「データ持ち帰ってません」がホントかどうかを調査 401
ストーリー by mhatta
まあそれでもWinny使う奴がいるんだからしょうがないか 部門より
まあそれでもWinny使う奴がいるんだからしょうがないか 部門より
Anonymous Coward 曰く、
ITmediaの記事によると、 ネットエージェントは、従業員や下請け企業等が会社から過去に持ち出したファイルを自宅PC等から回収する「Winny特別調査員2」を発表した。
「Winny特別調査員2」は会社からCD-ROMで従業員らに配布され、実行したPCに接続されているハードディスクなどから、本文やプロパティなどに企業名や指定したキーワードが含まれていないかどうかを確認する。発見された場合は強制的に会社が設置したファイル回収サーバにWebDAV経由でアップロードされ、ローカルのPCからは復元できない形で削除してしまうという。人の意思を介さずに機械的に回収してくれるので高い効果が期待できるとのことだ。大規模な情報漏洩事件が多発する前にあれば良かったのに。
ソフトウエアそのものよりも (スコア:5, すばらしい洞察)
それを拒めない雰囲気にある会社に興味があるよ。
Re:ソフトウエアそのものよりも (スコア:4, すばらしい洞察)
「『データ持ち帰ってません』がホントかどうかを調査」・・・おー
「PC内 機密情報や個人情報 自動的に回収」・・・・そりゃいい
「情報回収ソフト」・・・ソフト配ればいいのか
「CD-ROM形式で配布」・・・簡単じゃないか
「HDD内のファイルを調査」・・・連中怪しいからな
「キーワードをチェック」・・・こりゃ都合いい
「見つかれば強制的にアップロード」・・・こう来なくっちゃ
「復旧を試みても復元できない」・・・当然だな
「感染した形跡」・・・首根っこを押さえられるぞ
「証拠保全」・・・これこれ
と読まれて、「当○でもすぐやらねば」と購入が相次ぎ「あれーぇ」になるのだと思います。(○は、[省|庁|署|社]など)
#あわれなりー
なぜ持ち込むのか、なぜ持ち出すのか (スコア:5, すばらしい洞察)
こんなつまらない代案が出てくるんでしょう。
流出で多いのが派遣社員と公務員です。
双方とも、パソコンが必要なのに支給されてない、あるいは
必要なスペックのものが支給されないという点が共通しています。
たとえば派遣には自社の社員ではないからろくなスペックのマシンを
貸与しないのが普通です。
しかし下っ端の派遣には開発からテストのわりと重い処理が任されます。
派遣要員に貸与されるおんぼろマシンではろくに動かせないような。
ろくに動かない事に耐えかねて派遣要員が自らマシンを用意してきます。
派遣先現場の担当者も、貸与してるおんぼろではろくに開発もテストも
進まないことがわかっているので持込を容認します。
そうして派遣の個人PCの中に企業データが入ることになります。
公務員の場合も、ドキュメントのテンプレートがMSワードなのに
PCを支給しないから個人が持ち込んでいました。
#流出が何回も起こって支給することになったとニュースで見ましたが
こういう状況を変えずに(というか変えるつもりもなく)
持ち出しだけを何とかしようったって駄目じゃないかと。
禁止するなら… (スコア:4, すばらしい洞察)
「仕事持ち帰るほどさせません」
が一番の対策の気がします。
「そもそも帰らせない/帰ってない」ネタ禁止w
Re:禁止するなら… (スコア:2, 興味深い)
同じIT業界からは
”失笑の的”になりそうな仕様だと思うけど。
なにもわかってないIT業界外の馬鹿な経営者は騙されるかもしれないけど。
そういうとこは「社員のプライバシーの侵害。」で訴えられるのが落ち。
しかも私信も集めちゃってる証拠残る(つまり実際侵害してる)から会社は絶対勝てない。
ごみ屑ソフト。
やるならWINNYの検出と、NYのキャッシュフォルダ内のファイル検出、アップロードフォルダのファイル検出で十分。それでもやりすぎだけど。この中だけならキーワード検出でも良いかもしれない。
個人の重要ファイルをわざわざ公開する馬鹿もいないでしょう。
それでも勝手に削除ー収集はやりすぎ。
ログとって、別フォルダに退避。ログは社員にも会社にも公開がいいところでしょう。
Re:禁止するなら… (スコア:2, すばらしい洞察)
そうでないなら、その裁量をする人を首。
セキュリティソフトにはじかれるのでは? (スコア:4, すばらしい洞察)
セキュリティソフトの警告が出てくるのでいいえのボタンを押してくださいなんて説明書に書いたりしたら、高木センセあたりが激怒しそうだけどw
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
技術云々は置いとくとして (スコア:4, 興味深い)
検出するための技術がどうこうとかそれ以前に、
> 対象者の指定
> 役員・従業員・従業員の家族・派遣社員(派遣元との調整)・退職者
って、百歩譲って従業員からはあの手この手で「自由意思に基づく同意」を取り付けるとしても、従業員の家族や退職者にまで実行を要求することを勧めるとはどういうつもりなんでしょうか?
この人たちから強要罪 [wikipedia.org]で告訴されたら有罪はまず間違いないでしょう。
さらにあきれるのが
> Q.間違えて回収してしまったファイルはどうしたらよいですか?
> 社内の持ち出し規定に沿って返却してください。
「間違われるようなファイルを持っていたお前が悪いんだからな!」と言わんばかりの対応を取ることを勧めています。
まあここまでなりふり構わぬ行動に出れば、データの流出を多少食い止めることはできるかも知れませんが、社員の大量流出が発生しそうですね。
会社名が入った (スコア:3, おもしろおかしい)
Re:会社名が入った (スコア:2, 興味深い)
2chブラウザのkakikomi.txt(2chへの全ての書き込み内容が保存されているファイル)
をアップロードされたら趣味志向から自作自演まで全て上司に知られて死にたくなる
悪用厳禁 (スコア:3, おもしろおかしい)
Re:悪用厳禁 (スコア:2)
家人対策でアレな画像に仕事用っぽいファイル名をつけていて
引っかかる人が続出しそうなんですが
#消されたときと返してもらうときとで2度ダメージを受けるような
バカどもにはちょうどいい目くらましだ(ムスカ大佐) (スコア:3, 参考になる)
かなり無茶な製品ですね。
しかも対象キーワードを、顧客(企業)が設定することにして、
リスク回避まで行っているし。
関係ないファイル削除する被害が起きても「キーワードの設定が
うんぬん」とかいって責任回避する気だろうね。
常識的な知識を持つ人なら、このプロダクトのバカバカしさが
すぐわかると思いますが、ワンマンな会社なんかだと鶴の
一声で導入が決まってしまい、ということになりかねないですね。
ホント、バカどもには「Winny対策してます」って気分を味わう
ために、ちょうどいい目くらましですよ。
仮に実行するとしても、関係ないデータを消されても問題ないように
全ディスクのバックアップして、マシンから切り離して実行、
その後にバックアップを書き戻せば終わりのような気がする。
論旨には賛成だが (スコア:2, おもしろおかしい)
ウイルスでもなんでもないもの (スコア:3, 興味深い)
てのを繰り返したら、送信先のサーバはどうなるんでしょうか?
WebDAV経由のようだから (スコア:2)
WindowsのWebフォルダの制限だったかもしれないけど。
愚かさによって説明できるものを悪意のせいにしてはならない
うちは言ってませんよ、あちらが勝手に (スコア:3, すばらしい洞察)
要員を受け入れる大企業側では、自社の社員にやったら問題になるかもしれないけど
派遣は自社の社員じゃないから社員の側にも差別意識がちょっとあるし、
派遣会社自身に命令させてやれば
「いや、うちはそんな要請してませんけど、~社さんが"自主的に"やってらっしゃるんです」
と言って逃げられる。
自分はこんなの無関係だと思ってる人も多いかもしれないけど、
同僚や上司が派遣要員の会社にこういう要望出してたりして、
立場としては、いつの間にか強要する側の人間になってる可能性も高い。
特に派遣などを多く抱える大企業の側の人間であれば。
#そこで便利なのが上の逃げ口上ですよw
しかしパート2が作られてるってことは、
そういう需要と供給実績があると見て間違いないのかな。
「プライバシーなんざ知ったことか、調査するぞ」って会社が結構あって
しかもそれを受け入れてる人間が結構いるって、
日本人(の会社員)ってやつはもう犬か家畜並みですな。
どうせ裁判になっても日本の官僚は企業の味方だろうし。
想定されるオチ (スコア:2, 興味深い)
Re:想定されるオチ (スコア:5, すばらしい洞察)
> Q.調査員CD使用後CDを紛失したとの報告がありました。
> ファイルサーバのアカウントをすぐに停止してください。
これの意味することは、調査員CDが(フォレンジックセーフとのことなので)物理的に第3者の手に渡った場合、ファイルサーバに回収されたデータが閲覧可能になる危険性がある、という事ですよね?
と言うことは、この調査員CDを自宅に「持ち帰る」という行為そのものが既に情報漏洩にあたると思うんですが、、、。
> Q.5万人を対象としたいのですが大丈夫ですか?
> 納期が少々かかります。別途ご連絡ください。
うわぁぁぁ
Re:想定されるオチ (スコア:2, すばらしい洞察)
しかもCDはハード的にはそのまま返却される。
対象資料はアップロードにより会社に回収される。
しかし対象資料は既に流出済み。
こんな最悪の状況もありうる。
有無自在
Re:想定されるオチ (スコア:4, おもしろおかしい)
斜め下を行って「ファイル回収サーバでWinnyを走らせる馬鹿がいて情報漏洩」に3000点。
Re:想定されるオチ (スコア:2, すばらしい洞察)
自分の会社の情報を片っ端から削除させるというのはどうか。
Re:想定されるオチ (スコア:2, すばらしい洞察)
これを機に社員の流出が起こる可能性について。
Re:想定されるオチ (スコア:2, 興味深い)
SSLを通してますように
平文WebDAVでやりとりしてたら古典的な盗聴で事実上機密文書
公開サーバになってしまう予感。
少なくともDoSは簡単にできそうな仕組みだなぁ。
(引っかかりそうなファイルを沢山用意してアップさせるとか)
誤認識が心配 (スコア:2, すばらしい洞察)
メールなんか、メーラーによっては複数のメールをファイルひとつで管理してることもあるわけで、ファイル単位でアップロードや削除されたりすると、最悪まとめて全部おじゃんって危険性もあるんでは?
#そのあたりのトラブルは、使用者の自己責任ですかね。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:誤認識が心配 (スコア:2, おもしろおかしい)
・雑誌などで「exeファイルに注意」という記事を読む
・「exe」なんてファイル名は見たことがない(拡張子非表示)が危ないらしい
・キーワードに指定
・(以下略)
#その程度のフェイルセーフ機能はついてるよね?ね?
SIMPLE2000 (スコア:2, おもしろおかしい)
高けりゃ良いってもんでも無いけど、小銭稼ぐ為だけのソフトなんだろうなぁ
そんなに酷いソリューションか? (スコア:2, おもしろおかしい)
基本的には、ウィルス/スパイウェアのスキャンソフトと似たようなもので、検索対象が組織特有のデータ、って感じのソフトでしょうか。ウィルス対策ソフトを使ってないのを非常識などと言う人が多いのに、情報漏洩対策ソフトだとなんでそうならないのでしょうね。:-P
それと、タレコミ文の「発見された場合は強制的に会社が設置したファイル回収サーバにWebDAV経由でアップロードされ、ローカルのPCからは復元できない形で削除してしまうという。」に反応してるようだけどが、製品の説明を見ると、設定でそういう動作も可能って話だけです。証拠保全目的もあるのですから、標準動作は検知と操作による選択でしょう。この辺もデザインは真っ当なものです。なんか、釣られてない?
の
Re:そんなに酷いソリューションか? (スコア:3, すばらしい洞察)
自分(会社)で買ったものでもないのに、その中を検索しても良いのか?という問題です。
アナログに置き換えれば、
1.会社の書類があるかもしれないからと、(会社の情報があるかもしれないから)
2.会社とはまったく関係ない自宅の下着などが入っているタンスを(個人の情報の入っている、所有権のまったくないPCを)
3.機械が該当しそうなものを自動的にあさり、(ソフトが怪しそうなものを検索)
4.該当すれば会社に送りつける。(WebDAVサーバに転送し、現物を削除)
5.違うと主張するなら他人立会いの下、確認。たとえそれが下着であろうと。(ファイルを確認)
これでも適切なソリューションといえる?
Re:そんなに酷いソリューションか? (スコア:2, すばらしい洞察)
「持ち出された情報を回収する」
このコンセプトは正しい。
問題は実装。
「キーワード検索」である事、ネット経由での送信であること。
が問題なの。
あなたが正しいといってるのは「コンセプト」
他の人が屑だといってるのは「実装」
いい加減気づきなさい。
誤検出しないのならば、それなりにいいソフトになりうる。
だが「キーワード検索」では誤検出率のほうが高い。
情報発見のみならログ出力のみでいい。発見したファイルをムーブする必要はない。
問題は「個人の関係ないファイルが勝手に根こそぎ送信される、
やってる事は金玉ウィルスと同じことだ」
なんで理解できないんですかね?
悪用以前に「キーワード検索の仕様である以上、まともな運用はありえません。」
あなたのPCに個人のファイルで一つも自分の会社名ありませんか?
私がやるなら、社内の重要ファイルをハッシュ化して、そのハッシュとファイルのハッシュぶつけます。
一部だけ持ち出されたらハッシュ変わるんで対応不可ですけど。
Re:そんなに酷いソリューションか? (スコア:2, すばらしい洞察)
業務ファイルと個人用ファイルをキーワードで判断できるわけが無いから。
貴方以外は皆それを理解してるんですよ。
例えば、
個人で仲良くしたい女の子とメールしてる。
当然自己紹介や待ち合わせに会社名が出てくる。
これに引っかかるー>会社にプライベートな付き合いを問答無用で知られる。
しかもそのメールは自分のPCから削除、待ち合わせすらわからなくなる。
問題ないわけないでしょ。
他の方が提案しているような、
”会社のファイルにマーキングし、それを追跡”
とか
”最初から社内で外部メモリにデータをコピーできない情報漏洩対策ソリューション”
なら、拍手喝采が起きるでしょう。
少し考えれば、
このソフトの実態は”情報漏洩対策ソフト”でなく
仕組みを考えれは”ネット経由で個人情報を漏洩させるソフト”
である事は自明だと思います。
だから、ほぼ否定コメントしかつかないんですよ。
#やってる事はwinnyの金玉ウィルスと一緒。(pc内のファイルを無断でかき集めるー>インターネットに送信)
#送信先がP2Pか会社の公開サーバーかだけの違い。
Re:そんなに酷いソリューションか? (スコア:2, 興味深い)
2.しかも”検出したものはネット経由で送信してしまっている”
(つまり漏洩対策でなく、漏洩を助長してしまっている仕組み)
3.しかも送信先は(一般公開ではないが)公開サーバー(つまり漏洩対策でなく、ものすごく漏洩を助長してしまっている仕組み)
これ自体もものすごく問題。
だから、動作自体ははスパイウェアや金玉と一緒なnだが。
正規検出でも誤検出でも、
”漏洩したくない情報をわざわざネットワーク上に流してどうするよ”
クローズドネットワークにあるべき情報をオープンネットワーク上のサーバーに集めてどうする。
そこアタックされたらそれこそ機密情報から社員の個人情報まで根こそぎ公開されるだけ。
書いた問題は”すべて揃って始めて問題なのでなく、一つ一つが
全てセキュリティ概念的に致命的問題”
なんだが。
だから言ってるだろう。
情報漏洩助長ソフトだと。winny並みの。
Re:そんなに酷いソリューションか? (スコア:2, すばらしい洞察)
>消去の有無、回収の有無の選択側は企業です。
も問題なんです。
なんども書いてますよ。
"個人のファイルを扱うポリシーを決める権限は個人にのみあるのであり、
企業にあるのではありません。”
そのポリシーを企業が勝手に決めてしまうソリューションであることも問題。
企業側でのみポリシーが決められる以上、企業が勝手に個人情報を収集してしまうリスクは不可避です。
これ自体が設計・概念上で既に問題。
違法ソフト (スコア:2, 参考になる)
これが成立する場合、「Winny特別調査員2」も下記の件で違法ソフトと判断します。
・パワーハラスメント幇助
「Winnyを使っていなければ、問題ないだろう。」等と言う建て前で
社員に強制的に実施させた場合、パワーハラスメントが適用される可能性がある。
また協力会社などの立場の弱い相手に対し、会社ぐるみで実施させた場合も同様な事が言える。
・プライバシーの侵害およびその幇助
家宅捜査など、警察ですら令状が必要になる事を、一部とはいえ実施する。
また説明の仕方によっては、認識できていない状態でプライベートの情報が外部へ流出する可能性がある。
「Q.間違えて回収してしまったファイルはどうしたらよいですか?」が
「A.社内の持ち出し規定に沿って返却してください。 」となっているが
プライベートのファイルに「社内の持ち出し規定」が適用されるはずもない。
非常に無責任で身勝手な考え方。
また、収集されたファイルの検閲が、社内で流出や噂にならない様、
守秘義務が必要となるはずだが提示内には無い。
・機能詐称
winny捜査といいつつ、主機能はファイル走査。
社内からのファイル持ち出しと、winnyによるファイル流出は直接の因果関係はなく
ある意味、別件逮捕の様なもの。
まぁ外部の個人情報を保護する為に、内部の個人情報を犠牲にしていいと考えてる時点で終ってます。
Winny 関係ないやん (スコア:4, すばらしい洞察)
そんなことはどうでもいいけど、Winny 関係ないやん。自宅に持ち出した時点で漏洩です。
Re:Winny 関係ないやん (スコア:3, 興味深い)
前バージョンがWinny動作をチェックをする仕様に見えるが
引き継いでいるのだろうか?
キーワードの指定いかんによって
「各個人のPCから会社に関係の無い個人情報が大量漏洩する」
気がするのですがどうでしょうか?
そもそも個人のPCにソフトのインストールを強制する権限が会社にあるとは思えませんがどうでしょうか?
「家で会社の仕事をするために与えられたPC」ならば良いとは思いますけれど。
Re:実行しない、という選択肢 (スコア:3, 興味深い)
完璧には発見できない場合があります。以下の場合では十分機能を発揮しません。
・外部メディアに保存していた場合
Re:キーワード検索って、アホか。 (スコア:4, すばらしい洞察)
テキスト形式にするの忘れた。。。orz。元を誰か下げてくれるとうれしいです。
他の方もいっているように、自己紹介で自分の企業名書いたメールを消されるんですか?
ワードで履歴書かいてたら引っかかって消されるんですか?
別に会社のデータでもない、個人のメール、私信にキーワードがあったら消されるんですか。
関係ないファイルを消された場合、それで負った損害は会社が払ってくれるんですかね。 例えば、嫁さんとのメールを勝手に消されたとか、それで不仲になったとか、個人の副業のメールを消されたため、副業の収益に問題がでたとかになった場合、保障できるんですかね。
キーワードで検索して消すって事がどれだけ危険か何も考えてない、アホ仕様。
また、勝手に会社に個人のプライバシーファイルも収集するんで、個人的人権の侵害にもなってる。
会社のファイルと個人のファイルをキーワードで分割できると思うのが大間違い。
仕様考える場合に何も考えてないんだろうな。この会社。
#自分の個人名の入ってファイル全て消されそう。(社員情報の一部だから)。
#フレームになりそうだけど面倒だからIDでいいや。
Re:キーワード検索って、アホか。 (スコア:2, すばらしい洞察)
“VIP情報漏えい対策セミナー”とか開いて。
酷いセキュリティ商品でも、役員のツルの一声で導入とか
結構あるような気がします。
システム的にも単独で動くものだから、入れやすいし・・
まあ、無知を利用した詐欺みたいな気もしますが
Re:それで (スコア:3, すばらしい洞察)
まったく関係の無いデータを回収した場合は、返却ってことなんだろうけど。 それって、自分以外の誰かに関係ないものだということを証明するために見せなきゃいかんって事でしょ。
間違いであろうと、回収されてしまえば確実に誰か第三者に漏洩する仕組みってことよね。
大体において、捜査権もない一企業が個人のPCに対して捜査させることを強要するってのが間違いなんだって。
まぁ、そういう主張をすると、「やましいことがなければやれるはずだ。反対する君は怪しい。」とかわけのわからないことを言われそうだが。
Re:それで (スコア:2, すばらしい洞察)
なんか、ここのアレってこういうところで詰めが甘いというか…
/* Kachou Utumi
I'm Not Rich... */
Re:いいこと思いついた (スコア:2, すばらしい洞察)
他人の椅子に座るだけでキン●マウィルスに感染しかねないぞ。
絶対AC
Re:いいこと思いついた (スコア:2, すばらしい洞察)
アレ [excite.co.jp]はウイルスじゃなくて真菌ですから大丈夫(なにがだ?)
Re:なんで? (スコア:2)
それ以前に「鍵」の部分しかない寝殿造状態ではないかと思われます。
# 屋根があるだけましでしょ?
fjの教祖様
Re:JASRAC の方から来た者ではありませんが (スコア:2, すばらしい洞察)
Re:ありえねぇ (スコア:2, すばらしい洞察)
で、転職活動している/したいということが会社にばれてしまうと。
Re:個人情報保護法 (スコア:2, 興味深い)
これには親族、会社とは無関係の友人・知人、そして取引先の方々がまとめてリスト化されています。
取引先の会社名が羅列されていればアップロードの対象に引っかかってくるでしょう。
そしてそれをアップロードさせた時点で個人情報の取得。マズくね?
え?そのPCに取引先の方の個人情報が入っているのがまずい?
学生時代の友人の1人や2人くらい取引先に就職している奴いるだろう。担当として友人が出てきたことすら何度かあるし。
そもそも個人情報保護法施行前に取得した情報だったら問題無いし。
Re:ネットエージェント脅威の技術力 (スコア:2, 興味深い)
普通の人なら、全ファイルを検索してしまうところです。
その辺の技術が評価できるところですね。
普通のWinnyユーザなら対策として、Winnyをいったん削除してからチェックして終わった再インストールすればOKと 思うところを検出してしまうってことです。
これを見てファイル検索していると思った素人さんをだますってことですよね?
Re:100%ミス削除しないならいいけどな (スコア:2, おもしろおかしい)
俺の本名が書いてあるファイルが全部なくなったんですがどうしてくれますか(゚Д゚)ゴルァ!
Re:よりよいソリューション (スコア:2, おもしろおかしい)
……てのはどうかな。