パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

「データ持ち帰ってません」がホントかどうかを調査」記事へのコメント

  • なんか否定的なコメントがやけに多いですな。そういう調査をやられたら困る人が多いのかな。 私には、情報漏洩対策として、しごく真っ当なソフトに見えるけど。

    基本的には、ウィルス/スパイウェアのスキャンソフトと似たようなもので、検索対象が組織特有のデータ、って感じのソフトでしょうか。ウィルス対策ソフトを使ってないのを非常識などと言う人が多いのに、情報漏洩対策ソフトだとなんでそうならないのでしょうね。:-P

    それと、タレコミ文の「発見された場合は強制的に会社が設置したファイル回収サーバにWebDAV経由でアップロードされ、ローカルのPCからは復元できない形で削除してしまうという。」に反応してるようだけどが、製品の説明を見ると、設定でそういう動作も可能って話だけです。証拠保全目的もあるのですから、標準動作は検知と操作による選択でしょう。この辺もデザインは真っ当なものです。なんか、釣られてない?

    --
    • しごく真っ当に見えるのだとしたら知識と想像力が欠如しすぎ。

      ウィルス/スパイウェア対策ソフトが検体も用いずに単純なキーワード検索だけで、単純削除してると思ってるのですかね。

      法的な問題があるのは他のひとが散々指摘してますが、そうした問題があるんじゃないかという仮定すら思いつかなかった?

      情報漏えいがおきるソフトを叩く一方で、情報漏えい対策という名目で会社と無関係なファイルを漏洩させるソフトを真っ当と判断できるのは何故なんでしょうね。:-P
      • 想像力の欠如は、AC さんの方では?

        件のソフトが、単純なキーワード検索だけで単純削除する、と思ってるんですか?
        (それはミスリードだろう、と最初に書いてるのに)

        法的な問題、と言うのも的外れでしょう。組織側に渡されたソフトを使うかどうかは、実行する利用者の問題です。つまり、同意がなければ実行されない理由で、個人情報保護法が問題とするケースには該当しません。

        まあ、やり方によっては他に問題が起こり得るのも判りますが、それはポリシー選定と運用の問題であり、ソフト自体が抱える問題ではありません。

        ちなみに、もし自分が管理者なら次のようなポリシーを採用するかな。 漏洩は嫌だが、個人情報を回収してその保護責務を負いたくもないから。

        • 候補ファイルの検知のみ
        • 検知数や検知したファイルのメタ情報のみサーバに報告
        • 削除するかどうかは、実行者の判断
        --
        親コメント
        • 元記事のリンク先を読むことをお勧めします。ココにも貼りますが。

          http://www.netagent.co.jp/winny_check2.html [netagent.co.jp]

          製品情報に書いてあるとおり、ミスリードではなく、
          単純なキーワード検索です。

          > リストアップされたファイルは強制的に、会社側で設置したファイル回収サーバに アップロードされます。アップロードは暗号化された通信によって行われ、そのファイルをファ イル復元ソフトを使用しても復元できないよう、消去させることも可能です。 (ファイル回収の有無、消去の有無は選択可能です)

          消去の有無、回収の有無の選択側は企業です。
          >削除する、しないをあらかじめ設定できます。 該当ファイルを手動で選択して削除することが可能です。

          ソフトの実装そのものが抱える根本的な問題です。

          ネット経由で送信してるのも情報漏洩を助長する設計上、実装上の問題。
          親コメント
          • リンク先は見てから書いてますよ。ご心配なく。

            単純にキーワードを見つけたら送信削除するのが、そのソフトの実装ならおっしゃる通りでしょう。しかし、そういう選択をするかどうかはポリシーの問題です。あたかも、そういうポリシーに固定したソフトのように印象付けているのがミスリードだと言っているのです。

            まあ、まずは保全を第一に考えるなら、キーワードを見つけたら送信削除する、という厳しいポリシーを採用する場合もあるでしょう。それでも (誤検知などのリスクを勘案し) 同意の上で行われるなら何も問題はないと思います。

            ネット経由で送信するからダメ、というのもどうかな。サーバ - クライアントを相互に認証する手段はあるし(やってそうな記述があるな)、そもそも信用しないなら送信しない、と言うポリシーも選べる。実装に原理的な問題があるとは思えませんが(セキュリティホールが無いとは言わんけどね)。

            --
            親コメント
            • by oyajismel (32045) on 2007年06月20日 20時01分 (#1177270) 日記
              だから
              >消去の有無、回収の有無の選択側は企業です。

              も問題なんです。

              なんども書いてますよ。

              "個人のファイルを扱うポリシーを決める権限は個人にのみあるのであり、
              企業にあるのではありません。”
              そのポリシーを企業が勝手に決めてしまうソリューションであることも問題。

              企業側でのみポリシーが決められる以上、企業が勝手に個人情報を収集してしまうリスクは不可避です。

              これ自体が設計・概念上で既に問題。
              親コメント
              • 組織が決めたポリシーに同意できないなら、ソフトを実行しない、と言う選択が残されてますよ。それで何か問題でも?

                そういう周辺問題を含め、良くできているソリューションと思います。

                --
                親コメント
              • > "個人のファイルを扱うポリシーを決める権限は個人にのみあるのであり、
                > 企業にあるのではありません。”
                > そのポリシーを企業が勝手に決めてしまうソリューションであることも問題。

                同感です。
                さらに言えば、たとえ消去しない・回収しない設定であったとしても、個人PCでこんな怪しいものを実行させられるのは御免こうむります。

                企業向けに売るのではなく、個人向けに売り出したらどうですかね。
                『自分で知らず知らずのうちに業務ファイルを持ち出してしまっていないか心配な方へ。貴方のPC検査します』というふうに。
                これなら誰の反感も買わないと思いますよ。
              • >そのポリシーを企業が勝手に決めてしまうソリューションであることも問題。

                だから、ぜんぜん問題じゃないといってるだろ。
                ある日、会社がポリシーを決めた瞬間、おまえさんの家のPCから恥ずかしい資料が持ち出されるわけじゃない。
                その瞬間にたどり着くまでに、おまえさんが選択できる道はたくさんある。
                最後まで行くか行かないかはおまえさんの自由だ。

                そもそもだな、おまえさんの個人情報はほいほいと会社に提出してるくせに、
                こういうときだけグダグダというのはどういう了見だ?
                PCだけは特別なのか?
              • >そういう周辺問題を含め、良くできているソリューションと思います。

                コメントがたくさんついて面白いので、
                /.的にはよいソリューションだと思います。:-P
                親コメント
              • > 組織が決めたポリシーに同意できないなら、ソフトを実行しない、と言う選択が残されてますよ。それで何か問題でも?

                おもしれー。この選択肢に問題点が見当たらないと思っている人がいるとは思わなかった・・・。
                このnobuhiroって人は一般的な組織に属していない人間かそれともネットエージェントの社員かなにかですかね。

                こんなツールを実行させようっていう会社に対してならなおさら選択肢はなさそうですがね。
              • /.J読者の場合はそんな怪しいCDを馬鹿正直に実行しないで回避策をとれるから、冷静にコメントできるんだろうけどね。
              • こんなのまじめにやるのは間抜けな会社だけだから辞めても問題ないし、むしろ辞めるきっかけになるということでいいのかな?

                > そもそもだな、おまえさんの個人情報はほいほいと会社に提出してるくせに、
                > こういうときだけグダグダというのはどういう了見だ?
                > PCだけは特別なのか?
                そんなにほいほいと提出します?事務処理上必要な情報くらいしか渡してないけど。
                すくなくとも、自宅のPCを漁らせたようなことはない。
              • 会社に提出するのなんて
                住所と氏名、職歴ぐらいですがね。普通。

                問題ないと思うあなたは、恋人とのメールでも、副業の業務上社外秘でも何でも会社に全部提出してなさい。
                キーワードにさえ引っかかてしまえばそういうものも全部吸い上げられてしまうシステムだって事わかってる??

                親コメント
              • >会社に提出するのなんて
                >住所と氏名、職歴ぐらいですがね。普通。

                なんつーか、自分の個人情報に無自覚っていうのは平和そうでいいよね。
              • >>会社に提出するのなんて
                >>住所と氏名、職歴ぐらいですがね。普通。

                >なんつーか、自分の個人情報に無自覚っていうのは平和そうでいいよね。

                つ、履歴書。
                出したくないけどそれぐらい提出しないと普通に就職できないじゃないかw

                ま、給与明細郵送とかあるし、それぐらいは仕方ないかな。
                自分の勤めてる会社になら。
                親コメント
              • >つ、履歴書。
                >出したくないけどそれぐらい提出しないと普通に就職できないじゃないかw


                その程度だと思ってるとは、脳内お花畑ですねというコメントだったんだが。

                まともな会社なら、あなたの個人情報は性格から性癖までとんでもないレベルで、
                人事情報としてに蓄えられてるぞ、あなたの同意もなく な。
              • >まともな会社なら、あなたの個人情報は性格から性癖までとんでもないレベルで、
                人事情報としてに蓄えられてるぞ

                性格はやるでしょうね。それは観察で。
                性癖までやるのは"まともな会社”じゃないですがw

                親コメント
            • 後、前にもかいたんですが、
              流出させたくないファイル(クローズドネットワークにあるべきファイル)を第3者のサーバーに集めてどうするんですか。
              オープンネットワーク上の。大量流出リスクを高めるだけ。

              >Q.回収したファイルを会社のファイルサーバーに移したいのですが。
              大量の場合はバッチプログラムを作成して転送してください。バッチプログラムのサンプルが必要な方は別途ご連絡ください。

              ってことはオープンネットワーク上にあるということ。

              親コメント

日本発のオープンソースソフトウェアは42件 -- ある官僚

処理中...