アカウント名:
パスワード:
社員が情報を持ちだして売っちまったってのは、たまたまそういう社員がいたかどうかって話だよね。社員教育や報酬なんかである程度防ぐことができる話ではあるけれど、IT企業の事ではあるが、あんまり技術的な問題だとは言えない。サポート業務に使われる情報はハッシュやら暗号化やらは余りできないし、せいぜいアクセス制限すべきという程度かな。
うちも顧客サポートやってるけど、
・情報を持ち出し可能な状態にしない(端末の管理や外部メディアへの接続など)・一般職員は単独では多数の情報にはアクセスさせない・業務時間以外の情報へのアクセスをさせない
どれも現実的にさほど難しい対策ではないし、ちゃんとやってれば「最大12万人分の個人情報が持ち出し」みたいなタコい事態にはならない。
たとえば「有名人の個人情報を1件だけ見つけて抜き取りました」みたいなのは完全には防げないけど、これはそういう話じゃないよね。
タコいw
・情報を持ち出し可能な状態にしない(端末の管理や外部メディアへの接続など)これはあなたが技術者的なプライドを賭けていかなる手管を講じても持ち出しの経路が確保できないほど徹底したものか
悪いけど、そんな妄言が出てくる時点で、あんたが偉そうにセキュリティーを語る資格はないよ。「情報が漏出したときの被害を想定し、その被害に応じて相応の仕組みで防護する」のが技術者の賭けるべきプライドであって、費用対効果を無視してバカみたいな仕組みを作るのは二流未満のやること。たとえば、技師を連れた熟練の特殊部隊が射殺上等でセキュリティー区画に突入してきて、社員を無力化しながら奪取を試みたら、とか言われても、そんなのはスコープじゃないわけで。
・一般職員は単独では多数の情報にはアクセスさせない複数人の作業中人の目を盗んだり、ちょっとした理由付け、ないしは丸め込みや騙しによってもデータを移動する事は不可能か
今回みたいな件に関して言うなら不可能だね。何万件単位の個人情報へのアクセスを許可するような業務フローはシステム化されて然るべきで、誤魔化してどうこうできるものではない。ましてや媒体への移動は物理的なのも含めてロックかかってるから。
ああ、まあ、フロー管理システムの未知の脆弱性を、開発・分析ツール等を使わずに突破して、何万件オーダーの個人情報を媒体に移さず記憶だけで持ち帰る、みたいなことされたら漏出するだろうね。特殊部隊が突入してくるより「ありえない」と思うけど。
そのレベルの杞憂を根拠に「絶対はない」みたいに言ったり、今回やらかしたトレンドマイクロを擁護するなら、「馬鹿じゃねーの」以外に言葉のかけようがない。すまないが。
マトモなエンジニアは「現実的には無視できる程度の可能性でも、可能性があれば絶対大丈夫とは言わない(言えない)」んだよ。たとえば「ピンポイントで隕石が降ってきて直撃し、システムのセキュリティ部分だけがだけが都合よく止まる」みたいな馬鹿げた可能性であっても、それが起きないと保証できるわけではないから。
それに対してプライドだ保証だって難癖つけても話はかみ合わないよ。ましてや「現実的に起きうる事態には対処してる」みたいな話に対して
保証できなければ、今回のような事件は当然発生しうるでしょう。あなたの会社でもそのタコい事態が。
とか言ってる時点で意味不明。「タコい事態」ってのは「ちゃんと対策されてなかった」って前提も含んだ話だろ。それくらいの読解力ないなら黙ってた方がいいよ、恥さらすだけだから。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
計算機科学者とは、壊れていないものを修理する人々のことである
技術的問題ではない (スコア:0)
社員が情報を持ちだして売っちまったってのは、たまたまそういう社員がいたかどうかって話だよね。
社員教育や報酬なんかである程度防ぐことができる話ではあるけれど、
IT企業の事ではあるが、あんまり技術的な問題だとは言えない。
サポート業務に使われる情報はハッシュやら暗号化やらは余りできないし、せいぜいアクセス制限すべきという程度かな。
Re:技術的問題ではない (スコア:3, 興味深い)
うちも顧客サポートやってるけど、
・情報を持ち出し可能な状態にしない(端末の管理や外部メディアへの接続など)
・一般職員は単独では多数の情報にはアクセスさせない
・業務時間以外の情報へのアクセスをさせない
どれも現実的にさほど難しい対策ではないし、ちゃんとやってれば「最大12万人分の個人情報が持ち出し」みたいなタコい事態にはならない。
たとえば「有名人の個人情報を1件だけ見つけて抜き取りました」みたいなのは完全には防げないけど、これはそういう話じゃないよね。
Re: (スコア:0)
タコいw
Re:技術的問題ではない (スコア:1)
・情報を持ち出し可能な状態にしない(端末の管理や外部メディアへの接続など)
これはあなたが技術者的なプライドを賭けていかなる手管を講じても持ち出しの経路が確保できないほど徹底したものか
悪いけど、そんな妄言が出てくる時点で、あんたが偉そうにセキュリティーを語る資格はないよ。
「情報が漏出したときの被害を想定し、その被害に応じて相応の仕組みで防護する」のが技術者の賭けるべきプライドであって、費用対効果を無視してバカみたいな仕組みを作るのは二流未満のやること。
たとえば、技師を連れた熟練の特殊部隊が射殺上等でセキュリティー区画に突入してきて、社員を無力化しながら奪取を試みたら、とか言われても、そんなのはスコープじゃないわけで。
・一般職員は単独では多数の情報にはアクセスさせない
複数人の作業中人の目を盗んだり、ちょっとした理由付け、ないしは丸め込みや騙しによってもデータを移動する事は不可能か
今回みたいな件に関して言うなら不可能だね。
何万件単位の個人情報へのアクセスを許可するような業務フローはシステム化されて然るべきで、誤魔化してどうこうできるものではない。
ましてや媒体への移動は物理的なのも含めてロックかかってるから。
ああ、まあ、フロー管理システムの未知の脆弱性を、開発・分析ツール等を使わずに突破して、何万件オーダーの個人情報を媒体に移さず記憶だけで持ち帰る、みたいなことされたら漏出するだろうね。特殊部隊が突入してくるより「ありえない」と思うけど。
そのレベルの杞憂を根拠に「絶対はない」みたいに言ったり、今回やらかしたトレンドマイクロを擁護するなら、「馬鹿じゃねーの」以外に言葉のかけようがない。すまないが。
Re: (スコア:0)
マトモなエンジニアは「現実的には無視できる程度の可能性でも、可能性があれば絶対大丈夫とは言わない(言えない)」んだよ。たとえば「ピンポイントで隕石が降ってきて直撃し、システムのセキュリティ部分だけがだけが都合よく止まる」みたいな馬鹿げた可能性であっても、それが起きないと保証できるわけではないから。
それに対してプライドだ保証だって難癖つけても話はかみ合わないよ。ましてや「現実的に起きうる事態には対処してる」みたいな話に対して
保証できなければ、今回のような事件は当然発生しうるでしょう。あなたの会社でもそのタコい事態が。
とか言ってる時点で意味不明。「タコい事態」ってのは「ちゃんと対策されてなかった」って前提も含んだ話だろ。それくらいの読解力ないなら黙ってた方がいいよ、恥さらすだけだから。