パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

NTTデータ、元社員が業務受託銀行からカード情報を盗み3100万円引き出す」記事へのコメント

  • 責任者がやらかした以上回避の方法なんて無いでしょう。
    金庫の暗証番号を知ってる人間が金庫から盗みを働いた
    ようなもの。防ごうとすれば誰も暗証番号を知らない
    状態にするしかなくて、すると金庫は永久に開かない。

    コンピューターに管理させても、コンピューターが人間の命令を受け付ける以上は必ず突破されるわけですし。
    安全の100%は無いですからねぇ。

    #むしろいっそこの辺まで既知のリスクとして織り込むか?
    #保険かけるとか。
    • Re:鶏が先か卵が先か (スコア:2, すばらしい洞察)

      by osakana (5748) on 2006年03月28日 22時17分 (#910683)
      ログの類の改ざんが不可能な状態にしておけば、 「やろうと思えばできるけど必ずバレる」状態になるわけで、 それなりの抑止効果はあると思うけどね。

      # まぁそれなりでしかないのも事実だが

      親コメント
      • by Anonymous Coward on 2006年03月29日 0時37分 (#910775)
        >ログの類の改ざんが不可能な状態にしておけば

         その状態にするのは誰?
        親コメント
        • 全然興味深く無いぞー。

          > その状態にするのは誰?
          誰だろうと関係ない。
          > ログの類の改ざんが不可能
          なんだから。

          まず、開発者であっても介入できない設計と実装、さらに性悪説前提での運用方法を求む、ということ。

          # 暗号化のアルゴリズムが分かれば簡単に改竄できるものは
          # 実用的な暗号とは言わないわけで。
          # 普通システム開発するなら、まず自分がクラックできる
          # ような設計&実装はしないよ。へんな責任かぶりたくないし。

          # あ、そんなこと思わない人(達)が作ったら意味が無いという意味
          # では「興味深い」のか?
      • by mocchino (13752) on 2006年03月29日 11時30分 (#910982)
        ログだとばれても引き出された後の可能性が...

        しかし、運用担当がプログラム更新出来るのはやっぱ問題ですよねぇ~

        運用は運用しかできず、改変は別権限とかにはしないと
        更新変更の自動検知&通知/権限の分散/各異状(変更)の自動通知(障害以外は管理担当者以外も含む)等による複数監視しか無いと思います

        無論今度は、メンテナーが改竄して上記機能を無効化って
        可能性がのこりますが、そこは運用担当以上に事前チェックを
        きつくするしかないでしょうねぇ~
        運用担当より、改竄の機会は減るでしょうし..
        特に監視プロセス系の更新は厳重な内容チェックが必要となるでしょう

        もっとも人員が割けなくて結局同一の人がやっているというのは良くある話
        そして厳しくしてもその通り運用されないのは、いつものこと...
        親コメント

普通のやつらの下を行け -- バッドノウハウ専門家

処理中...