アカウント名:
パスワード:
この記事を思い出した。 っ システム管理の“ここがヘンだよ”: 無線LAN禁止、VPN禁止、FTP禁止……は管理者の怠慢か [itmedia.co.jp]
広告系のデザイン・クリエイティブ部門を抱える名古屋市のD社は、外部カメラマンやデザイナー、DTPオペレーターとのデータ授受が日常的に発生する。扱うデータサイズは大きく、1つのファイルが数百Mバイトになることも珍しくない。月間データ送受信量は軽く数Tバイト近くになってしまう。 (中略) 「いつFTPサーバを止められるか、分かったもんじゃない」。現場では情報システム部への不信感が広がり、自主防衛への動きが進んでいく。オフィス内に光回線を引き、自前でサーバを立てたり、ファイアウォールがふさいでいないポートを調べ上げ、使われていないノートPCを簡易サーバとして再利用するなど、無法状態と化してしまったのだ。
ルールを作るなら徹底して守らせる。それができないならルールは作らない。そうしないとルールを守るというモラルが低下する。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds
ウチの会社の場合 (スコア:4, 興味深い)
それまでの顧客や協力会社との間のワークフローを一切無視していきなり施行されたので、業務に支障がでまくり、みんなあの手この手を使ってルールの穴をかいくぐる手段を考えるようになりました。
もちろん、暗号化されてない生のメールが危険なのは当然ですが、何故メールの暗号化の社員への義務づけや、顧客・協力会社への啓蒙活動をしようとせず、いきなり全面禁止なんて策に走ってしまったのか... orz
実態の業務を無視したルールが、かえってセキュリティ低下させる悪例です。。。
Re:ウチの会社の場合 (スコア:5, おもしろおかしい)
『どーもいつもお世話になっております。A社の○○と申します。今お電話よろしかったでしょうか?
メール頂きました。ええ。それがですね~、今わが社では添付ファイル禁止なんですよ。
ええ。セキュリティがどうのって。最近煩くてですねぇ。
で、手渡しか書留って事になってるんですが、お急ぎですよねぇ。
ええ。流石に手渡しも・・・九州じゃねぇ。
あ~、ではZIPにパスワードかけてWinnyに放流しますので拾っていただけますか?
ハッシュはメールでお送りしますので。
ええ。よろしくお願いいたします。
では、失礼いたします。』
チン
# よし。
## よしじゃねぇ。
Re:ウチの会社の場合 (スコア:1)
>ハッシュはメールでお送りしますので。
こいつを真面目にやるって言うのはどうだろう?
仕事に必要なファイルは、Winnyのような解放したP2Pではなく
社内のネットワークに放流して、
外部に伝えるのはハッシュのみ。
ファイル入手のためのURLもしくは、アプリはあらかじめ郵送しておく。
ファイルを取ろうとしたアクセス元は全て記録できるし、
メールのフィルタリングでは,添付ファイルまで調べる必要はなくハッシュを調べれば良い。
よくやり取りする取引先だけしか使えないし面倒だよなぁ。
# 本文中にuuencode,base64禁止!
Re:ウチの会社の場合 (スコア:2)
uuencodeやbase64のような一般的な方式では、フィルタリングソフトも対応しているかもしれない。
そうだ!
半ば忘れられた存在になったもの(例:ishとかrot13とか)を使えば。
# ルールの網の目をかいくぐり方に、労力を向けるなっての(笑)
Re:ウチの会社の場合 (スコア:3, 興味深い)
多いのだろうか・・・ (スコア:3, 興味深い)
この記事を思い出した。
っ システム管理の“ここがヘンだよ”: 無線LAN禁止、VPN禁止、FTP禁止……は管理者の怠慢か [itmedia.co.jp]
Re:ウチの会社の場合 (スコア:2, 参考になる)
もし、万一情報流出等事故が発生しても、情報システム部に責任はありません。
そのPCを使っていた社員に責任があります。
情報システム部の人に何をしたらいいか尋ねると、
PCの使い方がわからない人は、近所のパソコン教室に通いなさい、とのことです。
#他社の人から「無法地帯ですか?」と言われちゃったよ。
Re:ウチの会社の場合 (スコア:3, 参考になる)
情報流出した事件はあったけど、全社の情報システム部門には全くお咎めはなかったです。
流出した部門には当然ですがいろいろありました。
個人で使うPCはすべてユーザー管理で、入れようと思えばどんなソフトでも入れられます。
多分、殆どのユーザーが日常的に管理者権限でOSを使っているでしょう。
でも各部門で自部門にあったルールで運用できますから部門側にとってもメリットはあります。
PC教育についても部門でやってます。PCの使い方がわからない人への対応を情報システム部門に
聞くっていうこと自体ありえないです。
同じようなルールをいくつもの部門で作ってるっていう無駄はすっごく感じます。
情報システム部門の仕事は物理的なインフラの整備が中心かな。
そんな情報システム部門が突然全社のルールを決めることがありますけれど、
だいたいは部門の猛反対にあって数日以内に撤回されます。
最近は事前調整するようになったのでルールを決める前に却下されることが多いかも。
#元コメントに「おもしろおかしい」がついてるけど笑っちゃうくらい変な状態なのか…
#社員数は10万に欠けるくらいです。
--考えたけどACにしときます。ちなみに僕はの立場はただの1ユーザーです。
Re:ウチの会社の場合 (スコア:0)
Re:ウチの会社の場合 (スコア:0)
それって明らかに無法地帯に見えるんだけど...
ちなみに、個人で全責任が取れる会社の規模ってどれくらいなんだろ?
顧客データを流出させて会社の信頼を失っても個人の力で回復できるとか、
ウィルスを持ち込んで社内の全てのPC内のデータを全滅させても回復できるとか、
社員二人くらいの会社でないと無理な気がする。
Re:ウチの会社の場合 (スコア:0)
パスワードやらパッチやら、あらゆる管理は「部門の責任」という建前で全く指導しない。自由の代わり、事故が起きたら打ち首よ、と。
結果、各部門がこしらえた野良ドメインが20個以上あるし…
#社員数2000人そこいらの三流子会社なのでAC
Re:ウチの会社の場合 (スコア:1)
>業務に支障がでまくり、みんなあの手この手を使ってルールの穴をかいくぐる手段を考えるようになりました。
それは・・・業務システム部署に対してきちんと正当な理由を提示して規制を変更してもらうべきでは?
いや、そもそも説明しても融通が利かないし、現行規制をかいくぐるぐらい
せっぱつまってる状況はありがちなので、ほんとに素朴な疑問ですが・・・(^^
Re:ウチの会社の場合 (スコア:4, 参考になる)
業務システム部署って、IT関連以外まで含めるといろんな部署が絡んでいてまず無理。
うちの会社の場合、
・総務部指令:「海外出張時は必ず電子メールで毎日上司に(安否を含めて)状況報告を行うこと」
・IT部門指令:「業務に関する情報を含む電子メールを送る場合は、必ず暗号化を使用し・・・」
・法務部指令:「各国の法令を遵守し・・・」
・その他たくさん・・・
の規制がありますが、中国の工場に出張したら、ここにあげた最初の3つですでに矛盾していて
守れないのであった。
で、うちのえらい人が、それぞれの部門に中国出張の場合の対応方法を問い合わせたら、どこからも
自分のところで決めたルールを守れ、という以外に返事がなかったそうな。
問い合わせ時に、「矛盾しているからどうしたらいいの?部門間で調整してもらえませんか?」と質
問したらしいのだが。
当然、どれかを無視して運用するしかなくて、万が一にも中国当局に捕まりたくはないので、よほど
の情報じゃない限り暗号化せず、という運用みたい。よほどの情報の場合は電話(音声)か手渡しの
ようです。
Re:ウチの会社の場合 (スコア:1)
自分が言いたかったことは、#1244368 [srad.jp]の方も書いてらっしゃいますが
「なにがネックになっているか」「なぜ業務に支障をきたしているか」「本来誰が対処すべきか」を
明確にしてアピールすべきだということです。
現場で判断して現行規制外の運用をしなければならなかったとして、
将来的に情報漏洩など致命的な問題が発生したら、自分たちの責任になるのは(私なら)避けたいです。
うちの会社の場合、休日のトラフィック制限がきつすぎて過去に対外向けの法務手続きを
危うくトチりそうになったことがありました。ただ業務システム部門の担当者に言わせると
休日はどうしてもおさえなきゃいけないの一点張り。で、インフラ担当部門に元研究開発部門出身の
マネージャがいたので、そこを通して社長と部門長に掛け合って、メールと土日の一部サイトについては
通信トラフィックの規制を緩和してもらいました。
法務手続きがアウトだと、最悪会社が傾くのでそれを偉いサンに強調して。
組織の不整合はどこでもあるので、別にコネを使って解決しろとか極端な言いませんが、
あとあとのために自分たちの立場をアピールしておくことは、第一手として大事だと思います。
Re:ウチの会社の場合 (スコア:2, おもしろおかしい)
> 将来的に情報漏洩など致命的な問題が発生したら、自分たちの責任になるのは(私なら)避けたいです。
規則を守った結果であっても本来の業務が滞って業績悪化したら、情報漏洩で致命的な問題がおきなく
たってどっか飛ばされます。つまり中間管理層には選択肢はないのです。
それでも一応文句を、ということで、うちのえらい人が調整をお願いしたけど、それぞれの部門はしらんぷり。
最後はIT部門のえらい人が「中国に出張しなければいいでしょう!」と真面目な顔で言ったとか言わないとか。
#自社工場が中国にあるのにそんな阿呆なこというなよ・・
Re:ウチの会社の場合 (スコア:0)
>しらんぷり
ここですな。
しらんぷりを決め込む連中は、関わったときの火の粉を恐れているわけですから、その口をこじ開けるのはなかなか大変でしょうね。相応の反発が予想される。
…でもそういうの乗り越えないと、例えば技術企業としては、どうかと思う。
Re:ウチの会社の場合 (スコア:1)
Re:ウチの会社の場合 (スコア:1)
昔、WPC expoだったかの講演でネットワークストレージ屋さんが同じ事を言ってました。
実務に必要な現状・実体・要求を理解せずにポリシーを押し付けると野良ストレージが増えて結局酷い事になると。
# ストレージをメールに置換すればそのままですね。
## 次はストレージ郵送も禁止されたりして、みなし音声でファイルを送受信することに?
Re:ウチの会社の場合 (スコア:2, 参考になる)
名言だよホント [srad.jp]
Re:ウチの会社の場合 (スコア:1)
>「社外への電子メールでの添付ファイルは全面禁止。
最近はやってるんですかね。今のところ「社外」と何一つ関係しない仕事なので
実害がありません。そもそも本文だけで十分。添付する必要が。。。
#仕事してないわけだ。
>即日施行。社外との情報のやり取りは手渡しまたは書留郵便で行うこと」
こっちはありませんでした。「社外」とどうしろというような指示はなし。
他の部署はどうしてるんだろうなぁ。
Re:ウチの会社の場合 (スコア:0)
みんなで「新ポリシーのためスケジュールに遅延が発生しています」報告をマネージャ経由で上層部に大量送付するとかはしなかったの?
Re:ウチの会社の場合 (スコア:1, 興味深い)
大抵、IT管理部門(間接業務部門)と事業部門の担当のえらい人は別であることと、えらい人同士が摩擦を嫌う(しかも理解できないことだし)ので、「それとこれとは別問題」とあしらわれるのがオチってもんです。
Re:ウチの会社の場合 (スコア:4, 参考になる)
>大抵、IT管理部門(間接業務部門)と事業部門の
>担当のえらい人は別であることと、えらい人同士が
>摩擦を嫌う(しかも理解できないことだし)ので、
>「それとこれとは別問題」とあしらわれるのがオチ
>ってもんです。
まさにその通りの状況です。大きな組織なので、本社が決めた通達を覆すには、5階級くらい上のえらい人に直訴しなきゃいけません(ほぼムリ)。
あと、課長以上くらいの階級になると、いくらルールがおかしいと思ってもなかなか言えないらしい。万が一自分のところで漏洩事故が起きたときに言い訳できなくなるから。たとえその事故が、メールとは無関係のものであっても、「上が決めたことに文句を言うような部署だから、こういうことが起きるんだ」って言われかねないからね。
本社の管理・企画部門がバカだと、いくら現場ががんばってもどうにもならない、ということが身にしみてわかりました。。。。
# いつもはIDだけど、今回はさすがにAC
Re:ウチの会社の場合 (スコア:0)
生産性に影響を及ぼす要因ができて、結果として目標が達成できなかったという事をはっきりさせるだけでもいいんです。
下手に現場が何とかしようとがんばると、上層部はマネージメントを放棄して「現場が何とかするだろう」という意識でしか動かなくなります。
Re:ウチの会社の場合 (スコア:2, 興味深い)
建前だけでも、毎月業務改善提案の提出が義務付けられている所がありましたが、
取締役も持ち回りで目を通すため、極少数の能力のある人の提案が通って、
効率の悪い所は徐々に改善されて行くっていう感じでした。
まあ、9割以上はゴミみたいな提案書でしたが、アイディアや文章力のある人は、
少ないながらも居るようですね。不思議と何とかなるものです。
要するに、業務の効率化に対して、会社をあげて協力する体制ができていれば、
すぐにとは行かないまでも何とか妥協できる範囲に落ち着くものです。
それぞれの部署がコミュニケーションを取らずに、文句だけ言っているような所は、
生産性が悪いですよ。
Re:ウチの会社の場合 (スコア:2, 参考になる)
その要因が発生した時点(認識した時点)で生産性が落ちていくことに手を打たないのであれば、
マネジメントの放棄以外のなにものでもありません。
法を守る、モラルを守るというのはルールができる前から当たり前の話であって、その上に
実行不可能なルールを定めてくるのであれば、クレームを付けた上で無視するしかありません。
他部門である事業部門の業績(成果)を落とさせて管理部門が自分たちの成果だけを求めるよ
うな不合理な要求をしても守られるわけがありません。
もし本当にそこまでやらなきゃいけないのなら、管理部門が自ら中心となってなぜ無視される
かをきちんと分析して、それに対する現実的な対応方針を検討し、事業業績に影響するなら経
営トップと自ら直接協議・調整して、経営トップ層から会社としての業績が落ちるけど実施す
ることの了承をとるべきです。
それができないなら、その必要が無い(あるいは優先順位が下になる)程度のルールでしかな
いということです。
Re:ウチの会社の場合 (スコア:0)
自分や自分のチームが、
そんな猫の首に鈴を付けられるほどの立派なネズミなら、
誰も苦労しないんですよね。
逆にいえば会社に猫、つまり
下とあまりにも実力の違いすぎる強力な人やサブ組織が有る
ってのが本来不味いのですが、
言って判るなら今こんなガチガチな組織にはなってなかったでしょうね。
なにせ実際には階層化(上下明確化)すればいいと思ってる連中がうじゃうじゃ居るのですから。
つ [組織病]
Re:ウチの会社の場合 (スコア:0)
> 生産性に影響を及ぼす要因ができて、結果として目標が達成できなかったという
> 事をはっきりさせるだけでもいいんです。
大企業と呼ばれる会社には、「社内[クズ]官僚」としか表現のしようのない部署・人員が巣食っているのです。
彼らには、自社の利益が、どこからどうやって捻出されているかなどまったく考慮しません。
人事制度や給与制度の改定権限を握ってますし、
企業そのものがデカイのでよほどのことが無い限り、トータルの利益は確保されます。
ITポリシーのような成果を数値化できない項目は、彼らにとって恰好の餌です。
Re:ウチの会社の場合 (スコア:0)
監視されてるからということで、Gmailとかのフリーメール使いわけて
仕事やら個人的な話やらのやり取りしてたなあ・・・・
Re:ウチの会社の場合 (スコア:0)
まあ、今時のデカいファイルが送れるスピードは出ないけど。