パスワードを忘れた? アカウント作成
10319243 story
セキュリティ

脆弱性のあるアプリケーションと脆弱性を気にしない上司、どうすればいい? 58

ストーリー by headless
修正 部門より
本家/.「Ask Slashdot: Application Security Non-existent, Boss Doesn't Care. What To Do?」より

私はフォーチュン500にランキングされている企業でシニアエンジニアとソフトウェアアーキテクトを務めており、子供を持つ人のためのよく知られているブランドのWebサイトとモバイルアプリを管理している。今年はサーバーのホスティングやアプリケーションフレームワークを含め、新しいプラットフォームへの移行を行った。ユーザー視点から見ればスムーズに移行できているが、システム管理者にとってはセキュリティー上の悪夢、最低限のスキルを持ったハッカーには格好のターゲットとなっている。毎週、多い時は毎日リリースされるコードは脆弱性が修正されないままだ。デプロイするコードはマーケティング部門から渡されるだけで、自分のコントロール下にないことも多い。上司や同僚にセキュリティーの問題を先に修正する必要があることを伝えても、答えは決まって「期限までに間に合わせる必要がある。修正は後でもいいだろう」といったものだ。私はどうしていいのかわからない。上司を飛び越えて上の人間と話す必要があるだろうか。児童プライバシー保護法(COPPA)に違反する点が多数あるといった法的な内容で訴えるのがいいだろうか。セキュリティーの問題が修正されるまでコードのデプロイを拒否すべきだろうか。それとも他の仕事を探した方がいいだろうか。/.erならこのような状況でどのように行動するだろう。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2013年12月07日 18時03分 (#2507990)

    言っても分からないやつを説得するのは不可能。
    実際に事が起きない限り、リスクにリアリティを感じない人なんでしょう。だから脆弱性のチェックや修正が余計なコストにしか見えない。
    上司の上司なんてさらに業務の遂行を優先するから、言っても無駄。
    報告をちゃんと証拠として提示できるように残して、あとは放置でいいでしょ。
    それに耐えられないなら転職するしかないけど、似たような話はどこにでもあるよ。メンテナンス性の悪いコードに対するリファクタリングとかね。

    • by Anonymous Coward on 2013年12月08日 18時24分 (#2508450)

      言っても分からないやつを説得するのは不可能。

      組織にもよると思うが、上司が本当に脆弱性とその問題をについて理解してないのか、理解していてもコストと危険性との兼ね合いからあえて除外している可能性もある。問題が起こりにくい(マイナーな)ものだったりしたら、問題が発生してから対処するって方法の方がコストとの兼ね合いで現実的だったりするし。

      現場判断では、技術屋として完璧な方が良いに決まっているけど、予算と時間は無制限では無いので。そこいらの政治的・戦略的判断を理解した上で上司が判断したのならば言うべきことは無いのじゃないかなと思う。なにも上司が常に無理解と決めるつけるのは現場の悪い判断だと思うよ。実際に金とコストとリスクを判断しているのは上司なので。

      なんだか、いつもこの手の話をみると上司は無能って意見が多いけど。そんな上司に使われている(上司になれない)自分はもっと無能だって感じないのかね?だから万年下っ端。下っ端のエースのままでいたいのならばいいのだけど。だったら一生そういう上司に悩まされ続けることになる。現場のエースは年齢と共に上司にならない食っていくのつらいよ。そこでも上司としての能力を発揮できる元現場は貴重でしょ。自分が上司として同じ立場になっても良い仕事が出来る自身があるのならばドンドン出世せよ。(大抵はどこかで無能な上司になって出世が止まっておわりだけど。つまり出世の止まった上司は無能なわけだが)

      まぁ、でも、そういう(考えた上でのリジェクトした)上司だったとしても、または何も理解してない(本当の意味での無能)の上司であったとしても、実は結果的には現場としての対応は同じ。

      おっしゃるような対応で現場の責任をきちんと回避しておくこと。

      親コメント
      • そんな上司に使われている(上司になれない)自分はもっと無能だって感じないのかね?

        まあ、無能なだけの上司に使われている、と言う話ならその通りだよね。

        でも、エンジニアの仕事とマネージャの仕事は別なんだから、エンジニアは必ずしもマネージャを目指さなくて良いんじゃ無いかな。
        優秀なエンジニアが出世して無能なマネージャになる、って話もあるしね(ピーターの法則 [wikipedia.org])。

        親コメント
    • by Anonymous Coward

      犠牲者が顧客の親子なのが辛いところだな
      後手になるがパケット解析が賢いF/W入れるくらいか

    • by Anonymous Coward

      > それに耐えられないなら転職するしかないけど

      しかしなぜかこの手のタレコミ系の愚痴を
      言う人に限って転職しないというなぞ。

    • by Anonymous Coward

      でも、そういう奴ほど「言った」という事実だけは覚えているので、
      「セキュリティに問題があることが判っていたのに、(結果的に)何もしなかった奴」
      としてスケープゴートにされる。

      #多分、ほかのメンバーと同じ様にバカを装っていた方が利口じゃないかな。

  • by iwakuralain (33086) on 2013年12月07日 20時06分 (#2508069)

    それが出来れば誰も苦労はしない

  • by Anonymous Coward on 2013年12月07日 17時58分 (#2507988)

    もう伝えたんなら何かあったとき自分の責任にされないためのアリバイ作りは完了。次の仕事探しはそれからでも遅くないだろう

    • by Anonymous Coward on 2013年12月07日 19時04分 (#2508036)

      上司「そんな報告は聞いていない!」
      上司の上司「もし聞いていたら彼がそんな判断を下すはずが無い。責任を人になすりつけるのはやめたまえ!」

      親コメント
      • by Anonymous Coward on 2013年12月07日 20時06分 (#2508070)

        そういう上司にかぎって、
        「最近発言が少ない、発言が少ないと査定できない」
        「もっと積極性がほしい、なにか改善案はないのか」
        「プログラム組まないから、ロジック的なことはなされても分からない」
        とか言ってそう

        親コメント
      • by Anonymous Coward

        それ以前に問題が発生した時点で上司が全責任を持って対応するので自宅待機といわれて隔離され、質問一つされること無く、会社は上司の言い訳だけ聞いて、あなたに全責任を押し付けられてクビになる可能性もある。

        もしくは問題発生時には上司は昇進していて部下(あなたか、後釜の上司)のミスとして処理されるかも。

        毎回、上司の判子付の指示書と修正した脆弱性の報告を上げておいた方がいいですよ。
        もちろん、全書類は問題発生時には使うために複数コピーしておいて、書類が廃棄されていたり、もみ消されている場合は、手元のコピーを提出したり裁判のためだけに使うことです。

      • by Anonymous Coward

        ああ、レコーダー持ってもう一度聞きに行ったほうがいいね。一筆書かせておけばもっといい。
        # 結局法務へ行くことになったとさ。

    • by Anonymous Coward

      そうだな。上司が脆弱性を気にしないのと同じようにあなたも上司を気にしない方が良い。選べる道はたくさんある。

    • by Anonymous Coward

      これに1票だけど、
      なんつーか、後ろ向きな姿勢だよな。自分が世に出すシステムに対して誇りがないというか。
      そういう姿勢は個人的にはアリはアリだと思うんだが、あまり人に褒められるような生き方じゃないな。

      • by Anonymous Coward

        プログラマの分をわきまえた、素晴らしい回答だと思う
        騒ぎを自ら大きくせず、引き際をおだやかに
        そして何よりも現実はプログラマにとって理不尽である

        • 素晴らしいとまでは思わないな。

          全体的に、アイヒマンテストの教訓というか、行動分析に近い印象を受ける。というかそれ以上ではないような。

          「ほかになかった」とか「しょうがない」って自分に言い聞かせるっていうのも、やりたくない対応を命令でやらされたときの典型的なストレス回避行動じゃないかと。

          --
          LIVE-GON(リベゴン)
          親コメント
      • by Anonymous Coward

        誇りを持って欠陥を指摘するためにシステムに進入する人よりはマシでしょう。

      • by Anonymous Coward

        見合うだけの給料を払ってくれればプロフェッショナル意識くらいいくらでも発揮してやるよ。

        • by Anonymous Coward

          トラブルになったら無償で徹夜対応させられるオチになると思うよ

  • 最高じゃないか!

  • by Anonymous Coward on 2013年12月08日 4時33分 (#2508221)

    上司を射殺するんじゃないのか?

  • 大抵、そういう上司はアプリケーションの脆弱性なんかよりも重要な悩みを抱えているものだ。
    上司の価値観を変更させるのに普通の説得は時間がかかると思うなら、上司の脆弱性を突いて優先順位決定アルゴリズムを操作すれば良い。
    #でも、もっと簡単なのは自分の脆弱性を突いてその件の優先順位を最低にすること
  • by Anonymous Coward on 2013年12月07日 18時03分 (#2507991)

    > 上司を飛び越えて上の人間と話す必要があるだろうか。児童プライバシー保護法(COPPA)に違反する点が多数あるといった法的な内容で訴えるのがいいだろうか。セキュリティーの問題が修正されるまでコードのデプロイを拒否すべきだろうか。それとも他の仕事を探した方がいいだろうか。

  • by Anonymous Coward on 2013年12月07日 18時28分 (#2508015)

    「デプロイするコードはマーケティング部門から渡されるだけで、自分のコントロール下にないことも多い。」

    どういうことなのよ・・・誰がデプロイするコードの確認・承認やってんの?
    そういう仕組みが無いなら、無いことそのものを上司に訴えるべきだし、訴える際は何がリスクで何がメリットなのか説明する必要があるでしょ。

    「上司がわかってくれない」じゃなくて、「上司を説得するだけの材料を揃えて、相手に理解させるだけの説明が出来ない」側にも問題があるんだよ。
    まずそこから考え違いしてるとしか思えん。

    「期限までに間に合わせる必要がある。修正は後でもいいだろう」と言われて引き下がる時点で、リスクを全く説明できてないよねこれ。

  • by Anonymous Coward on 2013年12月07日 19時01分 (#2508033)

    巫女SE、脆弱性のあるサービスを独断で停止し、あわや警察沙汰に [srad.jp]

    答えの一つがこれ。だが/.Jで炎上する危険性があるため、素人にはお勧めできない。

    # 彼女はその後どうしていることやら・・・。

  • by Anonymous Coward on 2013年12月07日 20時32分 (#2508084)

    >それとも他の仕事を探した方がいいだろうか。

    転職したほうがイイネ! って背中を押して欲しいだけでしょ。

    グダグダと悩み事を持ちかけてくる奴(主に女)は、既に答えは決まっている法則。

    • by Anonymous Coward

      やめた理由をうまく説明できないと再就職がキツくなるね

      対応できない無能→ウチにはいらない
      ウチもブラックです→言うこと聞かない奴はいらない
      ビジネスと割り切れない→青二才はいらない
      前の会社を悪く言う→両方の言い分を判定できないので避ける
      ハッキングして証明→鉄格子の部屋へ再就職

  • by Anonymous Coward on 2013年12月07日 21時03分 (#2508099)

    USの会社でしょう?
    より上に報告して行動してもらう。まともなところなら途中にちゃんとした人がいる。
    一番上まで行ってだめなら、そりゃもうアリバイできたんだからほっとけばいいと思うがな。

  • by Anonymous Coward on 2013年12月08日 2時10分 (#2508205)

    攻撃されたら対策しない方が悪い。
    責任を取るのが上司の仕事だ。

  • by Anonymous Coward on 2013年12月08日 8時44分 (#2508237)

    ×:脆弱性のあるアプリケーションと脆弱性を気にしない上司
    ○:脆弱性のあるアプリケーションと上司

    # もうアプリと同列であつかっていいと思う

  • by Anonymous Coward on 2013年12月08日 11時02分 (#2508287)

    どこのサイトよ、ほれ言うてみ。 [slashdot.org]と/.に聞くのが間違いだろ。特定されっぞ [slashdot.org]のコンボでコーヒー噴きそうになった。

    • by Anonymous Coward

      案外それが目的だったりして。
      どっかの親切なセキュリティアドバイザが営業に来てくれるかもしれないし、IT系メディアがすっぱ抜いてくれるかもしれないし。
      内部からダメなら外部から、というのも一つの手だわな。

  • by Anonymous Coward on 2013年12月08日 11時21分 (#2508298)

    ダダ漏れです。

    ついでに顧客側の情報を漏らしていることも理解していない。

    ぶっちゃけウィルスに冒されてデータ消えようがPCが使用不能になっても
    それだけのことで、データはバックアップを取っていれば回復できない実害は
    ないと言えるだろう。

    • by Anonymous Coward

      件の上司からすると、セキュリティの指摘も、この#2508298と同じようなことに聞こえるんだろうね。
      あとはNSAネタとか、LenovoのPCネタとか、そういうのも似たようなもんだね。

      企業にとって一番怖いのは、被害者になった時に過失があるかどうかでしょ。下手すると倒産しかねないんだから。
      Gmailが覗き見られた、なんてのはGoogle社のスキャンダルであって利用者側は表面上落ち度がない。
      得体のしれない企業ならまだしも、相手はGoogleなのだから。生じた損失はGoogleを訴えて、慰謝料請求すりゃいい。
      一方でセキュリティ問題は、それによるクラックなどの問題が生じた場合に、

typodupeerror

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

読み込み中...