アカウント名:
パスワード:
一人の職員から何百万物クエリーを受け付けるというのがそもそもおかしい気が。
まさか、職員なら短時間のうちに全データ取得可能になってたりしませんよね。
アクセスで保存して、共有フォルダに置いていました、とかね。。。ありそう。
ご名答
> 通常は基幹システムで管理する個人情報をファイル共有サーバーに移したところ、ウイルスに感染したパソコン経由で流出したという。http://itpro.nikkeibp.co.jp/atcl/news/15/060101820/ [nikkeibp.co.jp]
いかにも共有フォルダに移した直後に感染したような書き方だけどそういう(おそらく内規に違反した)運用が常態化していたと考えるべきなんでしょうな
年金機構のPDFの文書のほうではファイル共有サーバにコピーとか全く触れてないのね
う~ん。内規に違反しないと仕事が回らないような使いにくいシステムだったんだろうか。
私の所属も独法系列だけど、業務が多岐に渡り、データの利用目的が複雑に変化するから、システムから多量の個人データを抜き出してAccessを個別に組まないとお話にならない。
個人情報を分散して管理することになるので、セキュリティ的に不味いのは分かるが、限られた予算・人件費で目の前の業務をこなすためにやむなくそうせざるを得ない。
うちの組織の場合は、以下の点が問題な気がする。
・情報処理に詳しい人材が不足している。現場サイドで業務を理解し システムに落とし込める人がいない。・そもそも予算が無い。データ処理・セキュリティの高度化に対する理解が 薄いので必要な予算も下りない・情報部門がセキュリティ関係業務しかしないため、彼らだけで定めるルール だけが一人歩きする。その分の業務が煩雑になるが、それで業務の効率が 上昇することが無い。
情報処理に詳しい人材が不足している。現場サイドで業務を理解しシステムに落とし込める人がいない。そもそも予算が無い。データ処理・セキュリティの高度化に対する理解が薄いので必要な予算も下りない情報部門がセキュリティ関係業務しかしないため、彼らだけで定めるルールだけが一人歩きする。その分の業務が煩雑になるが、それで業務の効率が上昇することが無い。
なるほどなぁ。セキュリティ業界は「業務効率化(エクスペリエンスの改善)∝セキュリティ向上」ってのがトレンドなので今回の事件をきっかけに花開いてくれることを祈るばかりです。セキュリティの重要性はすでに広く認知されているので、あとは予算に落としこめる事例ができれば、…
個人情報を漏洩されるかもしれない人のことより、自分の仕事の効率が大事。そんな思いで勝手にデータぶっこ抜く人など解雇して、代わりに技術者を雇ってほしいなあ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家
数十件とか数百件とかなら分かるけど (スコア:4, 興味深い)
一人の職員から何百万物クエリーを受け付けるというのがそもそもおかしい気が。
まさか、職員なら短時間のうちに全データ取得可能になってたりしませんよね。
Re: (スコア:2, すばらしい洞察)
アクセスで保存して、共有フォルダに置いていました、とかね。。。ありそう。
Re: (スコア:5, 参考になる)
ご名答
> 通常は基幹システムで管理する個人情報をファイル共有サーバーに移したところ、ウイルスに感染したパソコン経由で流出したという。
http://itpro.nikkeibp.co.jp/atcl/news/15/060101820/ [nikkeibp.co.jp]
Re: (スコア:2, すばらしい洞察)
いかにも共有フォルダに移した直後に感染したような書き方だけど
そういう(おそらく内規に違反した)運用が常態化していたと考えるべきなんでしょうな
年金機構のPDFの文書のほうではファイル共有サーバにコピーとか全く触れてないのね
Re:数十件とか数百件とかなら分かるけど (スコア:1)
う~ん。内規に違反しないと仕事が回らないような使いにくいシステムだったんだろうか。
Re:数十件とか数百件とかなら分かるけど (スコア:2, 参考になる)
私の所属も独法系列だけど、業務が多岐に渡り、データの利用目的が
複雑に変化するから、システムから多量の個人データを抜き出して
Accessを個別に組まないとお話にならない。
個人情報を分散して管理することになるので、セキュリティ的に不味いのは
分かるが、限られた予算・人件費で目の前の業務をこなすためにやむなく
そうせざるを得ない。
うちの組織の場合は、以下の点が問題な気がする。
・情報処理に詳しい人材が不足している。現場サイドで業務を理解し
システムに落とし込める人がいない。
・そもそも予算が無い。データ処理・セキュリティの高度化に対する理解が
薄いので必要な予算も下りない
・情報部門がセキュリティ関係業務しかしないため、彼らだけで定めるルール
だけが一人歩きする。その分の業務が煩雑になるが、それで業務の効率が
上昇することが無い。
Re:数十件とか数百件とかなら分かるけど (スコア:1)
なるほどなぁ。
セキュリティ業界は「業務効率化(エクスペリエンスの改善)∝セキュリティ向上」ってのがトレンドなので今回の事件をきっかけに花開いてくれることを祈るばかりです。
セキュリティの重要性はすでに広く認知されているので、あとは予算に落としこめる事例ができれば、…
Re: (スコア:0)
個人情報を漏洩されるかもしれない人のことより、自分の仕事の効率が大事。
そんな思いで勝手にデータぶっこ抜く人など解雇して、代わりに技術者を雇ってほしいなあ。