アカウント名:
パスワード:
職務の内容を気軽にtwitterに書いてしまう本人と派遣元に引く。
私も同業(?)のセキュリティ調査関連の仕事をしていますが、システム停止以前に業務内容をtwitterに流すなんて信じがたい行為です。
これは停止しないとまずくないか!?というような脆弱性、バグも多数目にしますが止めるどころか関係者以外に語ることすらできないものなんですが。
あくまでもこのケースに限ってですが、
誤:サーバーを連絡もせず独断で停止するのはおかしい。 正:サーバーを連絡もせず独断で停止するのはおもしろおかしい。
ま、一般論としては皆様の御説のとおり。/.J に話題提供の n_ayase 嬢に乾杯!
> まず、サーバーを連絡もせず独断で停止するのはおかしい。> 当初は「調査」のみを依頼されていたわけで、「修正」などの依頼を受けたのは事件後である。> 権限のある人に連絡してから停止するのが常識では。> 勝手に停止すれば業務妨害になるのはあたりまえだと思うのですが・・・・。
契約的に正しいかどうかというてんではこの内容は正しいがその契約に記されている手順が妥当であるかどうかという点においては違うと思う。
福島第一原発で事故を起こした原子炉の同型機がアメリカで稼動している。福島第一原発ではベントを行うには政府の許可や経営者判断が必要だったようだがアメリカでは違う。
炉内圧力が一定の閾値を越えた場合、現場判断で行うようになっている。
本当に情報漏洩をおそれるならば上に挙げた例と同様に経営者に報告する前に現場判断でシステムを停止できるようにすべきだ。
うん、そうだね、そうすべきだね。要するに、停止できるようになっていなかったことを認識しようね。個人で勝手に落としちゃうのはダメだったはずだ。
あなたの言うように、ペネトレなんかを依頼する以上は、場合によっては即停止を見込んでおくべきなのは正しいのですけどね。じゃないと何のためのテストか解らん。
この人、どういう契約で作業を行っていたかによるが、処置までまかされていたのか、かなり不透明。
あと、他でも散々言われているがtwitterで呟くなど、かなり拙い行動。セキュリティ云々いうレベルじゃねぇだろ、これ。実際、これは実話なのか疑いを持つ。ペネトレを外部に頼むような企業が「対応は来月の会議で検討」なんて呑気な対応するもんかね?
>権限のある人に連絡してから停止するのが常識では。
権限なんてものは奪い取るものだ。さぁ諸君!革命だ
>権限なんてものは奪い取るものだ。さぁ諸君!革命だ
なんつーか、まさに老いつつあるんだな。この国は。
いろんな業界で硬直しきった企業ばかりが活動続けております。
>当初は「調査」のみを依頼されていたわけで、「修正」などの依頼を受けたのは事件後である。
営業さんのお言葉では、問題点の調査だけでなく、その解決まで委託されていたようですね。実際に目の前にビルド可能な環境があれば修正して再起動して、さて次の問題点は…? という流れになってたんじゃないですか。でもそれがなかったので、次善の外部からのアクセスを遮断するなりシステムを停止するなりをしようとしたが、新たに「問題を理解しない専務」という障害まで発生したと。
この時点で、会社(組織)の利益を確保するか、個人の地位の安定を確保するかの選択となったので、解決手段として会社の利益を優先しシステム停止を選択したというだけのような。手続き論でクレームをつけるのは簡単だけど、少なくとも結果的には判断が間違いではなかった以上、外野が手続きがおかしいとか足りないとか言うのはあまり意味がないお話ですね。
> 判断が間違いではなかった以上場を収めたのは社長の度量であって、彼女の判断の是非は一切関係ないね。
>> 判断が間違いではなかった以上>場を収めたのは社長の度量であって、彼女の判断の是非は一切関係ないね。
「社長の度量」云々は裏付けがない話である以上、外野であるあなたの願望であって、それこそ事実がどうだったかには無関係です。
>まず、サーバーを連絡もせず独断で停止するのはおかしい。
おかしいと思ったらソースをあたるのが基本。
別枝で既出だが、散々交渉した上で埒が開かないから確信犯的に止めたと書かれている。そして派遣元はそれも「業務の一部」と言ってるようだが?
twitterに書いた時点で、守秘義務違反。おまけに、なんの報告も無しにサーバを止めるなんて。理解できない。
実はそもそも「調査依頼を行うときに機密保持契約を結んでいなかった」なんてセキュリティホールがあったりして。
> 機密保持契約を結んでいなかった有り得るね。つーか、当然過ぎて書いてなかったりして。暗黙の了解?なーんか、巫女擁護のコメントが多いのは気のせいか?派遣先の会社は、一人で会社動かしてる訳じゃー無いんだし、巫女テスターが単独で依頼されたのでもない。巫女テスターさんが所属する会社と、依頼先の会社の取引が有る前提を、巫女テスターさんは分かってるのかな?指揮命令系統より、twitterへの情報漏洩を優先するような奴は、組織内で仕事する資格無し。
個人レベルでは「上が何をしても動かないなら(自己保身をした上で)放っておく」のが正解。自己保身がしっかり出来ているのならば、後々起きる問題は当該会社が尻を拭くから。会社に使われる身なら、適当なところで放って逃げるぐらいの心構えが無いといけない。中途半端に首を突っ込むと、潰される。下手すりゃ、責任を全て負わされる。
やり方には感心しないが、腕に自身がおありのようだから、この巫女テスター氏は独立された方が良いかと。独立されたら自分の意志で動けて、才覚で稼げる。ただ、仕事貰うのは大変になるけど。
#うちの義弟もSEだが人に使われるのを良しとしないらしく、#役所から補助金引っ張ってきて独立開業した口。#対する俺は、サーバと古本関係はほぼ休業。中古バイクばかり売れるんだがどうしろと。
rkhunterを無条件に信頼してserviceエントリを削除してしまうようなうっかりものも、会社的にはいらないよな。
自分の自宅マシンを自分の判断で設定して、何か法律に抵触しますか?業務でしてる訳じゃない。
>職務の内容を気軽にtwitterに書いてしまう本人と派遣元に引く。
内容以前に仕事中にtwitterしていて良いのか?
#こんな時間に/.に書き込むオレが言う
これはさすがに記録じゃない。嘘でも何でも言える。自分が日本一電子書籍を売った、とか。
労災関係の裁判で日記が証拠として採用されることもありますが、日記だって嘘でも何でも書けるのだからtwitterでも記録として利用可能ではないかと。
#もちろん内容次第
まあ、そういうレベルだからこそ、いきなりシャットダウンに至るんでしょうね。
Twitterもアカウント削除すると言ってますし、まるで子供です。20代前半ならわからないでもないですけどね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stay hungry, Stay foolish. -- Steven Paul Jobs
むしろ、 (スコア:5, すばらしい洞察)
職務の内容を気軽にtwitterに書いてしまう本人と派遣元に引く。
Re:むしろ、 (スコア:5, すばらしい洞察)
私も同業(?)のセキュリティ調査関連の仕事をしていますが、
システム停止以前に業務内容をtwitterに流すなんて信じがたい行為です。
これは停止しないとまずくないか!?というような脆弱性、バグも多数目にしますが
止めるどころか関係者以外に語ることすらできないものなんですが。
関係者に伝えても流されたとき (スコア:1, 興味深い)
「担当者が継続できなくなったので(PC用ページの)残りの部分(あと少し)を実装して立ち上げてください」
という案件以来だったんですが
元が携帯向けだったせいなのか端末識別番号を無チェックで信用する作りだったという。
(PC側は当然違うはずだが、携帯とロジック共用してた)
通販系のサイトだったんで
「このままじゃセキュリティがやばすぎるんで洗い直しが必要です(工数増えます)」
と伝えたところ
「工数増えるなら他の人に頼むんで断るならそういってください」
と返されて丁重にお断りしましたが、あれどうなったんだろうなぁ。
詳細に関して他に漏らすのは論外だし、先方に伝えはしたんですがそれ以上は何も出来ずモヤモヤしてます。
怖いのは官の仕事も多数やってるらしいのと
同系システムのバリエーション複製サイトがたくさんあるらしい、という話ですが。
Re: (スコア:0)
つけたりしないか? ツールを使う場合だけど。
現在進行中は書いたらだめでしょ (スコア:5, すばらしい洞察)
当初は「調査」のみを依頼されていたわけで、「修正」などの依頼を受けたのは事件後である。
権限のある人に連絡してから停止するのが常識では。
勝手に停止すれば業務妨害になるのはあたりまえだと思うのですが・・・・。
案件が無事終わってからならともかく、現在進行中の業務の企業の脆弱性をtwitterに書くのはどうかと思う。
匿名とはいえ特定されかねない情報が含まれているので、それこそ守秘義務違反に問われかねないような・・・。
Re:現在進行中は書いたらだめでしょ (スコア:5, おもしろおかしい)
あくまでもこのケースに限ってですが、
誤:サーバーを連絡もせず独断で停止するのはおかしい。
正:サーバーを連絡もせず独断で停止するのはおもしろおかしい。
ま、一般論としては皆様の御説のとおり。/.J に話題提供の n_ayase 嬢に乾杯!
Re:現在進行中は書いたらだめでしょ (スコア:2)
> まず、サーバーを連絡もせず独断で停止するのはおかしい。
> 当初は「調査」のみを依頼されていたわけで、「修正」などの依頼を受けたのは事件後である。
> 権限のある人に連絡してから停止するのが常識では。
> 勝手に停止すれば業務妨害になるのはあたりまえだと思うのですが・・・・。
契約的に正しいかどうかというてんではこの内容は正しいが
その契約に記されている手順が妥当であるかどうかという点に
おいては違うと思う。
福島第一原発で事故を起こした原子炉の同型機がアメリカで
稼動している。福島第一原発ではベントを行うには政府の許可や
経営者判断が必要だったようだがアメリカでは違う。
炉内圧力が一定の閾値を越えた場合、現場判断で行うように
なっている。
本当に情報漏洩をおそれるならば上に挙げた例と同様に
経営者に報告する前に現場判断でシステムを停止できる
ようにすべきだ。
Re: (スコア:0)
うん、そうだね、そうすべきだね。
要するに、停止できるようになっていなかったことを認識しようね。
個人で勝手に落としちゃうのはダメだったはずだ。
あなたの言うように、ペネトレなんかを依頼する以上は、場合によっては即停止を見込んでおくべきなのは正しいのですけどね。
じゃないと何のためのテストか解らん。
この人、どういう契約で作業を行っていたかによるが、処置までまかされていたのか、かなり不透明。
あと、他でも散々言われているがtwitterで呟くなど、かなり拙い行動。
セキュリティ云々いうレベルじゃねぇだろ、これ。
実際、これは実話なのか疑いを持つ。
ペネトレを外部に頼むような企業が「対応は来月の会議で検討」なんて呑気な対応するもんかね?
Re: (スコア:0)
>権限のある人に連絡してから停止するのが常識では。
権限なんてものは奪い取るものだ。さぁ諸君!革命だ
最近、ちょっと同意 (スコア:0)
>権限なんてものは奪い取るものだ。さぁ諸君!革命だ
なんつーか、まさに老いつつあるんだな。この国は。
Re: (スコア:0)
いろんな業界で硬直しきった企業ばかりが活動続けております。
Re: (スコア:0)
>当初は「調査」のみを依頼されていたわけで、「修正」などの依頼を受けたのは事件後である。
営業さんのお言葉では、問題点の調査だけでなく、その解決まで委託されていたようですね。
実際に目の前にビルド可能な環境があれば修正して再起動して、さて次の問題点は…? という流れになってたんじゃないですか。でもそれがなかったので、次善の外部からのアクセスを遮断するなりシステムを停止するなりをしようとしたが、新たに「問題を理解しない専務」という障害まで発生したと。
この時点で、会社(組織)の利益を確保するか、個人の地位の安定を確保するかの選択となったので、解決手段として会社の利益を優先しシステム停止を選択したというだけのような。手続き論でクレームをつけるのは簡単だけど、少なくとも結果的には判断が間違いではなかった以上、外野が手続きがおかしいとか足りないとか言うのはあまり意味がないお話ですね。
Re: (スコア:0)
> 判断が間違いではなかった以上
場を収めたのは社長の度量であって、彼女の判断の是非は一切関係ないね。
Re: (スコア:0)
>> 判断が間違いではなかった以上
>場を収めたのは社長の度量であって、彼女の判断の是非は一切関係ないね。
「社長の度量」云々は裏付けがない話である以上、外野であるあなたの願望であって、それこそ事実がどうだったかには無関係です。
Re: (スコア:0)
>まず、サーバーを連絡もせず独断で停止するのはおかしい。
おかしいと思ったらソースをあたるのが基本。
別枝で既出だが、散々交渉した上で埒が開かないから確信犯的に止めたと書かれている。
そして派遣元はそれも「業務の一部」と言ってるようだが?
Re:むしろ、 (スコア:3, すばらしい洞察)
twitterに書いた時点で、守秘義務違反。おまけに、なんの報告も無しにサーバを止めるなんて。
理解できない。
hoihoi-p 得意淡然、失意泰然。
Re:むしろ、 (スコア:1)
実はそもそも「調査依頼を行うときに機密保持契約を結んでいなかった」なんてセキュリティホールがあったりして。
Re:むしろ、 (スコア:3, すばらしい洞察)
> 機密保持契約を結んでいなかった
有り得るね。つーか、当然過ぎて書いてなかったりして。暗黙の了解?
なーんか、巫女擁護のコメントが多いのは気のせいか?
派遣先の会社は、一人で会社動かしてる訳じゃー無いんだし、巫女テスターが単独で依頼されたのでもない。巫女テスターさんが所属する会社と、依頼先の会社の取引が有る前提を、巫女テスターさんは分かってるのかな?
指揮命令系統より、twitterへの情報漏洩を優先するような奴は、組織内で仕事する資格無し。
hoihoi-p 得意淡然、失意泰然。
Re:むしろ、 (スコア:2)
個人レベルでは「上が何をしても動かないなら(自己保身をした上で)放っておく」のが正解。
自己保身がしっかり出来ているのならば、後々起きる問題は当該会社が尻を拭くから。
会社に使われる身なら、適当なところで放って逃げるぐらいの心構えが無いといけない。
中途半端に首を突っ込むと、潰される。下手すりゃ、責任を全て負わされる。
やり方には感心しないが、腕に自身がおありのようだから、
この巫女テスター氏は独立された方が良いかと。
独立されたら自分の意志で動けて、才覚で稼げる。ただ、仕事貰うのは大変になるけど。
#うちの義弟もSEだが人に使われるのを良しとしないらしく、
#役所から補助金引っ張ってきて独立開業した口。
#対する俺は、サーバと古本関係はほぼ休業。中古バイクばかり売れるんだがどうしろと。
米子-松江往復だと?そんなの自転車に決まっ(ry
愛車(ロード)のフレームに「ありす」って名前つけちゃったze
Re: (スコア:0, すばらしい洞察)
rkhunterを無条件に信頼してserviceエントリを削除してしまうようなうっかりものも、会社的にはいらないよな。
Re:むしろ、 (スコア:2, 荒らし)
自分の自宅マシンを自分の判断で設定して、何か法律に抵触しますか?
業務でしてる訳じゃない。
hoihoi-p 得意淡然、失意泰然。
Re:むしろ、 (スコア:2, すばらしい洞察)
>職務の内容を気軽にtwitterに書いてしまう本人と派遣元に引く。
内容以前に仕事中にtwitterしていて良いのか?
#こんな時間に/.に書き込むオレが言う
Re: (スコア:0)
保身の為にも記録は取っておくべきですよ。
経営者連中の無知&馬鹿さ加減は際限無いですから。
こんな現状が見過ごされているから、某所でもセキュリティ突かれて個人情報流出、とかなったんでしょうねぇ。
# 馬鹿すぎる経営者に苦しめられているのでAC
# 気づいても、気づかないふりをして何もしない奴も多いんじゃないかなぁ。
# やったところで、給料が上がるわけじゃないし、むしろ、手間かけさせたとか難癖つけられて下げられるくらいだから。
Re: (スコア:0)
これはさすがに記録じゃない。嘘でも何でも言える。自分が日本一電子書籍を売った、とか。
Re:むしろ、 (スコア:1)
労災関係の裁判で日記が証拠として採用されることもありますが、
日記だって嘘でも何でも書けるのだからtwitterでも記録として利用可能ではないかと。
#もちろん内容次第
Re: (スコア:0)
内容が嘘かどうかわからないときは、手間暇かけて作った記録はそれ相当の価値とみなすことが多いです。
Re: (スコア:0)
まあ、そういうレベルだからこそ、いきなりシャットダウンに至るんでしょうね。
Twitterもアカウント削除すると言ってますし、まるで子供です。
20代前半ならわからないでもないですけどね。