まあVIPの体験談風SSも全部実話だし、一杯のかけそばも電車男もゲーセンで出会った不思議な子の話もネタバラシされるまで実話だとか一片の疑いもなく信じている人が(それも山ほど)いるくらいだから別に驚くほどのことでもないか。
参考: ラノベ『俺の妹には友達が少ない』が出版中止 [kyoko-np.net]
Re: (スコア:0)
同じくそれ思い出したわw
この手の話って、本人の頭が固すぎるだけって事もよくあることだよなぁ。
もう自分で答えだしてるじゃん、ってパターン (スコア:0)
>それとも他の仕事を探した方がいいだろうか。
転職したほうがイイネ! って背中を押して欲しいだけでしょ。
グダグダと悩み事を持ちかけてくる奴(主に女)は、既に答えは決まっている法則。
Re: (スコア:0)
やめた理由をうまく説明できないと再就職がキツくなるね
対応できない無能→ウチにはいらない
ウチもブラックです→言うこと聞かない奴はいらない
ビジネスと割り切れない→青二才はいらない
前の会社を悪く言う→両方の言い分を判定できないので避ける
ハッキングして証明→鉄格子の部屋へ再就職
エスカレーションすりゃあいい (スコア:0)
USの会社でしょう?
より上に報告して行動してもらう。まともなところなら途中にちゃんとした人がいる。
一番上まで行ってだめなら、そりゃもうアリバイできたんだからほっとけばいいと思うがな。
Re:エスカレーションすりゃあいい (スコア:2)
それなりの機関に内部告発をするのが義務で、それを怠ってると、将来その脆弱性が実査に被害を発生させた場合に責任を問われるとか、技術職から追放される可能性があります。 つまり、技術者団体の倫理綱領に違反したとしてそこから追放されると、以降(アメリカ国内の)どの会社でも「技術職」にはつけなくなる。
仕事の都合で読んだ、工学倫理の本(アメリカの本の翻訳)にその手のことが書いてありました。今ちょっと書名がわからない。掲載されてたのはビルの強度不足を上司の指示で黙認したって例。
Re:エスカレーションすりゃあいい (スコア:1)
最悪の事故が起こるまで人は何をしていたのか [単行本]ジェームズ R・チャイルズ (著), 高橋 健次 (翻訳) [amazon.co.jp]
これでしょうかハズレでしょうか?
http://www.amazon.co.jp/%E6%8A%80%E8%A1%93%E8%80%85%E5%80%AB%E7%90%86%... [amazon.co.jp]
http://www.amazon.co.jp/%E3%81%AF%E3%81%98%E3%82%81%E3%81%A6%E3%81%AE%... [amazon.co.jp]
翻訳書でないが上掲2点も評判のようだ。
Re:エスカレーションすりゃあいい (スコア:2)
リスクを説明する (スコア:0)
攻撃されたら対策しない方が悪い。
責任を取るのが上司の仕事だ。
タイトル (スコア:0)
×:脆弱性のあるアプリケーションと脆弱性を気にしない上司
○:脆弱性のあるアプリケーションと上司
# もうアプリと同列であつかっていいと思う
本家/.コメント (スコア:0)
どこのサイトよ、ほれ言うてみ。 [slashdot.org]と/.に聞くのが間違いだろ。特定されっぞ [slashdot.org]のコンボでコーヒー噴きそうになった。
Re: (スコア:0)
案外それが目的だったりして。
どっかの親切なセキュリティアドバイザが営業に来てくれるかもしれないし、IT系メディアがすっぱ抜いてくれるかもしれないし。
内部からダメなら外部から、というのも一つの手だわな。
内部事項をGmailでやり取りする方がよっぽどやばい (スコア:0)
ダダ漏れです。
ついでに顧客側の情報を漏らしていることも理解していない。
ぶっちゃけウィルスに冒されてデータ消えようがPCが使用不能になっても
それだけのことで、データはバックアップを取っていれば回復できない実害は
ないと言えるだろう。
Re: (スコア:0)
件の上司からすると、セキュリティの指摘も、この#2508298と同じようなことに聞こえるんだろうね。
あとはNSAネタとか、LenovoのPCネタとか、そういうのも似たようなもんだね。
企業にとって一番怖いのは、被害者になった時に過失があるかどうかでしょ。下手すると倒産しかねないんだから。
Gmailが覗き見られた、なんてのはGoogle社のスキャンダルであって利用者側は表面上落ち度がない。
得体のしれない企業ならまだしも、相手はGoogleなのだから。生じた損失はGoogleを訴えて、慰謝料請求すりゃいい。
一方でセキュリティ問題は、それによるクラックなどの問題が生じた場合に、
Re: (スコア:0)
突然のタイトルからアクセルベタ踏み。息をもつかせぬ流れですね。
久々に高レベルのアンチを見せていただきました。
Re: (スコア:0)
>彼の職場がMSだったら
>さっさと転職した方がいいだろう。
確かに、私もモビルスーツに脆弱性があることが分かっていて戦場に出るのはいやですね........。
# ボールとか脆弱性の塊に見えなくもない。
Re:あれ (スコア:1)
既出 [srad.jp]アルヨ。