パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

「データ持ち帰ってません」がホントかどうかを調査」記事へのコメント

  • なんか否定的なコメントがやけに多いですな。そういう調査をやられたら困る人が多いのかな。 私には、情報漏洩対策として、しごく真っ当なソフトに見えるけど。

    基本的には、ウィルス/スパイウェアのスキャンソフトと似たようなもので、検索対象が組織特有のデータ、って感じのソフトでしょうか。ウィルス対策ソフトを使ってないのを非常識などと言う人が多いのに、情報漏洩対策ソフトだとなんでそうならないのでしょうね。:-P

    それと、タレコミ文の「発見された場合は強制的に会社が設置したファイル回収サーバにWebDAV経由でアップロードされ、ローカルのPCからは復元できない形で削除してしまうという。」に反応してるようだけどが、製品の説明を見ると、設定でそういう動作も可能って話だけです。証拠保全目的もあるのですから、標準動作は検知と操作による選択でしょう。この辺もデザインは真っ当なものです。なんか、釣られてない?

    --
    • 否定的なコメント書いた人は「Winny特別調査員2」の設計が正しいのかと正しく運用されるのかを(意図的に)混同しているだけでしょう。私は日本の多くの企業で正しく運用されないと思うので、「こんなものを出しやがって」という気持ちはわかります。
      • いや、まず設計から間違ってるでしょ、これは。
        • プライバシーの侵害が発生する。個人のデータが消える可能性がある。PCに障害が発生する可能性がある。企業にそこまでする権限が無い etc. をちゃんと説明し、拒否しても何らペナルティを加えない。でもダメなんですか。悪意のある社員は最初から相手にしていないので折り合いのつく設定(すべて拒否することを含め)というのは、各社員であるでしょう。
          #これが出来る会社はほとんどないだろうけど。

          怪しいデータのリストを示し、社員に会社のデータを消させるというあたりが普通の運用だろう。サーバーに転送しファイルを消すなんてのは、PC内の消すべきデータのリストを出されてもどうやって消すのかかわからない社員の為のオプション。こういう社員はけっこう居るよ。でも、このソフトを使う少なくない会社がまっとうな運用をしないと私は思う。
          • だから、まず根本的な基本設計の部分で間違ってるんです。

            要件定義(コンセプト):
            会社から流出した情報ファイルを個人のPC内から特定する。←ここまでOK。
            そのためにはファイルを特定する必要がある。

            基本設計:
            ファイルの中身をキーワードで検索し、キーワードに一致した内容を持つファイルは対象とする<-ここが致命的に×

            キーワード(単語)なんてのは、業務上資料でも、私信でも私文書でも大して変わりません。

            単語が集まって文となり単語単体と違う意味をもって初めて業務上重要な資料となります。


            業務:議事録:N●Tプロジェクト。3次開発、N●T本社にて打ち合わせ。15:00開始
            • >ファイルの中身をキーワードで検索し、キーワードに一致した内容を持つファイルは対象とする<-ここが致命的に×

              何故? キーワードに一致したデータが漏洩したデータと判断してないし、そのデータをどう扱うかは同意の上です。普通の運用なら、個人でそのデータをどうするかを決めるだろうと書いています。また、その「同意」については問題があることは私も書いてます。それは運用の問題では?

              どれほどろくでもない会社に勤務しているかはわかりませんが、民主主義の国家の国民なら自分の権利は戦って自分で守れ。行政の役目はそのサポートです。ろくなサポートは無いどころか足を引っ張るかもしれないけど。
              • >何故? キーワードに一致したデータが漏洩したデータと判断してないし

                ダウト。

                「調査員CD」をセットすると自動的にプログラムが立ち上がり、会社の情報がないかパソコンの中をくまなく探します。メール本文、メールの添付ファイル、オフィスドキュメントのプロパティー情報からファイルの中身まで読み、企業名など会社で設定されたキーワードが含まれるファイルをリストアップします。
                ~中略~
                 リストアップされたファイルは強制的に、会社側で設置したファイル回収サーバに アップロードされます。アップロードは暗号化された通信によって行われ、そのファイルをファ イル復元ソフトを使用しても復元できない

              • 本当にひどい会社に勤めているのですね。まともな会社なら社員は個人のPCでそんなソフトウェアの実行を拒否できるし、それで不利益は受けない。

                だから戦えと書いたのに。
              • なにが言いたいのか判りませんが、
                元コメの

                >>設計から間違ってるでしょ
                に対して、

                プライバシーの侵害が発生する。個人のデータが消える可能性がある。PCに障害が発生する可能性がある。企業にそこまでする権限が無い etc. をちゃんと説明し、拒否しても何らペナルティを加えない。

                でも駄目か
                という問いに対して、
                設計が駄目だから、そこまでしなくてはいけなくなる。
                大体それにすら気づかない企業がまともな運用できるわけ無いとおもいますが。

                そんなプライバシー侵害のリスクに気づく企業なら別

              • 1、サバーにコピーしない
                2、ファイルを消去しない
                3、ユーザーにリストを示して、ユーザーにそのデータを消すかどうかを選択させる

                は出来ると書いてあります。

                レポートの送信についてはちゃんと書いてないのでわかりません。
              • だから、まず、キーワード検索であるための誤検出率の多さが問題なんですが。理由はコメントツリー中に例つきで書いてますので見てください。

                キーワード検索では検出ファイルの大部分が誤検出ファイルになるはずです。
                まったく持ち出したことの無い人からでも検出されます。

                百件リストアップされて、そのうち前30件が全部誤検出だったら、あとのファイル見ますか?

                ウィルススキャンソフトで自分の作った未感染ファイル100件すべて片っ端からウィルスとしてリストアップされて、その中に本物が1件まぎれていたら、本物識別できますか??

                誤検出しかしないような仕様を考えた時点で終わってるんです。
                最初から、やりたいこと(業務ファイルと私文書の分離)に対する
                手段の選択(キーワード検索)に失敗してるんです。

                この手のソフトは誤検出率下げない限り、使い物になりません。

              • >百件リストアップされて、そのうち前30件が全部誤検出だったら、あとのファイル見ますか?

                社保庁の職員じゃあるまいし、見るよ、それが仕事なんだから。

                >その中に本物が1件まぎれていたら、本物識別できますか??

                あなたは会社情報のファイルかそうじゃないかぐらいも見分けつかないほどぼんくらなんですか?

                ミスリードを狙ってるのかどうかわかりませんが、
                ウイルススキャンの話はたとえとして全く成立していませんよ。

                >この手のソフトは誤検出率下げない限り、使い物になりません。

                そういう使い方をするソフトではありませんよ。
                現場レベルでの実用性なんて、二の次というのが最も大事なコンセプトです。
              • 提出をこっちで選択する設定で渡されるのが確実なら、


                >百件リストアップされて、そのうち前30件が全部誤検出だったら、あとのファイル見ますか?

                社保庁の職員じゃあるまいし、見るよ、それが仕事なんだから。


                でもいいですけど。
                自動で削除される設定なんかもあるわけだし、誤検出率下げなければ根こそぎ持ってかれるんですが。


                >その中に本物が1件まぎれていたら、本物識別できますか??
                あなたは会社情報のファイルかそうじゃないかぐらいも見分けつかないほどぼんくらなんですか?


                ファイル名だけじゃ無理ですね。
                議事録なんてのは会社にも、個人のサークル会の議事録もありますし、顧客情報とか住所録なんてのは、
                会社、副業、個人の付き合いとありますし。

                あと、人間の認識率の話もあるんですが。
                10件中1件ならほとんど間違わずに探し出せるでしょう(見落とさない)。
                百件中1件ならわかる判らないより、「見落とすか見落とさないか」の世界です。

                10粒の大豆のうちに1粒小豆が混ざっていたら一瞬で見つけられるでしょう。
                100粒のうち1粒は少し時間がかかるでしょう。
                5KGの大豆に1粒なら見つけるのは困難でしょう。

                色がついてるから小豆は見つけやすいですが、このリスト中に色の違いはありません。

                親コメント

アレゲは一日にしてならず -- アレゲ見習い

処理中...