アカウント名:
パスワード:
基本的には、ウィルス/スパイウェアのスキャンソフトと似たようなもので、検索対象が組織特有のデータ、って感じのソフトでしょうか。ウィルス対策ソフトを使ってないのを非常識などと言う人が多いのに、情報漏洩対策ソフトだとなんでそうならないのでしょうね。:-P
それと、タレコミ文の「発見された場合は強制的に会社が設置したファイル回収サーバにWebDAV経由でアップロードされ、ローカルのPCからは復元できない形で削除してしまうという。」に反応してるようだけどが、製品の説明を見ると、設定でそういう動作も可能って話だけです。証拠保全目的もあるのですから、標準動作は検知と操作による選択でしょう。この辺もデザインは真っ当なものです。なんか、釣られてない?
「調査員CD」をセットすると自動的にプログラムが立ち上がり、会社の情報がないかパソコンの中をくまなく探します。メール本文、メールの添付ファイル、オフィスドキュメントのプロパティー情報からファイルの中身まで読み、企業名など会社で設定されたキーワードが含まれるファイルをリストアップします。~中略~ リストアップされたファイルは強制的に、会社側で設置したファイル回収サーバに アップロードされます。アップロードは暗号化された通信によって行われ、そのファイルをファ イル復元ソフトを使用しても復元できない
プライバシーの侵害が発生する。個人のデータが消える可能性がある。PCに障害が発生する可能性がある。企業にそこまでする権限が無い etc. をちゃんと説明し、拒否しても何らペナルティを加えない。
でも駄目かという問いに対して、 設計が駄目だから、そこまでしなくてはいけなくなる。 大体それにすら気づかない企業がまともな運用できるわけ無いとおもいますが。 そんなプライバシー侵害のリスクに気づく企業なら別
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stableって古いって意味だっけ? -- Debian初級
そんなに酷いソリューションか? (スコア:2, おもしろおかしい)
基本的には、ウィルス/スパイウェアのスキャンソフトと似たようなもので、検索対象が組織特有のデータ、って感じのソフトでしょうか。ウィルス対策ソフトを使ってないのを非常識などと言う人が多いのに、情報漏洩対策ソフトだとなんでそうならないのでしょうね。:-P
それと、タレコミ文の「発見された場合は強制的に会社が設置したファイル回収サーバにWebDAV経由でアップロードされ、ローカルのPCからは復元できない形で削除してしまうという。」に反応してるようだけどが、製品の説明を見ると、設定でそういう動作も可能って話だけです。証拠保全目的もあるのですから、標準動作は検知と操作による選択でしょう。この辺もデザインは真っ当なものです。なんか、釣られてない?
の
Re:そんなに酷いソリューションか? (スコア:0)
Re:そんなに酷いソリューションか? (スコア:0)
Re:そんなに酷いソリューションか? (スコア:0)
#これが出来る会社はほとんどないだろうけど。
怪しいデータのリストを示し、社員に会社のデータを消させるというあたりが普通の運用だろう。サーバーに転送しファイルを消すなんてのは、PC内の消すべきデータのリストを出されてもどうやって消すのかかわからない社員の為のオプション。こういう社員はけっこう居るよ。でも、このソフトを使う少なくない会社がまっとうな運用をしないと私は思う。
Re:そんなに酷いソリューションか? (スコア:1)
要件定義(コンセプト):
会社から流出した情報ファイルを個人のPC内から特定する。←ここまでOK。
そのためにはファイルを特定する必要がある。
基本設計:
ファイルの中身をキーワードで検索し、キーワードに一致した内容を持つファイルは対象とする<-ここが致命的に×
キーワード(単語)なんてのは、業務上資料でも、私信でも私文書でも大して変わりません。
単語が集まって文となり単語単体と違う意味をもって初めて業務上重要な資料となります。
例
業務:議事録:N●Tプロジェクト。3次開発、N●T本社にて打ち合わせ。15:00開始
待
Re:そんなに酷いソリューションか? (スコア:0)
何故? キーワードに一致したデータが漏洩したデータと判断してないし、そのデータをどう扱うかは同意の上です。普通の運用なら、個人でそのデータをどうするかを決めるだろうと書いています。また、その「同意」については問題があることは私も書いてます。それは運用の問題では?
どれほどろくでもない会社に勤務しているかはわかりませんが、民主主義の国家の国民なら自分の権利は戦って自分で守れ。行政の役目はそのサポートです。ろくなサポートは無いどころか足を引っ張るかもしれないけど。
Re:そんなに酷いソリューションか? (スコア:1)
ダウト。
Re:そんなに酷いソリューションか? (スコア:0)
だから戦えと書いたのに。
Re:そんなに酷いソリューションか? (スコア:1)
元コメの
>>設計から間違ってるでしょ
に対して、
でも駄目か
という問いに対して、
設計が駄目だから、そこまでしなくてはいけなくなる。
大体それにすら気づかない企業がまともな運用できるわけ無いとおもいますが。
そんなプライバシー侵害のリスクに気づく企業なら別
Re:そんなに酷いソリューションか? (スコア:0)
2、ファイルを消去しない
3、ユーザーにリストを示して、ユーザーにそのデータを消すかどうかを選択させる
は出来ると書いてあります。
レポートの送信についてはちゃんと書いてないのでわかりません。
Re:そんなに酷いソリューションか? (スコア:1)
キーワード検索では検出ファイルの大部分が誤検出ファイルになるはずです。
まったく持ち出したことの無い人からでも検出されます。
百件リストアップされて、そのうち前30件が全部誤検出だったら、あとのファイル見ますか?
ウィルススキャンソフトで自分の作った未感染ファイル100件すべて片っ端からウィルスとしてリストアップされて、その中に本物が1件まぎれていたら、本物識別できますか??
誤検出しかしないような仕様を考えた時点で終わってるんです。
最初から、やりたいこと(業務ファイルと私文書の分離)に対する
手段の選択(キーワード検索)に失敗してるんです。
この手のソフトは誤検出率下げない限り、使い物になりません。
Re:そんなに酷いソリューションか? (スコア:0)
Re:そんなに酷いソリューションか? (スコア:1)
例えばJ隊の武器情報とかこの前漏れたイージス艦(だったか?)の設計とかなら、通常使われないキーワードがあるんで、可能だと思います。
このソフトでも問題ないかも。ファイル転送使わなければ。
捜査資料とかも隠語があるんで可能でしょう。
だが、例に出てる会社名や顧客名なんてのは個人のファイルと必ずぶつかるんでキーワード検索はアウトです。
鈴木さん、鈴木商事、佐藤さんなんて会社のDBにも個人の住所録にもどれだけあります??
Re:そんなに酷いソリューションか? (スコア:0)
Re:そんなに酷いソリューションか? (スコア:1)
このソフトはそういう動きすると思いますが?
>キーワードが含まれるファイルをリストアップします。
複数単語のAND検索で検索語設定により、誤検出率は落とせるでしょうが、同時に本来対象としたいデータの検索漏れも多くなります。
AND 1語含まれてなかったらはねられる(業務でも私信でも)
OR 1語でも含まれてたら対象(業務でも私信でも)
それ以上でもそれ以下でもないですが。
(業務に特化した(文)としての意味をミスせずにキーワードのみから生成、マッチングできる方法が
Re:そんなに酷いソリューションか? (スコア:0)
#昔の COBOL プログラマーと話をしているような気がする。
キーワードに重み付けをすることも、ファイル内で一致するキーワードの数や密度、キーワードの連鎖による補正など、いくらでも付帯情報を付けることが出来るだろう。もちろん、実際のプログラムがどうなっているかはわかりません。私は単純なAND/OR検索しか出来ないのでは実用にならないし、いまどきそんなことをあり得ないと思っているだけです。
あなたの言うように単純な検索で誤検出が多かったら、サーバーに移動した場合、ファイルを返せと言われたときそれをチェックするコストはどうするんだよ。社内でも特定の部署の契約を結んだ人の以外は知ってはいけない機密情報もあるだろうしプライベートな情報を含んでいるだろうから社員に自分で判断させるよりずっと高いよ。
>ミスせずに
この手の話では完全なことはあり得ないくリスクを減らすことが目的なんです。「ミスせずに」なんて発想が出てくることが異常です。
Re:そんなに酷いソリューションか? (スコア:2, 興味深い)
で、ファイル中に存在する”キーワードの数”でもやはり、業務文書と私文書分離できると思えませんが1つ入っている業務文書は対象外で、二つ入っている私文書は対象ですか??
密度も同じ、自分の私文書と業務文書比べればわかると思いますよ。
業務文書だろうと、私文書だろうと、同じキーワードが必ず近くに出てくる、出てこないなんてきまりはないです。
キーワードの連鎖による補正(これって実際はand検索と大して差がないんですが)
これも同じ、業務文書なら、この順番、私文書ならこの順番なんて差はありません。
>この手の話では完全なことはあり得ないくリスクを減らすことが目的なんです
だからキーワードなんかでは、どういう手法とろうが誤検出が高すぎてリスクが高すぎるって話なんですが。
Re:そんなに酷いソリューションか? (スコア:0)
ちょっと安易な例だったかもしれないけど、まともな例は状況依存になるし。
>だからキーワードなんかでは、どういう手法とろうが誤検出が高すぎてリスクが高すぎるって話なんですが。
そのリスクって誰にとっての? 社員?会社?それともネットエージェント?
誤検出が多ければ会社にとってリスク(コスト)が高いので、よほどアレな会社以外は使わないだろう。
#実はネットエージェントのことを心配してるのか?
Re:そんなに酷いソリューションか? (スコア:1)
誤検出が多ければ社員にとっては個人情報を会社に駄々漏れにするリスクがある。
会社にとっては、誤検出が多ければ、プライバシー侵害と訴訟リスクをおう。
また、誤検出が多ければ実際の業務ファイルの特定も困難になりますから、認識もれのリスクがある。
#ネットエージェントも心配してますよ。公開サーバーへの蓄積とかよくココまでセキュリティの基本無視した
#製品作れるものだと。頭ダイジョウブかって。