パスワードを忘れた? アカウント作成
13672425 story
セキュリティ

スラドに聞け:会社の方針を無視してセキュリティアップデートを当てるのは是か非か 118

ストーリー by hylom
赤信号もみんなで渡れば怖くないよね的 部門より
あるAnonymous Coward曰く、

Twitterで週末に「会社でWannaCryが蔓延したが自部署だけ被害なしで、会社の規定を無視して勝手にセキュリティアップデートやMS Security Essentialsをインストールしていたことがバレて大目玉」というツィートが話題になっていたようだ(Togetterまとめ)。

一連のツィートやその返信によると、ツィート者の会社ではセキュリティアップデートが放置されるなどの結果、過去3度も大規模感染事故が起こっており、酷いケースではVPN経由で顧客の環境にまで問題を引き起こしているが、その都度「気を付ける」といった対策しかとられていないという。一方で、無断でインターネットに接続することは禁じられており、個人的にセキュリティアップデートをダウンロードすることも出来なくなっているという。氏は無策な会社の方針には従わず、勝手にネットに繋いでセキュリティアップデートを当てていたということで、ウィルスで他の部署の業務が停止するなか、氏の部署は粛々と平常運転を続けたとのこと。会社からはネット無断接続を咎められたが、氏はほとぼりが冷めたらまたやるとツィートしている。

このツィートに対しては、ネット上では会社を批判して氏の行動を褒める意見がある一方、逆に自称セキュリティに詳しい人が勝手にやってやらかす事例もあるので良くないという意見も上がっている。スラドだと過去の巫女SEの一件などを思いだす感じだが、スラド読者諸氏はどう考えるだろうか?

  • by Anonymous Coward on 2018年08月07日 18時06分 (#3457287)

    どうもこうも会社が駄目と言ってるなら駄目に決まってるでしょ。
    結果として良かったんだから無断実行全然オッケーって、戦前の陸軍かよ。

    「規則が駄目だと思うなら、まずその規則を正規の手順で変えさせる」のが当たり前でしょ。
    正規の手段じゃ変えられない? んじゃ仕方ないね。諦めて転職でもすることだ。
    それを勝手に強行するってどこぞのテロリストと同じ発想だろが。
    その会社が罰を受けるとするなら、それは社会からであるべきなんだよ。

    先に言っておくけど別にこの会社のポリシーが良いとは思わんよ。
    だがね、相手が駄目ならこっちも駄目な手段取って良いとはならんのよ。
    それを認めるなら、もう法律も規則も必要ないんだよ。

    ここに返信
    • by Anonymous Coward on 2018年08月07日 18時52分 (#3457324)

      言ってる事はその通りだと思うけど、こういう会社は「テキトーにスケープゴート作って全責任おっ被せて存続する」んだよな。

      • by Anonymous Coward on 2018年08月07日 20時19分 (#3457388)

        そういう会社では「きっちり議事録を作る」等で、「こいつをスケープゴートにしたら面倒だ」と思わせるのがベター。ルールを破ることで対抗しようとするのは下策。

        ベストは「そんな会社に入らない、入ってしまったらとっとと逃げ出す」だろうけどね。

    • by Anonymous Coward

      全面において同意。

      うん。勝手にという段階で何においてもNG。
      従業員や顧客の命に関わる、法を犯しているというなら警察や役所に訴えるもの。

      強いて言えば取締役などの責任が取れる立場の人間だったらやってもいいだろうけど、責任のとれないイチ従業員がやれることではない。
      文章からは読み取れないけど、どうせ業務時間内に作業していたんだろうから、作業指示も出ていないことを業務時間に行ったということも想像に難くないだろうし。

      下手すりゃ業務命令違反で減俸とかになりかねないのを
      大目玉で済んでよかったねという笑い話ぐらいにしか見えない。

    • by Anonymous Coward

      どうもこうも会社が駄目と言ってるなら駄目に決まってるでしょ。
      結果として良かったんだから無断実行全然オッケーって、戦前の陸軍かよ。

      「規則が駄目だと思うなら、まずその規則を正規の手順で変えさせる」のが当たり前でしょ。

      緊急度と、想定される被害によっては、無視しても良いルールもあるけどね。法律上も緊急避難という概念があるわけだし。

      ただ、まあ、慢性的に問題があって、それを認識してたのであれば、それを変えさせるか、我存ぜぬで放置するしかない、が基本だと思う。

      • by Anonymous Coward

        緊急避難というのは暫定対応であって、半永続的な暫定対応というのは法の趣旨から外れるよね。
        例のISPブロッキングの件では、緊急避難という概念が独り歩きしてるなあと。

  • by Anonymous Coward on 2018年08月07日 18時10分 (#3457289)

    2つの意味でだめ。

    まず、Windows 7にMicrosoft Security Essentialを使って良いのは、コンピュータ10台までの小規模ビジネスまで。話を聞いてるレベルではどうもそれ以上に見えるんで、ライセンス違反。まさに「パソコンの大先生」がやってしまいがちなことの典型。今時こういうことをやっている時点で、もう絶対こいつを信用しない。MSから監査はいったらいくら取られるか。

    次に、ルールが駄目だったらルールは変えるもの。破るものじゃない。正しい手順は正しく問題提起をし、正しくルールを変えること。それができないならば、ルールの範囲でできる事をやる。でなければ黙っているか、極論、ルールに沿ったまま離職するのが正しい。
    そこで勝手にルールを破ったら、会社としての問題は解決しない上に新しいリスクだけが発生した状態になってる。

    ここに返信
  • by lib64 (48441) on 2018年08月07日 18時10分 (#3457290)
    会社からダメと言われているならやっちゃダメだろ アップデートしないことのリスクを説明してもダメと言われたらそれが原因でなにか起きても会社が責任を取ってくれるんだから自分で業務を止めないための対策する必要はない 経営方針に納得できないなら他所行くいくしかない
    ここに返信
    • by Anonymous Coward

      日本の大企業では正しいことをどんなに強く進言しても
      なぜもっと強く進言しなかったんだ!とスケープゴートにされるんですよ。

      会社が責任取ってくれるなんてそんなことあるはずないじゃないですか。

      • by Anonymous Coward on 2018年08月07日 20時36分 (#3457405)

        だから、そこまで毛嫌いしてる「日本の大企業」なんか辞めるのが正解なんだろ。

        日本語も読めないんなら尚更な。

      • by Anonymous Coward

        だから,そういう経営方針だって事がわかってるのなら会社を辞めて他所に行くのが正解なんじゃないかと.
        全部の会社がそうだってのなら話は別ですけど.

    • by Anonymous Coward

      基本的は全面的に同意するのだけど、感染の後始末などで発生する残業などもちゃんと手当してくれるという条件付きかな。
      労基すら守らない会社なら、お互い様って感じ。実際そんな会社多い気がする。

    • by Anonymous Coward

      一応こっちかな
      ただし内部告発としての権利を認めて欲しいね

      ・会社がポシャったとしても賠償責任なし
      ・損失回避も利益として賞罰の賞を義務付け
      ・転職時の選考も賞と見做すよう義務付け
      ・JPCERTなどの情報受口から賞などで立場擁護
      etc...

      # まぁ汚職の内部告発でさえ実質人権無視だし無駄だろうけど

  • 自分の会社の「このセキュリティ・アップデートやるのちょっと待て」的な決定に責任を持つ部門に、どこまでの能力が有って、どこまで信用出来るかに依る
    (あと、勝手にやって問題になった時に、上や担当部署と、どこまで喧嘩する準備・気力・理論武装が有るか)

    ここに返信
  • by Anonymous Coward on 2018年08月07日 17時46分 (#3457270)

    と言ったのは誰だったかな
    一緒に被害受けて右往左往を楽しむのも手かと。

    ここに返信
  • 自称セキュリティに詳しい人って、件の会社(のシステム運用方針を規定し司る部門)の事?

    ここに返信
    • by Anonymous Coward

      自称パワーユーザやその下位互換のパソコンの大先生は結構どこにでもいますからねぇ

    • by Anonymous Coward

      ほんと自称パソコンに詳しい人は、それ何年前の知識だよみたいなのをふりかざして、情シスの言うこと聞いてくれなくて困ってしまいます。

  • by Anonymous Coward on 2018年08月07日 17時51分 (#3457276)

    The Netへの接続がみとめられている端末(社内の公共閲覧端末)を使うとか用意してもらって、そこでアップデートを落してCD/DVDに焼く->アップデートとかかあな。

    # 繋がないこと自体は、それはそれで1つのポリシーだとは思うの
    # ダメダメな状況はたしかなんだが

    ここに返信
  • 今時そんな会社あんの?
    顧客の環境にまで問題を引き起こしてるんでしょ?
    ありえなくね

    ここに返信
  • by Anonymous Coward on 2018年08月07日 18時01分 (#3457283)

    黙ってパッチ当てるのも問題だし
    数度、問題起こして気を付けろで済ます会社も酷いな
    割合的に社員さん1割、会社9割
    WannaCryのようなワームは対策しなかったら
    ネットに繋いでる限り感染するのでは気を付けろでは済まないし
    XP、7をろくにアップデート適用しないで運用してそうですし
    会社のセキュリティ意識の低さがかなり酷い

    せめてウイルス対策ソフトぐらい入れておけば良いのに
    MS Security Essentials入れるという事は
    ウイルス対策ソフト一切入ってないんだろうな・・・

    ここに返信
  • by Anonymous Coward on 2018年08月07日 18時16分 (#3457295)

    被害がなかった部署をポリシー違反だと罰する前に、感染源をどうにかしろよ。
    会社のポリシー守っていて感染したのならポリシー改定以外の解決はあり得ないし、
    ポリシー破って感染したんなら被害の発生件となった部署の責任懲罰をちゃんとやれ。
    そんで、ポリシー守って被害を受けた事実とポリシーに違反したが被害がなかった事実を受け止めて、
    どちらがより「マシ」な結果だったか評価して、ポリシーも再評価しろ。
    セキュリティ責任者のトップは社長だろうが、気を付けますで済ませる責任じゃねー

    ここに返信
    • by Anonymous Coward

      感染源をどうにかしろよ。

      というか、原則インターネット接続してなかった環境なんでしょ。

      外に繋いでMSE入れたりセキュリティーパッチを勝手にやってる間、ポート445開けっ放しになってたんじゃねーの?

      どうにかすべき感染源だけセキュリティーパッチが当たってたから無事だった可能性も、十分にあると思う。

      # まがりなりにも筋を通そうとした巫女SEの件と比べるような事案ですらない

      • by Anonymous Coward

        未知の情報を想像で決めつけすぎ。
        原則オフラインというのも不確定。VPNは繋いでるようだから完全なOFFLINEではない。
        それに、完全に外と繋がってないなら、件の主が危機感を覚える理由が全くない。
        メールなり共有Boxなり、常時接続はあったと考えたほうが自然ではないか?

        • by Anonymous Coward

          それに、完全に外と繋がってないなら、件の主が危機感を覚える理由が全くない。

          ウイルス対策されてないシステムを勝手に外部ネットワークに繋ぐような奴の「危機感」とやらに、どこまで信頼性・正当性があるのかってところから疑問にすべきだろう。
          外部に繋がってたにしても、解放してるポートは最小限とか、通信相手をスイッチ(ルーター)である程度、制限してた可能性もあるじゃん。
          で、勝手に別口で外に繋ぐ奴が出たら、その前提はぶっ壊れるよね。

          ぶっちゃけ「馬鹿が、馬鹿相応の会社に居たね」って話にしか見えない。

  • by Anonymous Coward on 2018年08月07日 18時25分 (#3457301)

    業務で使用しているアプリケーションの互換性の問題でアップデートを禁止しているのに勝手にアップデートして業務に支障が出た場合には、業務妨害に問われることがあります。きちんと検証している情シスがあるところでは、業務命令違反に問われても仕方無かろう。

    ここに返信
    • by Anonymous Coward

      > きちんと検証している情シスがあるところでは

      これがfalseである事が明白な今回の事例ではどう判断すればよいの?

      • by Anonymous Coward

        アプリケーションの互換性問題の動作検証すらしていないのであれば、アップデートして動かなくなったなんてのはただの不可抗力である。

        • by Anonymous Coward

          不可抗力でも、事前命令があれば、結果ありきで損害賠償請求の対象になったりする。

  • by Anonymous Coward on 2018年08月07日 18時27分 (#3457303)

    是って思ってる人は、漫画村をブロックとか言ってる人と同類ではないかと思いますね。

    ここに返信
    • by Anonymous Coward

      件の会社と氏の行為の是非は兎も角、法を制定した上で(或いは緊急避難で)漫画村他をブロックする事を非と断ずる、#3457303は犯罪者の強い味方ですか。

  • by Anonymous Coward on 2018年08月07日 19時10分 (#3457337)

    規則を破るのだから、見つかれば咎められるリスクや、不注意でかえって問題を引き起こすリスクは背負わないといけない。
    現に今回は「見つかって咎められるリスク」が実際に起きたわけだし。

    でも逆に言えば、それらのリスクと、トラブルが起きたときの自分の苦労を天秤にかけて、リスクを取った方がマシと言えるなら自己責任で予防策を講じるのは処世術かと。

    ほとぼりが冷めたらまたやる

    というのはそういう意味で正しい。

    心配なのは#3457289 [srad.jp]で指摘されてるライセンス違反で、これが本当だとすると当然その責任を負うことに。自己責任で事を進めるとこういう時に社の保護をあてにできなくなるというのは認識しておかないといけないよね。

    ここに返信
  • by Anonymous Coward on 2018年08月07日 19時20分 (#3457344)

    2000年代初頭の頃ですが、チーム全体で客先常駐中で上司から「インターネット接続禁止」って言われてまして、おかげでWindows Updateが行えず、めでたくチーム全員感染して半日業務が止まりました(死

    上司曰く「インターネット接続禁止とは言ったがWindows Updateを禁止したつもりはなかった」という事で、めでたくアップデートは解禁され、以後問題は発生しませんでした。

    つまり私が言いたいのは、インターネット接続禁止と言うやつは、大概セキュリティアップデートまで禁止してるつもりは無いという事です(適当

    ここに返信
    • by Anonymous Coward

      ルーターとかProxyでWindows Update関連以外のサイトをアクセス不能にしているところも多い。

  • by Anonymous Coward on 2018年08月07日 20時16分 (#3457385)

    この度の猛暑で、会社に死ねと言われたら死ぬことも晴れて証明されたし

    ここに返信
typodupeerror

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

読み込み中...