アカウント名:
パスワード:
違うメールソフトでしたが、知人もフリーで少しマイナーなメールソフトを申請してセキュリティ上の理由で却下されました。既に許可済みのOEと、社内統合ツールのメール機能に追加して、軽快なソフトをと申請したらしいですが却下理由が たしか
サポートが保証されていない(ソフトのベースになっている部分が個人開発だった。)許可すると そのソフトの管理や脆弱情報を情報部が収集する必要がある(既に許可済みのもので用が足りれば、情報部のサポートしやすい。脆弱性等の対策管理)許可は利用者個人に対して行わず、ソフトに対して行うので、社員全員が使う事が可能で、PCによって使い方が違うものを入れたくない(操作ミスによるセキュリティ事故を防ぐ)マニュアルの作成の手間(使い方だけじゃなく会社の基準に合う設定、操作方法の手引を作る事になってる他、脆弱情報がある場合は対応を毎回作り配布)
『砕いて言えば、同じ事ができるものがあるのに、ハイそうですかと認可すると、セキュリティ事故につながる理由も増えるし、対応も大変になる』事に対して『そのソフトを利用するメリット』が少なく 『セキュリティ上のリスクを理由に却下』と言う返答がA4で3枚(図入り)で貰ったそうです
散々ぶつぶつ文句を言っていた彼が 今は情報部セキュリティ対策班に異動し、今では呑むたびに「あんなモノ(ソフト)を導入するから仕事が増えるんだ」と愚痴を言っています
保証って、セキュリティフィックス、ですかねぇ?
プロジェクトが止まってなければThunderbirdも大差ない気もしますが(OutlookじゃなくてOutlook Expressならなおさらw)...利点を簡単に説明するのも難しいですね。
できればFSF [fsf.org]とかで、バグの数、重要度、放置期間、なんかの一覧(できるだけ客観的なの)とかを収集してもらって、かんたんに情報として取れるといいんですがね。
# オープンソースの普及というか、「(フリーでもプロプラでも)より安全で健全に」という方向で頑張るのって難しいね
社内でWSUSとか管理してると、セキュリティフィックスを強制できるだけでMSプロダクトのほうが楽だなと思います。Thunderbirdとか使うのは制限してませんが、ちゃんとアップデートしてる人なんてほとんどいません。啓蒙してないわけじゃないんですがね。
自動アップデートはなにもダイアログ出さずに強制してくれるぐらいじゃないと役に立たないってことです。ユーザーが勝手に入れてるソフトまで面倒見切れないし。
最近のFirefoxは事後報告ですよ。こんなダイアログ [jugem.jp]が出ます。選択肢はいつ再起動するかを決めるだけで、適用しない選択肢はないことに注意してください。Thunderbirdも同様じゃないですか。> 自動アップデートはなにもダイアログ出さずに強制してくれるぐらいじゃないと役に立たないってことです。残念ながらWindows Updateとウイルス対策ソフトの定義ファイル更新とGoogle以外のものがそれやるとスパイウェアだと叩かれるので。
Firefoxは自動更新そのものをoffにされたらそれまでですが、Windows Updateは「ポリシー」の設定により、自動更新を切れないように強制できたはず。(それもドメイン/ユーザーグループ等の単位で)
#1721437です
ええ、だからFirefoxなどではグループポリシーで強制とかができないからダメだってことを書いたんですよ。(ポリシーからレジストリ流し込んでできるかもしれないけど、それは一般的じゃないですよね。)
ああすみません、コメントの親がどこかちゃんと見てませんでした。モデレートで落としておいてください。
事後報告型は自動更新設定になっている場合だけです。アップデート通知のみの場合は起動時にダイアログがでてアップデートを促されますし、通知すらカットする設定にも出来ちゃいます。
ただ、一番怖いのはVistaだとUser権限では手動アップデートすらできないことです。いちいちAdministrator権限で入ってアップデートしなきゃならないので、企業ではもはや選択肢にすら上らないレベルですね…。
#いや、FirefoxやThunderBirdが悪いわけじゃないんだけど…。
むしろOEの方がNGって会社もあるご時世でOE推奨ってセキュリティーにあまい会社?(OEのhtmlメール表示にはIEの機能を使っているからIEのセキュリティーホールがOEのセキュリティーホールにもなるなど)
>利点を工数で算出しろ。むしろOEのデメリットをあげていった方がいい気がする。
http://www.ietf.org/rfc/rfc1468.txt [ietf.org]も It does not specify an Internet standard.
だしね。ISO-2022-JPだと絵文字おくれないんだよなあ。。
むしろ、ISO-2022-JPで表現できない文字に出会うと、ISO-2022-JP2で送ろうとする某メーラをなんとかしてほしかったり。そんな時は大人しくUTF-8で送ろうとしないのは…宗教上の理由なのかなぁ。
昔はRFC1468を盾に取った日本のガラパゴスメーラーがUTF-8なんかに対応しているはずもなく、そんなメールこそspam扱いだったのに時代も変わったもんだ。ところで「某メーラー」では読み手が情報を共有できなくて役に立たないので、できればちゃんとメーラーの名前を明らかにしていただきたいところです。
開発ならともかく、利用に関しては企業ポリシーの範疇ですので思う存分に社内で戦って頂ければいいんじゃないでしょうか。読んだ限りでは別にThunderbirdでなくてもShurikenだろうとBecky!だろうととりあえずOEでなければ別に何でもよくね?という意味でOSSと管理ポリシーの間に対立軸が何も無いような気がしますけど、偉い人に手をまわすのは悪い方法じゃないですよね。
#顧客の要求書類としてサプライヤー認定書類とか納入仕様書とかにGPL汚染防止に関する文言を見かけると結構な重要性で気にしてるんだなと思いますね。うちの製品では原理的にGPL汚染とか起きないのは先方もわかって送ってると思うんですけど、文書の使い回しにはほっこりきます。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
保証してくれる? (スコア:3, 興味深い)
曰く「OEが入っているのだからそれを使え。何かあったらマイクロソフトが保証してくれる。どうしても導入したければ利点を工数で算出しろ。」
OSSに対して何か怪しげな感情を持っておられるようです。MSが保証してくれたなんて話聞いたことないぞ…。
何より社内であなたはセキュリティ担当に任命されていて、(全く関係ない話でも)ことあるごとにセキュリティセキュリティ言ってるんじゃないか。
悩みましたが親交のあるさらに上役のある程度こちら方面に明るい方から申請してもらったらすんなり通り、OEは捨てることができました。
Re:保証してくれる? (スコア:3, 興味深い)
違うメールソフトでしたが、知人もフリーで少しマイナーなメールソフトを申請してセキュリティ上の理由で却下されました。
既に許可済みのOEと、社内統合ツールのメール機能に追加して、軽快なソフトをと申請したらしいですが
却下理由が たしか
サポートが保証されていない(ソフトのベースになっている部分が個人開発だった。)
許可すると そのソフトの管理や脆弱情報を情報部が収集する必要がある(既に許可済みのもので用が足りれば、情報部のサポートしやすい。脆弱性等の対策管理)
許可は利用者個人に対して行わず、ソフトに対して行うので、社員全員が使う事が可能で、PCによって使い方が違うものを入れたくない(操作ミスによるセキュリティ事故を防ぐ)
マニュアルの作成の手間(使い方だけじゃなく会社の基準に合う設定、操作方法の手引を作る事になってる他、脆弱情報がある場合は対応を毎回作り配布)
『砕いて言えば、同じ事ができるものがあるのに、ハイそうですかと認可すると、セキュリティ事故につながる理由も増えるし、対応も大変になる』
事に対して
『そのソフトを利用するメリット』
が少なく 『セキュリティ上のリスクを理由に却下』と言う返答がA4で3枚(図入り)で貰ったそうです
散々ぶつぶつ文句を言っていた彼が 今は情報部セキュリティ対策班に異動し、今では呑むたびに
「あんなモノ(ソフト)を導入するから仕事が増えるんだ」と愚痴を言っています
[注意]コメント主は大変叩かれ弱い性質です。優しく接してあげて下さい
~おもしろおかしい以外に興味はありません~
Re:保証してくれる? (スコア:1)
保証って、セキュリティフィックス、ですかねぇ?
プロジェクトが止まってなければThunderbirdも大差ない気もしますが(OutlookじゃなくてOutlook Expressならなおさらw)...
利点を簡単に説明するのも難しいですね。
できればFSF [fsf.org]とかで、バグの数、重要度、放置期間、なんかの一覧(できるだけ客観的なの)とかを収集してもらって、かんたんに情報として取れるといいんですがね。
# オープンソースの普及というか、「(フリーでもプロプラでも)より安全で健全に」という方向で頑張るのって難しいね
M-FalconSky (暑いか寒い)
Re:保証してくれる? (スコア:1, 興味深い)
社内でWSUSとか管理してると、セキュリティフィックスを強制できるだけでMSプロダクトのほうが楽だなと思います。
Thunderbirdとか使うのは制限してませんが、ちゃんとアップデートしてる人なんてほとんどいません。啓蒙してないわけじゃないんですがね。
自動アップデートはなにもダイアログ出さずに強制してくれるぐらいじゃないと役に立たないってことです。
ユーザーが勝手に入れてるソフトまで面倒見切れないし。
Re: (スコア:0)
最近のFirefoxは事後報告ですよ。こんなダイアログ [jugem.jp]が出ます。選択肢はいつ再起動するかを決めるだけで、適用しない選択肢はないことに注意してください。Thunderbirdも同様じゃないですか。
> 自動アップデートはなにもダイアログ出さずに強制してくれるぐらいじゃないと役に立たないってことです。
残念ながらWindows Updateとウイルス対策ソフトの定義ファイル更新とGoogle以外のものがそれやるとスパイウェアだと叩かれるので。
Re:保証してくれる? (スコア:1)
Firefoxは自動更新そのものをoffにされたらそれまでですが、Windows Updateは「ポリシー」の設定により、自動更新を切れないように強制できたはず。(それもドメイン/ユーザーグループ等の単位で)
Re: (スコア:0)
#1721437です
ええ、だからFirefoxなどではグループポリシーで強制とかができないからダメだってことを書いたんですよ。
(ポリシーからレジストリ流し込んでできるかもしれないけど、それは一般的じゃないですよね。)
Re: (スコア:0)
ああすみません、コメントの親がどこかちゃんと見てませんでした。
モデレートで落としておいてください。
Re:保証してくれる? (スコア:1)
事後報告型は自動更新設定になっている場合だけです。
アップデート通知のみの場合は起動時にダイアログがでてアップデートを促されますし、
通知すらカットする設定にも出来ちゃいます。
ただ、一番怖いのはVistaだとUser権限では手動アップデートすらできないことです。
いちいちAdministrator権限で入ってアップデートしなきゃならないので、
企業ではもはや選択肢にすら上らないレベルですね…。
#いや、FirefoxやThunderBirdが悪いわけじゃないんだけど…。
Re: (スコア:0)
むしろOEの方がNGって会社もあるご時世でOE推奨ってセキュリティーにあまい会社?
(OEのhtmlメール表示にはIEの機能を使っているからIEのセキュリティーホールがOEのセキュリティーホールにもなるなど)
>利点を工数で算出しろ。
むしろOEのデメリットをあげていった方がいい気がする。
OEのデメリット (スコア:1, 参考になる)
・添付ファイルの分割メール非対応。
・標準で電子メールで規定されているJIS以外の漢字コードで送るようになっていて、相手に文字化けメールを贈ることになる。
・実行形式の添付ファイルを保存することもできない
・メールサイズが大きいメールを受信するときにタイムアウトを起こす
・メールサーバに大量のメールがあるとタイムアウトを起こす
・ウイルスのターゲット
・Windows7にはついていない。
・大量のメールを貯めこむとデータが壊れたり不具合が出る
Re:OEのデメリット (スコア:2, 参考になる)
「JIS」というのが具体的にどのエンコーディングを指しているのかわかりませんが(ISO-2022-JP?)、
電子メールの「漢字コード」に標準はありません。
Content-Typeヘッダで指定したエンコーディングが使用されます。
「JISが電子メールの漢字コードの標準である」というのは嘘です。標準ではなく過去の慣例です。
Re:OEのデメリット (スコア:1, 参考になる)
http://www.ietf.org/rfc/rfc1468.txt [ietf.org]
も
It does not specify an Internet standard.
だしね。ISO-2022-JPだと絵文字おくれないんだよなあ。。
Re:OEのデメリット (スコア:1)
むしろ、ISO-2022-JPで表現できない文字に出会うと、ISO-2022-JP2で送ろうとする某メーラをなんとかしてほしかったり。
そんな時は大人しくUTF-8で送ろうとしないのは…宗教上の理由なのかなぁ。
Re: (スコア:0)
昔はRFC1468を盾に取った日本のガラパゴスメーラーがUTF-8なんかに対応しているはずもなく、そんなメールこそspam扱いだったのに時代も変わったもんだ。
ところで「某メーラー」では読み手が情報を共有できなくて役に立たないので、できればちゃんとメーラーの名前を明らかにしていただきたいところです。
Re:OEのデメリット (スコア:1)
Re: (スコア:0)
も何のことか分からないので名称をお願いします。
Re:OEのデメリット (スコア:2, 参考になる)
> ・メールサーバに大量のメールがあるとタイムアウトを起こす
一応デフォルトの待機時間1分てのを変更して5分にしておけば
そこまでは待ちますね。
> ・大量のメールを貯めこむとデータが壊れたり不具合が出る
受信トレイとかの、OE中の一つのフォルダが1ファイルになってて、これが2GB超えると
OEが読めなくなっちゃうんだよね。だから、ある程度たまったらフォルダを分けて
メールを移動しないといけない。復旧用のフリーソフトとかあるけど
それにしても古くて遅いPCで復旧作業とかなると、半日つぶれてしまいますね。
OEでやっかいなのは、時々受信できないメールが出ることかな。
経験上、楽天のメールで多いけど、他のソフトだと普通に受信できるのに
OEだとそこで受信が止まってしまう。
Re: (スコア:0)
今どきはOutlookExpressではなく、Windows Live メールですよね。
もしくはOutlook2007。
なお、OE系のメールソフトはセキュリティに甘くありません。
昔に出た脆弱性をいつまでも今のバージョンでも同じなように歪んで
考えている人ですか?
> (OEのhtmlメール表示にはIEの機能を使っているからIEのセキュリティーホールが
> OEのセキュリティーホールにもなるなど)
Thnderbirdなんてのもそうですね。
しかも、ThunderbirdはFirefoxをアップデートしても直らなかったりすするし、
Firefoxの修正よりも何日
Re: (スコア:0)
開発ならともかく、利用に関しては企業ポリシーの範疇ですので思う存分に社内で戦って頂ければいいんじゃないでしょうか。
読んだ限りでは別にThunderbirdでなくてもShurikenだろうとBecky!だろうととりあえずOEでなければ別に何でもよくね?という意味でOSSと管理ポリシーの間に対立軸が何も無いような気がしますけど、偉い人に手をまわすのは悪い方法じゃないですよね。
#顧客の要求書類としてサプライヤー認定書類とか納入仕様書とかにGPL汚染防止に関する文言を見かけると結構な重要性で気にしてるんだなと思いますね。うちの製品では原理的にGPL汚染とか起きないのは先方もわかって送ってると思うんですけど、文書の使い回しにはほっこりきます。
Re: (スコア:0)
Re: (スコア:0)