スラドに聞け:会社の方針を無視してセキュリティアップデートを当てるのは是か非か 118
ストーリー by hylom
赤信号もみんなで渡れば怖くないよね的 部門より
赤信号もみんなで渡れば怖くないよね的 部門より
あるAnonymous Coward曰く、
Twitterで週末に「会社でWannaCryが蔓延したが自部署だけ被害なしで、会社の規定を無視して勝手にセキュリティアップデートやMS Security Essentialsをインストールしていたことがバレて大目玉」というツィートが話題になっていたようだ(Togetterまとめ)。
一連のツィートやその返信によると、ツィート者の会社ではセキュリティアップデートが放置されるなどの結果、過去3度も大規模感染事故が起こっており、酷いケースではVPN経由で顧客の環境にまで問題を引き起こしているが、その都度「気を付ける」といった対策しかとられていないという。一方で、無断でインターネットに接続することは禁じられており、個人的にセキュリティアップデートをダウンロードすることも出来なくなっているという。氏は無策な会社の方針には従わず、勝手にネットに繋いでセキュリティアップデートを当てていたということで、ウィルスで他の部署の業務が停止するなか、氏の部署は粛々と平常運転を続けたとのこと。会社からはネット無断接続を咎められたが、氏はほとぼりが冷めたらまたやるとツィートしている。
このツィートに対しては、ネット上では会社を批判して氏の行動を褒める意見がある一方、逆に自称セキュリティに詳しい人が勝手にやってやらかす事例もあるので良くないという意見も上がっている。スラドだと過去の巫女SEの一件などを思いだす感じだが、スラド読者諸氏はどう考えるだろうか?
論ずるまでもなく否に決まってるだろ (スコア:5, すばらしい洞察)
どうもこうも会社が駄目と言ってるなら駄目に決まってるでしょ。
結果として良かったんだから無断実行全然オッケーって、戦前の陸軍かよ。
「規則が駄目だと思うなら、まずその規則を正規の手順で変えさせる」のが当たり前でしょ。
正規の手段じゃ変えられない? んじゃ仕方ないね。諦めて転職でもすることだ。
それを勝手に強行するってどこぞのテロリストと同じ発想だろが。
その会社が罰を受けるとするなら、それは社会からであるべきなんだよ。
先に言っておくけど別にこの会社のポリシーが良いとは思わんよ。
だがね、相手が駄目ならこっちも駄目な手段取って良いとはならんのよ。
それを認めるなら、もう法律も規則も必要ないんだよ。
Re:論ずるまでもなく否に決まってるだろ (スコア:1)
言ってる事はその通りだと思うけど、こういう会社は「テキトーにスケープゴート作って全責任おっ被せて存続する」んだよな。
Re:論ずるまでもなく否に決まってるだろ (スコア:1)
そういう会社では「きっちり議事録を作る」等で、「こいつをスケープゴートにしたら面倒だ」と思わせるのがベター。ルールを破ることで対抗しようとするのは下策。
ベストは「そんな会社に入らない、入ってしまったらとっとと逃げ出す」だろうけどね。
Re: (スコア:0)
全面において同意。
うん。勝手にという段階で何においてもNG。
従業員や顧客の命に関わる、法を犯しているというなら警察や役所に訴えるもの。
強いて言えば取締役などの責任が取れる立場の人間だったらやってもいいだろうけど、責任のとれないイチ従業員がやれることではない。
文章からは読み取れないけど、どうせ業務時間内に作業していたんだろうから、作業指示も出ていないことを業務時間に行ったということも想像に難くないだろうし。
下手すりゃ業務命令違反で減俸とかになりかねないのを
大目玉で済んでよかったねという笑い話ぐらいにしか見えない。
Re: (スコア:0)
どうもこうも会社が駄目と言ってるなら駄目に決まってるでしょ。
結果として良かったんだから無断実行全然オッケーって、戦前の陸軍かよ。
「規則が駄目だと思うなら、まずその規則を正規の手順で変えさせる」のが当たり前でしょ。
緊急度と、想定される被害によっては、無視しても良いルールもあるけどね。法律上も緊急避難という概念があるわけだし。
ただ、まあ、慢性的に問題があって、それを認識してたのであれば、それを変えさせるか、我存ぜぬで放置するしかない、が基本だと思う。
Re: (スコア:0)
緊急避難というのは暫定対応であって、半永続的な暫定対応というのは法の趣旨から外れるよね。
例のISPブロッキングの件では、緊急避難という概念が独り歩きしてるなあと。
Win7にMSEはライセンス違反。ルールは破るのでなく変えるもの (スコア:5, すばらしい洞察)
2つの意味でだめ。
まず、Windows 7にMicrosoft Security Essentialを使って良いのは、コンピュータ10台までの小規模ビジネスまで。話を聞いてるレベルではどうもそれ以上に見えるんで、ライセンス違反。まさに「パソコンの大先生」がやってしまいがちなことの典型。今時こういうことをやっている時点で、もう絶対こいつを信用しない。MSから監査はいったらいくら取られるか。
次に、ルールが駄目だったらルールは変えるもの。破るものじゃない。正しい手順は正しく問題提起をし、正しくルールを変えること。それができないならば、ルールの範囲でできる事をやる。でなければ黙っているか、極論、ルールに沿ったまま離職するのが正しい。
そこで勝手にルールを破ったら、会社としての問題は解決しない上に新しいリスクだけが発生した状態になってる。
Re:Win7にMSEはライセンス違反。ルールは破るのでなく変えるもの (スコア:1)
曖昧な解釈で使うのがまさに「パソコンの大先生」の仕事だよ。曖昧な部分があればメーカに問い合わせろ。
俺がMSに問い合わせたときは、スモールビジネスとは小規模企業のことで、少なくとも、日本国内では国の小規模企業の定義以上はスモールビジネスではない、って言われた。(他にも基準はあるようだが、MSの判断だそうだ)
すると、スモールビジネスとは、小規模企業とは製造業で従業員20人まで、商業・サービス業で従業員5人まで and 製造業で資本金3億円以下、卸売り業で資本金1億円以下、で資本金5千万円以下 [meti.go.jp]と言う条件を少なくとも満たす場合、ことになる。
次に「職場」とは?と聞いたら「事業所や敷地内のこと」と言われた。そんで、MSでは、半径20マイル以内(半径32キロ)は同一事業所としてカウントすると言う慣習がある(絶対ではないが)。この20マイルとは、東京23区が丸ごと2つすっぽり入る大きさ。
つまり、事業所の距離は65キロ以上離れていないと同一事業所として見做される。
で、今回の話の括りで考えると、情報通信業は、「情報サービス業」という分類になっているので、従業員5人以下 and 資本金5千万以下 and 半径65キロ以内で10本まで と言う制約ならライセンス違反ではないと言うことになるが、この条件を満たしているとはとても思えない。
会社を辞めるが正解 (スコア:2)
Re: (スコア:0)
日本の大企業では正しいことをどんなに強く進言しても
なぜもっと強く進言しなかったんだ!とスケープゴートにされるんですよ。
会社が責任取ってくれるなんてそんなことあるはずないじゃないですか。
Re:会社を辞めるが正解 (スコア:1)
だから、そこまで毛嫌いしてる「日本の大企業」なんか辞めるのが正解なんだろ。
日本語も読めないんなら尚更な。
Re: (スコア:0)
だから,そういう経営方針だって事がわかってるのなら会社を辞めて他所に行くのが正解なんじゃないかと.
全部の会社がそうだってのなら話は別ですけど.
Re: (スコア:0)
基本的は全面的に同意するのだけど、感染の後始末などで発生する残業などもちゃんと手当してくれるという条件付きかな。
労基すら守らない会社なら、お互い様って感じ。実際そんな会社多い気がする。
Re: (スコア:0)
一応こっちかな
ただし内部告発としての権利を認めて欲しいね
・会社がポシャったとしても賠償責任なし
・損失回避も利益として賞罰の賞を義務付け
・転職時の選考も賞と見做すよう義務付け
・JPCERTなどの情報受口から賞などで立場擁護
etc...
# まぁ汚職の内部告発でさえ実質人権無視だし無駄だろうけど
会社の方針と言っても…… (スコア:2)
自分の会社の「このセキュリティ・アップデートやるのちょっと待て」的な決定に責任を持つ部門に、どこまでの能力が有って、どこまで信用出来るかに依る
(あと、勝手にやって問題になった時に、上や担当部署と、どこまで喧嘩する準備・気力・理論武装が有るか)
「どうしようもないなら、楽しめ」 (スコア:1)
と言ったのは誰だったかな
一緒に被害受けて右往左往を楽しむのも手かと。
Re:「どうしようもないなら、楽しめ」 (スコア:2)
なるほどです。それくらい心に余裕があるといいです。
ほえほえ
Re: (スコア:0)
私もこれに一票。
自分のマシンではなかなか楽しめない状況なので。
Re: (スコア:0)
会社でライセンス切れたWin7を半年以上使ってる
ネットにもつないでる
いつの日か「ライセンス更新しないと起動しない」ってメッセージが出ることを期待してるけど、まだ出てこない
Re:「どうしようもないなら、楽しめ」 (スコア:1)
Windows7って年間ライセンスみたいなライセンス切れ起こす契約形態あったっけ?
Re: (スコア:0)
「物事は楽しもうと思えば、どんな時でも愉しめるものよ。
もちろん、楽しもうと固く決心することが大事よ」(アン・シャーリー)
自称セキュリティに詳しい人が勝手にやってやらかす事例 (スコア:0)
自称セキュリティに詳しい人って、件の会社(のシステム運用方針を規定し司る部門)の事?
Re: (スコア:0)
自称パワーユーザやその下位互換のパソコンの大先生は結構どこにでもいますからねぇ
Re: (スコア:0)
ほんと自称パソコンに詳しい人は、それ何年前の知識だよみたいなのをふりかざして、情シスの言うこと聞いてくれなくて困ってしまいます。
やるとしたら (スコア:0)
The Netへの接続がみとめられている端末(社内の公共閲覧端末)を使うとか用意してもらって、そこでアップデートを落してCD/DVDに焼く->アップデートとかかあな。
# 繋がないこと自体は、それはそれで1つのポリシーだとは思うの
# ダメダメな状況はたしかなんだが
その都度「気を付ける」といった対策しかとられていない (スコア:0)
今時そんな会社あんの?
顧客の環境にまで問題を引き起こしてるんでしょ?
ありえなくね
Re:その都度「気を付ける」といった対策しかとられていない (スコア:3, 興味深い)
ツイッターのプロフィールには
「存在しない架空の会社の愚痴・悪口ばかり言ってるのでフォローご注意ください。」
って書いてますね。創作なんでしょう。
Re: (スコア:0)
というやつだな
Re: (スコア:0)
みかかグループの地域会社、の子会社なかのどこかやね。
Re:その都度「気を付ける」といった対策しかとられていない (スコア:1)
みかか最上位から手下まで漏れなく精神論だった経験。
一つの例外も無いのは見事(褒めてない)。
Re: (スコア:0)
"め"か"新"か
#エリア的にめの方っぽい
Re: (スコア:0)
ぶっちゃけ「かなりある」
なんとかできる人員を情シスなんて非生産部門(だと経営者が考えている)に
採用する気がさらさらないのでどーしょーもない。
Re: (スコア:0)
その都度「毛をつける」といった対策しかとられていない
# すみません。なんとなく言いたかっただけです。
何かあれば坊主で出なおす文化だもんね (スコア:1)
Re: (スコア:0)
いわゆる嘘松なのでは
どっちもかな (スコア:0)
黙ってパッチ当てるのも問題だし
数度、問題起こして気を付けろで済ます会社も酷いな
割合的に社員さん1割、会社9割
WannaCryのようなワームは対策しなかったら
ネットに繋いでる限り感染するのでは気を付けろでは済まないし
XP、7をろくにアップデート適用しないで運用してそうですし
会社のセキュリティ意識の低さがかなり酷い
せめてウイルス対策ソフトぐらい入れておけば良いのに
MS Security Essentials入れるという事は
ウイルス対策ソフト一切入ってないんだろうな・・・
まず感染源をどうにかしろよ (スコア:0)
被害がなかった部署をポリシー違反だと罰する前に、感染源をどうにかしろよ。
会社のポリシー守っていて感染したのならポリシー改定以外の解決はあり得ないし、
ポリシー破って感染したんなら被害の発生件となった部署の責任懲罰をちゃんとやれ。
そんで、ポリシー守って被害を受けた事実とポリシーに違反したが被害がなかった事実を受け止めて、
どちらがより「マシ」な結果だったか評価して、ポリシーも再評価しろ。
セキュリティ責任者のトップは社長だろうが、気を付けますで済ませる責任じゃねー
Re: (スコア:0)
感染源をどうにかしろよ。
というか、原則インターネット接続してなかった環境なんでしょ。
外に繋いでMSE入れたりセキュリティーパッチを勝手にやってる間、ポート445開けっ放しになってたんじゃねーの?
どうにかすべき感染源だけセキュリティーパッチが当たってたから無事だった可能性も、十分にあると思う。
# まがりなりにも筋を通そうとした巫女SEの件と比べるような事案ですらない
Re: (スコア:0)
未知の情報を想像で決めつけすぎ。
原則オフラインというのも不確定。VPNは繋いでるようだから完全なOFFLINEではない。
それに、完全に外と繋がってないなら、件の主が危機感を覚える理由が全くない。
メールなり共有Boxなり、常時接続はあったと考えたほうが自然ではないか?
Re: (スコア:0)
それに、完全に外と繋がってないなら、件の主が危機感を覚える理由が全くない。
ウイルス対策されてないシステムを勝手に外部ネットワークに繋ぐような奴の「危機感」とやらに、どこまで信頼性・正当性があるのかってところから疑問にすべきだろう。
外部に繋がってたにしても、解放してるポートは最小限とか、通信相手をスイッチ(ルーター)である程度、制限してた可能性もあるじゃん。
で、勝手に別口で外に繋ぐ奴が出たら、その前提はぶっ壊れるよね。
ぶっちゃけ「馬鹿が、馬鹿相応の会社に居たね」って話にしか見えない。
業務妨害 (スコア:0)
業務で使用しているアプリケーションの互換性の問題でアップデートを禁止しているのに勝手にアップデートして業務に支障が出た場合には、業務妨害に問われることがあります。きちんと検証している情シスがあるところでは、業務命令違反に問われても仕方無かろう。
Re: (スコア:0)
> きちんと検証している情シスがあるところでは
これがfalseである事が明白な今回の事例ではどう判断すればよいの?
Re: (スコア:0)
アプリケーションの互換性問題の動作検証すらしていないのであれば、アップデートして動かなくなったなんてのはただの不可抗力である。
Re: (スコア:0)
不可抗力でも、事前命令があれば、結果ありきで損害賠償請求の対象になったりする。
是か非か:是の可能性があるみたいな書き方ですね (スコア:0)
是って思ってる人は、漫画村をブロックとか言ってる人と同類ではないかと思いますね。
Re: (スコア:0)
件の会社と氏の行為の是非は兎も角、法を制定した上で(或いは緊急避難で)漫画村他をブロックする事を非と断ずる、#3457303は犯罪者の強い味方ですか。
自己責任 (スコア:0)
規則を破るのだから、見つかれば咎められるリスクや、不注意でかえって問題を引き起こすリスクは背負わないといけない。
現に今回は「見つかって咎められるリスク」が実際に起きたわけだし。
でも逆に言えば、それらのリスクと、トラブルが起きたときの自分の苦労を天秤にかけて、リスクを取った方がマシと言えるなら自己責任で予防策を講じるのは処世術かと。
というのはそういう意味で正しい。
心配なのは#3457289 [srad.jp]で指摘されてるライセンス違反で、これが本当だとすると当然その責任を負うことに。自己責任で事を進めるとこういう時に社の保護をあてにできなくなるというのは認識しておかないといけないよね。
大昔の経験 (スコア:0)
2000年代初頭の頃ですが、チーム全体で客先常駐中で上司から「インターネット接続禁止」って言われてまして、おかげでWindows Updateが行えず、めでたくチーム全員感染して半日業務が止まりました(死
上司曰く「インターネット接続禁止とは言ったがWindows Updateを禁止したつもりはなかった」という事で、めでたくアップデートは解禁され、以後問題は発生しませんでした。
つまり私が言いたいのは、インターネット接続禁止と言うやつは、大概セキュリティアップデートまで禁止してるつもりは無いという事です(適当
Re: (スコア:0)
ルーターとかProxyでWindows Update関連以外のサイトをアクセス不能にしているところも多い。
もちろん否でしょう (スコア:0)
この度の猛暑で、会社に死ねと言われたら死ぬことも晴れて証明されたし