アカウント名:
パスワード:
本来の権限を持った人間の弱みを握って使役することで臨む情報を得るこれって防ぐ方法あるんでしょうかね……?
今回の件は業務外なので作業の承認制にするだけでかなり防げます。暴力団が怖いなら相談窓口にどうぞ。
私が暴力団なら、承認者も併せて抱き込むことも考えますね。普通にやられちゃうんじゃないでしょうか?
「暴力団」ならかえって拒否しやすいんですよ。法律や窓口に頼れるので。
抱き込むためには弱みを握るか利益を与えるかなんですけど、関与する人が増えれば発覚もしやすくなります。弱みを握るのも大変になりますし分け前も減ります。
あと承認制にすると当然記録が残されるようになり定期監査も行われます。じゃないと承認制にする意味がありません。
まあ、記録が残っても妥当な理由があれば許容される訳だから大変だよな。監査するといっても申請が数千数万とあったら綿密なチェックもしようがない。
まあシステム側を固めるとモラルの向上にも寄与するのは良いことかな。
アクセスすれば本人に、アクセスした人物の匿名IDと役務役職とアクセス理由、承認者を通知すればいい。怪しいアクセスがあれば相談、第三者が相談、発覚となる可能性がててきて躊躇するようになる。
悪意の犯罪者は次に怪しくないアクセスからの情報窃取を考えるな。
通知されるのは一般市民の方。普通の市民の情報は年に一回もアクセスされないんじゃない?アクセスする側は毎日誰かしらをアクセスしてても。
承認制というのは誰を何のために検索するのか証跡付きで申請する必要があります。業務目的外では基本的に証跡を用意する事ができず、用意できたとしたらそこに内部統制上の脆弱性が存在するので改善しなければなりません。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ
ソーシャルハッキング (スコア:0)
本来の権限を持った人間の弱みを握って使役することで臨む情報を得る
これって防ぐ方法あるんでしょうかね……?
Re:ソーシャルハッキング (スコア:0)
今回の件は業務外なので作業の承認制にするだけでかなり防げます。
暴力団が怖いなら相談窓口にどうぞ。
Re: (スコア:0)
私が暴力団なら、承認者も併せて抱き込むことも考えますね。
普通にやられちゃうんじゃないでしょうか?
Re: (スコア:0)
「暴力団」ならかえって拒否しやすいんですよ。法律や窓口に頼れるので。
抱き込むためには弱みを握るか利益を与えるかなんですけど、
関与する人が増えれば発覚もしやすくなります。
弱みを握るのも大変になりますし分け前も減ります。
あと承認制にすると当然記録が残されるようになり定期監査も行われます。
じゃないと承認制にする意味がありません。
Re: (スコア:0)
まあ、記録が残っても妥当な理由があれば許容される訳だから大変だよな。
監査するといっても申請が数千数万とあったら綿密なチェックもしようがない。
まあシステム側を固めるとモラルの向上にも寄与するのは良いことかな。
Re: (スコア:0)
アクセスすれば本人に、アクセスした人物の匿名IDと役務役職とアクセス理由、承認者を通知すればいい。
怪しいアクセスがあれば相談、第三者が相談、発覚となる可能性がててきて躊躇するようになる。
Re: (スコア:0)
悪意の犯罪者は次に怪しくないアクセスからの情報窃取を考えるな。
Re: (スコア:0)
アラームリストが大量に出るなら無視するでしょ
暴力団から保護対象みたいな色分けが出来れば、ガードもアラームも出せるけど、例えばDV被害者みたいなのなら、相談が事前にあるだろうからそういうのも出来そうな気もするけど、今回の対象者がそういうものかわからないなあ。
Re: (スコア:0)
通知されるのは一般市民の方。
普通の市民の情報は年に一回もアクセスされないんじゃない?
アクセスする側は毎日誰かしらをアクセスしてても。
Re: (スコア:0)
Re: (スコア:0)
承認制というのは誰を何のために検索するのか証跡付きで申請する必要があります。
業務目的外では基本的に証跡を用意する事ができず、用意できたとしたらそこに内部統制上の脆弱性が存在するので改善しなければなりません。