パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

「データ持ち帰ってません」がホントかどうかを調査」記事へのコメント

  • なんか否定的なコメントがやけに多いですな。そういう調査をやられたら困る人が多いのかな。 私には、情報漏洩対策として、しごく真っ当なソフトに見えるけど。

    基本的には、ウィルス/スパイウェアのスキャンソフトと似たようなもので、検索対象が組織特有のデータ、って感じのソフトでしょうか。ウィルス対策ソフトを使ってないのを非常識などと言う人が多いのに、情報漏洩対策ソフトだとなんでそうならないのでしょうね。:-P

    それと、タレコミ文の「発見された場合は強制的に会社が設置したファイル回収サーバにWebDAV経由でアップロードされ、ローカルのPCからは復元できない形で削除してしまうという。」に反応してるようだけどが、製品の説明を見ると、設定でそういう動作も可能って話だけです。証拠保全目的もあるのですから、標準動作は検知と操作による選択でしょう。この辺もデザインは真っ当なものです。なんか、釣られてない?

    --
    • by Anonymous Coward
      なんか否定的なコメントがやけに多いですな。そういう調査をやられたら困る人が多いのかな。私には、情報漏洩対策として、しごく真っ当なソフトに見えるけど。


      自分(会社)で買ったものでもないのに、その中を検索しても良いのか?という問題です。

      アナログに置き換えれば、

      1.会社の書類があるかもしれないからと、(会社の情報があるかもしれないから)
      2.会社とはまったく関係ない自宅の下着などが入っているタンスを(個人の情報の入っている、所有権のまったくないPCを)
      3.機械が該当しそうなものを自動的にあさり、(ソフトが怪しそうなものを検索)
      4.該当すれば会社に送りつける。(WebDAVサーバに転送し、現物を削除)
      5.違うと主張するなら他人立会いの下、確認。たとえそれが下着であろうと。(ファイルを確認)

      これでも適切なソリューションといえる?
      • 例えが不適切と思うだけで、ソリューションは適切と思いますよ。

        言い替えればこれは、組織の情報管理ポリシーに反して持ち出した(持ち出してしまった)情報を発見するためのソリューションです。ポリシー違反を意図していない利用者が、誤って持ち出してしまった情報を発見する手段でしょう。

        運用形態から考えれば、これは悪意あるユーザに対しては無力であり、不注意や不案内な利用者のための漏洩対策です。意図せず情報漏洩しかねない環境になってないか、情報の持ち出しを行ってないか、を確認できる手段を提供するのが狙いでしょう。

        まあ、仕組みを悪用しようと思えば悪さできるのも確かだが、それをもってメリットを全否定するのはどうかと思うな。

        --
        • だから、
          「持ち出された情報を回収する」

          このコンセプトは正しい。

          問題は実装。

          「キーワード検索」である事、ネット経由での送信であること。
          が問題なの。

          あなたが正しいといってるのは「コンセプト」
          他の人が屑だといってるのは「実装」

          いい加減気づきなさい。

          誤検出しないのならば、それなりにいいソフトになりうる。
          だが「キーワード検索」では誤検出率のほうが高い。

          情報発見のみならログ出力のみでいい。発見したファイルをムーブする必要はない。

          問題は「個人の関係ないファイルが勝手に根こ
          • 開発元の説明に目を通してます?

            発見物を削除するしない、サーバーに送信するしない、などは組織側で決めるポリシーですよ。「キーワードを見つけたらサーバに送信して削除する」と言うのがソフトの実装ではありません。だから、タレコミ文によるミスリードだ、と書いたんですけどね。

            まあ、「キーワードを見つけたらサーバに送信して削除する」というポリシーも設定可能でしょうが、それでは相応の運用体制が用意ないと利用者の同意が得られない(実行してもらえない)と言うだけの話でしょう。

            --
            親コメント
            • だから、企業側が勝手にそういう設定にできることが問題。 同意を得られない設定自体が無意味。 個人のファイルを扱うポリシーを会社が決めるべきではない。 そこが元々設計上の大間違い。 企業がそういう設定して渡した場合に社員は本当に拒否できますかね。 まず、法的に問題のある設定作ってどうするよ。 社員側で設定選べるならまだ法的にクリアーできる可能性も残るが、 会社で問答無用の設定した時点で法律的に、アウト。パワハラ、個人情報でもアウト。 そんな設定する会社からは社員全員逃げ出すでしょけど。 #検索ログについては何も書いてないんで、送信機能無効化したら実行自体無意味なんじゃない?結果はどうやって収集するのかね。 #検索ログだけ収集すればいいというのは私も何度も書いてる。
              親コメント
            • 運用体制なんて整える必要ないでしょ。
              なんでそんなコストのかかる事する必要あるの?

              「同意しない奴は首」って言えば実行させることが出来るのに。
              この一言言うのにコストなんて 0 でしょ。

              #確かにソフトには罪はない。罪があるのは採用する会社。
              --
              TomOne
              親コメント
            • 発見物を削除するしない、サーバーに送信するしない、などは組織側で決めるポリシーですよ。
              ミスリードでもなんでもなく、ポリシーを設定するのは企業側にあるという事実と、 同意が得られなければポリシーを設定できないという仕様ではない。
              要約すると、企業の設定次第で送信も削除も可能である。(悪意を持って考えれば) 送信して削除を行わないことにより、事実を隠蔽することも可能だ。 それらの設定には同意は必要ではない。(ソフトウェア仕様上)

              ってことですかね。

              体制が整わないとできないでしょうね?って、どんな体制なんでしょうか。 どんな体制が整えばプライバシー侵害が許容されるんでしょうか。
            • > まあ、「キーワードを見つけたらサーバに送信して削除する」というポリシーも設定可能でしょうが、それでは相応の運用体制が用意ないと利用者の同意が得られない(実行してもらえない)と言うだけの話でしょう。

              まあ、会社側がどんな理由を付けても、従業員側に拒否の自由があるのなら、それで良いです。
              この製品が素晴らしいと思う人たちだけで、勝手にやっててください。

              「これこれこういう真っ当な運用方針だから、必ず実行しろ」というのはアウト。
              • 別にアウトじゃないだろ。
                それを拒否する自由はあるぞ。

                なんのカウンターもなしにあんたが拒否したければ、
                その理由を会社側に納得させる義務があんたにあるがな。
                それすらしないのは、しないヤツの人生がアウトになるかもしれないね。
              • その理由を会社側に納得させる義務
                会社側を納得させる義務を果たせば、個人持ちPCを検閲されない権利を得るわけですね。
                義務とか権利とか言う言葉を使うならその言葉の対応する意味を考えては?

                個人のPCを検閲する権利は会社にあるのかな。
                特に契約を結んでれば別でしょうけど。
              • 文盲か?
                >>なんのカウンターもなしにあんたが拒否したければ
              • その前に会社がなんの理由もなしにプライバシー侵害していい根拠を出してください。

                誤検出されるファイルを会社に持っていかれるのはプライバシー侵害になるのでアウト。

                と先に根拠は出されてるはずですが?
              • 理由もなしに侵害していい?
                会社「お願い」→あなた「受諾or拒否」だろ。

                根拠も糞も、あんたらが自分達に都合のいい状況だけを設定している
                プロ市民状態になってることに、いい加減気付けよ。
              • 親コメントは

                > なんのカウンターもなしにあんたが拒否したければ、
                > その理由を会社側に納得させる義務があんたにあるがな。
                > それすらしないのは、しないヤツの人生がアウトになるかもしれないね。

                これに対する反論でしょう?
                # 「なんのカウンターもなしに」というのは、私には意味が良くわかりませんが

                会社の「お願い」に対して、単純に二言返事で「受諾or拒否」ができるのなら、それで問題有りません。
                「拒否」するためにいちいち会社を納得させる義務が有るなどと言うから、それは違うという話になる。
              • そのカウンター自体が"個人的人権のプライバシー尊重である”

                って話なんだが。
              • 別ACだが「会社を納得させる義務」という言葉を言い換えると「拒否の正当性」になると思う。業務命令を拒否したときに法的裏付けのある理由がなければ、会社にどう処遇されようとそれは正当なものになる可能性が高い。

                ここで騒いで批判派が多いからといって現実社会でも通用するわけではない。もっと確実に身を守る方法を話し合った方が良いんじゃないか。

                #処遇が正当でないからといって争っても
                #裁判に10年以上かかったりして
                #割に合わなかったりするけどな。
              • 業務命令を拒否したとき、会社側から下される処分が「個人的人権のプライバシー尊重である」?

                文盲じゃないよね?
              • >別ACだが「会社を納得させる義務」という言葉を言い換えると「拒否の正当性」になると思う。業務命令を拒否したときに法的裏付けのある理由がなければ、会社にどう処遇されようとそれは正当なものになる可能性が高い。

                もはや“上官が死ねと言ったら死ね”の世界ですね・・・
                このコメント [srad.jp]のような理由を述べれば納得してくださるのですか。
              • 上の別ACと同じACだが。

                > このコメント [slashdot.jp]のような理由を述べれば納得してくださるのですか。

                そういうこと。おまえの上司でもないACを納得させてもしかたないが。

                その場に立たされたときは、従うか、辞めるか、上を納得させてこちらの意見を通すか、のいずれかしか取れる行動はない。こんな所で素人同士で喧嘩してもあまり役には立たないだろう。危機意識を持っている人同士で一緒に勉強して備えるのが賢明と思う。

                ここはもう深くなってしまったし見ている人も少ないようだから、別の所で対抗法を話しあったらどうかな。しばらくはそのリンク先でもいいだろう。

                #引用された部分の後の文で
                #敵ではないとわかるはずなのに
                #どうして噛みつかれるのだろう。
              • 元々が「会社に関係ない個人的ファイルなメールまで全てを提出しろ」って話ですから。
                会社に「個人のプライバシーまで検閲することを業務命令とする」権限はありませんが。

                拒否する理由として「プライバシーの侵害である」は正当な理由。

                文盲はあなた。
            • サーバーに送信して手元のファイルは削除するってのがキモのソリューションに対して「サーバに送信せずに、削除もしないように設定できるから優れたソリューションだ」ってのはちょっと酷いかな。
              キーワードで検出したいだけなら、GoogleDesktopとかでいいじゃん(あれはあれで問題視する人もいるけど)。

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

処理中...