米国のホワイトカラーの1/3以上がITポリシーを守っていない 73
ストーリー by yoosee
守られないルールはルールがないよりも得てして有害 部門より
守られないルールはルールがないよりも得てして有害 部門より
Dosa 曰く、
slashdot.org でも
One-Third of Employees Violate Company IT Policiesとして取り上げられているが、 ISACAの電話調査によると、米国のホワイトカラーの35%は一回以上勤務先のITポリシーを破ったことがあり、15%は業務中にP2Pファイル共有をしたことがあるそうだ。
本邦においても面倒な手続や不自由な規制が増えている割に情報流出等の事故が後を絶たないが、皆さんの職場でのポリシー遵守状況はいかがだろうか。ちなみに、私の職場では(以下規制)
ウチの会社の場合 (スコア:4, 興味深い)
それまでの顧客や協力会社との間のワークフローを一切無視していきなり施行されたので、業務に支障がでまくり、みんなあの手この手を使ってルールの穴をかいくぐる手段を考えるようになりました。
もちろん、暗号化されてない生のメールが危険なのは当然ですが、何故メールの暗号化の社員への義務づけや、顧客・協力会社への啓蒙活動をしようとせず、いきなり全面禁止なんて策に走ってしまったのか... orz
実態の業務を無視したルールが、かえってセキュリティ低下させる悪例です。。。
Re:ウチの会社の場合 (スコア:5, おもしろおかしい)
『どーもいつもお世話になっております。A社の○○と申します。今お電話よろしかったでしょうか?
メール頂きました。ええ。それがですね~、今わが社では添付ファイル禁止なんですよ。
ええ。セキュリティがどうのって。最近煩くてですねぇ。
で、手渡しか書留って事になってるんですが、お急ぎですよねぇ。
ええ。流石に手渡しも・・・九州じゃねぇ。
あ~、ではZIPにパスワードかけてWinnyに放流しますので拾っていただけますか?
ハッシュはメールでお送りしますので。
ええ。よろしくお願いいたします。
では、失礼いたします。』
チン
# よし。
## よしじゃねぇ。
Re:ウチの会社の場合 (スコア:1)
>ハッシュはメールでお送りしますので。
こいつを真面目にやるって言うのはどうだろう?
仕事に必要なファイルは、Winnyのような解放したP2Pではなく
社内のネットワークに放流して、
外部に伝えるのはハッシュのみ。
ファイル入手のためのURLもしくは、アプリはあらかじめ郵送しておく。
ファイルを取ろうとしたアクセス元は全て記録できるし、
メールのフィルタリングでは,添付ファイルまで調べる必要はなくハッシュを調べれば良い。
よくやり取りする取引先だけしか使えないし面倒だよなぁ。
# 本文中にuuencode,base64禁止!
Re:ウチの会社の場合 (スコア:2)
uuencodeやbase64のような一般的な方式では、フィルタリングソフトも対応しているかもしれない。
そうだ!
半ば忘れられた存在になったもの(例:ishとかrot13とか)を使えば。
# ルールの網の目をかいくぐり方に、労力を向けるなっての(笑)
Re:ウチの会社の場合 (スコア:3, 興味深い)
多いのだろうか・・・ (スコア:3, 興味深い)
この記事を思い出した。
っ システム管理の“ここがヘンだよ”: 無線LAN禁止、VPN禁止、FTP禁止……は管理者の怠慢か [itmedia.co.jp]
Re:ウチの会社の場合 (スコア:2, 参考になる)
もし、万一情報流出等事故が発生しても、情報システム部に責任はありません。
そのPCを使っていた社員に責任があります。
情報システム部の人に何をしたらいいか尋ねると、
PCの使い方がわからない人は、近所のパソコン教室に通いなさい、とのことです。
#他社の人から「無法地帯ですか?」と言われちゃったよ。
Re:ウチの会社の場合 (スコア:3, 参考になる)
情報流出した事件はあったけど、全社の情報システム部門には全くお咎めはなかったです。
流出した部門には当然ですがいろいろありました。
個人で使うPCはすべてユーザー管理で、入れようと思えばどんなソフトでも入れられます。
多分、殆どのユーザーが日常的に管理者権限でOSを使っているでしょう。
でも各部門で自部門にあったルールで運用できますから部門側にとってもメリットはあります。
PC教育についても部門でやってます。PCの使い方がわからない人への対応を情報システム部門に
聞くっていうこと自体ありえないです。
同じようなルールをいくつもの部門で作ってるっていう無駄はすっごく感じます。
情報システム部門の仕事は物理的なインフラの整備が中心かな。
そんな情報システム部門が突然全社のルールを決めることがありますけれど、
だいたいは部門の猛反対にあって数日以内に撤回されます。
最近は事前調整するようになったのでルールを決める前に却下されることが多いかも。
#元コメントに「おもしろおかしい」がついてるけど笑っちゃうくらい変な状態なのか…
#社員数は10万に欠けるくらいです。
--考えたけどACにしときます。ちなみに僕はの立場はただの1ユーザーです。
Re:ウチの会社の場合 (スコア:1)
>業務に支障がでまくり、みんなあの手この手を使ってルールの穴をかいくぐる手段を考えるようになりました。
それは・・・業務システム部署に対してきちんと正当な理由を提示して規制を変更してもらうべきでは?
いや、そもそも説明しても融通が利かないし、現行規制をかいくぐるぐらい
せっぱつまってる状況はありがちなので、ほんとに素朴な疑問ですが・・・(^^
Re:ウチの会社の場合 (スコア:4, 参考になる)
業務システム部署って、IT関連以外まで含めるといろんな部署が絡んでいてまず無理。
うちの会社の場合、
・総務部指令:「海外出張時は必ず電子メールで毎日上司に(安否を含めて)状況報告を行うこと」
・IT部門指令:「業務に関する情報を含む電子メールを送る場合は、必ず暗号化を使用し・・・」
・法務部指令:「各国の法令を遵守し・・・」
・その他たくさん・・・
の規制がありますが、中国の工場に出張したら、ここにあげた最初の3つですでに矛盾していて
守れないのであった。
で、うちのえらい人が、それぞれの部門に中国出張の場合の対応方法を問い合わせたら、どこからも
自分のところで決めたルールを守れ、という以外に返事がなかったそうな。
問い合わせ時に、「矛盾しているからどうしたらいいの?部門間で調整してもらえませんか?」と質
問したらしいのだが。
当然、どれかを無視して運用するしかなくて、万が一にも中国当局に捕まりたくはないので、よほど
の情報じゃない限り暗号化せず、という運用みたい。よほどの情報の場合は電話(音声)か手渡しの
ようです。
Re:ウチの会社の場合 (スコア:1)
自分が言いたかったことは、#1244368 [srad.jp]の方も書いてらっしゃいますが
「なにがネックになっているか」「なぜ業務に支障をきたしているか」「本来誰が対処すべきか」を
明確にしてアピールすべきだということです。
現場で判断して現行規制外の運用をしなければならなかったとして、
将来的に情報漏洩など致命的な問題が発生したら、自分たちの責任になるのは(私なら)避けたいです。
うちの会社の場合、休日のトラフィック制限がきつすぎて過去に対外向けの法務手続きを
危うくトチりそうになったことがありました。ただ業務システム部門の担当者に言わせると
休日はどうしてもおさえなきゃいけないの一点張り。で、インフラ担当部門に元研究開発部門出身の
マネージャがいたので、そこを通して社長と部門長に掛け合って、メールと土日の一部サイトについては
通信トラフィックの規制を緩和してもらいました。
法務手続きがアウトだと、最悪会社が傾くのでそれを偉いサンに強調して。
組織の不整合はどこでもあるので、別にコネを使って解決しろとか極端な言いませんが、
あとあとのために自分たちの立場をアピールしておくことは、第一手として大事だと思います。
Re:ウチの会社の場合 (スコア:2, おもしろおかしい)
> 将来的に情報漏洩など致命的な問題が発生したら、自分たちの責任になるのは(私なら)避けたいです。
規則を守った結果であっても本来の業務が滞って業績悪化したら、情報漏洩で致命的な問題がおきなく
たってどっか飛ばされます。つまり中間管理層には選択肢はないのです。
それでも一応文句を、ということで、うちのえらい人が調整をお願いしたけど、それぞれの部門はしらんぷり。
最後はIT部門のえらい人が「中国に出張しなければいいでしょう!」と真面目な顔で言ったとか言わないとか。
#自社工場が中国にあるのにそんな阿呆なこというなよ・・
Re:ウチの会社の場合 (スコア:1)
Re:ウチの会社の場合 (スコア:1)
昔、WPC expoだったかの講演でネットワークストレージ屋さんが同じ事を言ってました。
実務に必要な現状・実体・要求を理解せずにポリシーを押し付けると野良ストレージが増えて結局酷い事になると。
# ストレージをメールに置換すればそのままですね。
## 次はストレージ郵送も禁止されたりして、みなし音声でファイルを送受信することに?
Re:ウチの会社の場合 (スコア:2, 参考になる)
名言だよホント [srad.jp]
Re:ウチの会社の場合 (スコア:1)
>「社外への電子メールでの添付ファイルは全面禁止。
最近はやってるんですかね。今のところ「社外」と何一つ関係しない仕事なので
実害がありません。そもそも本文だけで十分。添付する必要が。。。
#仕事してないわけだ。
>即日施行。社外との情報のやり取りは手渡しまたは書留郵便で行うこと」
こっちはありませんでした。「社外」とどうしろというような指示はなし。
他の部署はどうしてるんだろうなぁ。
Re:ウチの会社の場合 (スコア:0)
みんなで「新ポリシーのためスケジュールに遅延が発生しています」報告をマネージャ経由で上層部に大量送付するとかはしなかったの?
Re:ウチの会社の場合 (スコア:1, 興味深い)
大抵、IT管理部門(間接業務部門)と事業部門の担当のえらい人は別であることと、えらい人同士が摩擦を嫌う(しかも理解できないことだし)ので、「それとこれとは別問題」とあしらわれるのがオチってもんです。
Re:ウチの会社の場合 (スコア:4, 参考になる)
>大抵、IT管理部門(間接業務部門)と事業部門の
>担当のえらい人は別であることと、えらい人同士が
>摩擦を嫌う(しかも理解できないことだし)ので、
>「それとこれとは別問題」とあしらわれるのがオチ
>ってもんです。
まさにその通りの状況です。大きな組織なので、本社が決めた通達を覆すには、5階級くらい上のえらい人に直訴しなきゃいけません(ほぼムリ)。
あと、課長以上くらいの階級になると、いくらルールがおかしいと思ってもなかなか言えないらしい。万が一自分のところで漏洩事故が起きたときに言い訳できなくなるから。たとえその事故が、メールとは無関係のものであっても、「上が決めたことに文句を言うような部署だから、こういうことが起きるんだ」って言われかねないからね。
本社の管理・企画部門がバカだと、いくら現場ががんばってもどうにもならない、ということが身にしみてわかりました。。。。
# いつもはIDだけど、今回はさすがにAC
Re:ウチの会社の場合 (スコア:2, 興味深い)
建前だけでも、毎月業務改善提案の提出が義務付けられている所がありましたが、
取締役も持ち回りで目を通すため、極少数の能力のある人の提案が通って、
効率の悪い所は徐々に改善されて行くっていう感じでした。
まあ、9割以上はゴミみたいな提案書でしたが、アイディアや文章力のある人は、
少ないながらも居るようですね。不思議と何とかなるものです。
要するに、業務の効率化に対して、会社をあげて協力する体制ができていれば、
すぐにとは行かないまでも何とか妥協できる範囲に落ち着くものです。
それぞれの部署がコミュニケーションを取らずに、文句だけ言っているような所は、
生産性が悪いですよ。
Re:ウチの会社の場合 (スコア:2, 参考になる)
その要因が発生した時点(認識した時点)で生産性が落ちていくことに手を打たないのであれば、
マネジメントの放棄以外のなにものでもありません。
法を守る、モラルを守るというのはルールができる前から当たり前の話であって、その上に
実行不可能なルールを定めてくるのであれば、クレームを付けた上で無視するしかありません。
他部門である事業部門の業績(成果)を落とさせて管理部門が自分たちの成果だけを求めるよ
うな不合理な要求をしても守られるわけがありません。
もし本当にそこまでやらなきゃいけないのなら、管理部門が自ら中心となってなぜ無視される
かをきちんと分析して、それに対する現実的な対応方針を検討し、事業業績に影響するなら経
営トップと自ら直接協議・調整して、経営トップ層から会社としての業績が落ちるけど実施す
ることの了承をとるべきです。
それができないなら、その必要が無い(あるいは優先順位が下になる)程度のルールでしかな
いということです。
やっぱり・・・・・ (スコア:4, 興味深い)
記事に書かれているような・・・・・・
・ダウンロードしたソフトの使用
ほとんどの人がやってました。規則ではだめって書いてあることが多いようですが守られることはほとんどないようです。
IM系、Winampなどの音楽プレイヤーが多い。後はGoogle Desktopなんかをインストールしている人もいました。
会社によっては実効的な効果よりも、何かあったときの責任逃れのために、上記のような規則を持っている場合も多いようです。(つまり、お咎めを食らうのは社員本人。会社は「規則で禁止しているのにそれを破ったから障害が発生した」と体裁を保てる。)
・共有ソフト
実は社内ポリシーで使ってもいいよ、と言っていた会社がありましたが、どっかからあんたのとこから違法ファイルが共有されている、とかいう警告があって禁止になりました。まあ、これは特殊な例ですね。BitTorrentぐらいなら日常的に使用されています。
・個人的なメールのチェック
これは100%行われてますね。買い物なんかもしている人はいますがほとんどお咎めがないのが現状です。ただし、これは裁量労働のため、あまりとやかく言っても仕方がない、ということかも知れません。
ただ、この記事、「1/3が違反を認めた」となっていますから、正直に答えてない人も多数いそうですから、本当はもっと多いのかも知れません。
残り2/3のうち (スコア:3, すばらしい洞察)
ルールは周知してこそ (スコア:2, 参考になる)
結構、いると思いますよ。
こういうルールって、みんなに知らしめて、守ってもらって、初めて実効性があがって本来の効果を発揮するんですけど、作っておしまいという人(組織)が多いですね。
そのためには周知する手間、守らせる手間、破ったら是正する手間がかかります。
けど、そういう権限を握った人間のすることって、いつのまにかルールを作って、ルールに触れた人間をつるし上げるだけですね。
はっきりいって、そんなルールって、責任逃れでしかないと思うよ。
Re:ルールは周知してこそ (スコア:2, 興味深い)
実際に運用するようになると、無視する奴や文句言う奴がでてきて嫌になるんだけど。
なんで事故にするんだ責任逃れか? (スコア:2, すばらしい洞察)
情報流出は業務上横領罪を適用してもいいぐらいの犯罪だよ。
事故とか言ってるから無くならない。
Re:なんで事故にするんだ責任逃れか? (スコア:0)
「事故」ということにしたいのですよ。
Re:なんで事故にするんだ責任逃れか? (スコア:1)
なんかさぁ・・・ (スコア:2, おもしろおかしい)
中学校の頃の校則のようなレベルの話で笑えます。
この辺までは校則(社則)を破ってもいいレベル(黙認)とか、
校内(社内)の風紀を乱すエロ本(エロサイト)は持ってくるな(閲覧するな)とか、
この辺は見つかったら口うるさい先生(上司)から生活指導(戒告)があるよとか、
これは内申点(評価)に響くからやめとけとか、
これは退学(クビ)になるから絶対するなとか、
問題が起こると、今後進学先(取引先)からの推薦(受注)がなくなるから、お前ら
修学旅行先(出張先)でもハメ外すなとか、なんか色々当てはまる。(笑
みなさんその辺の洗礼は受けてきている訳で、ITや一般常識に関する
リテラシーがあって、やっていいことと悪いこととのリスク管理が出来れば、
おのずと空気が読めるでしょ?
Re:なんかさぁ・・・ (スコア:2, おもしろおかしい)
リスク判断を行う門外漢が多く居たために、
リスク管理を空気に委ねる前時代的な手法では
バランスが取れなかったという教訓から「校則レベル」になったのでは。
会社間の空気で決まるらしい (スコア:2, おもしろおかしい)
#社内でその取引先の仕事をしてるのは一部の人間だけなので、彼らを別の部屋とかに
#隔離してその中で規則を守らせれば良いんじゃない?って言ったら怒られた
Re:なんかさぁ・・・ (スコア:2, おもしろおかしい)
> 中学校の頃の校則のようなレベルの話で笑えます。
全くです.
うちの会社の規則もだんだん校則化してきています.萎えます.
でも,こういう傾向にあるということは,
> みなさんその辺の洗礼は受けてきている訳で、ITや一般常識に関する
> リテラシーがあって、やっていいことと悪いこととのリスク管理が出来れば、
> おのずと空気が読めるでしょ?
実は空気を読めない奴らが意外とたくさんいたということでしょうね.
あと,最近の新人くん達はこの手の「洗礼」を受けていないような気がします.
どうやら一々言わなきゃ(書いてなきゃ)分からないらしい.
米国のホワイトカラーの1/3以上が (スコア:2, おもしろおかしい)
ITポリシー守ってないと言っても (スコア:1, 興味深い)
・ポリシーを守ってもらうための方策は取られているのか。
というようなことがわからないとなんとも。
LinuxのディストリビューションCD-ROM Imageをダウンロードするために、P2Pのファイル共有にはお世話になってます。職場でP2P禁止されたら、ftpサイトから落とすことになるんだろうけど。
#でも、P2P系のシステム開発がやりにくくなるなぁ
BitTorrentは使います (スコア:3, 参考になる)
もちろんある時間帯にあるクライアントから使いますという
申請を事前に出して許可をとってからですが。
そうしないとアラートが上がってあとから怒られかねませんし。
屍体メモ [windy.cx]
Re:BitTorrentは使います (スコア:0)
BitTorrentでダウンロードするということは自動的にアップロードもするわけで、
会社の帯域を第三者に提供することになりますが
そのあたりどうとらえるべきなんでしょうかね。気にしなくてもいいのかな。
Re:BitTorrentは使います (スコア:1)
Re:BitTorrentは使います (スコア:0)
# 私が読めてないだけ?
Re:BitTorrentは使います (スコア:2, すばらしい洞察)
まーでも、BTはダウンロードの方が圧倒的に「太い」し、気にするほど帯域食うもんでもないと思う。それと社内に需要が多ければ社内にキャッシュがある状態になるのでどうでもいいようなレベルだと思うがなぁ...会社がどう判断するかは別の話だが、もしこれを問題にするようならその会社が対外的にどんな美辞麗句を並べていようともホンネはそんなもん、またそこまで考えてないくらいにはアフォだと判断されるだけだろうな。
Re:BitTorrentは使います (スコア:1, すばらしい洞察)
BTの恩恵には預かりたいけど、帯域の提供は嫌だという方が、企業モラルとしてどうかと思いますが。
Re:BitTorrentは使います (スコア:1)
P2Pファイル交換っても (スコア:1)
社内リソースの問題を別にすれば、それほど危険と言う意識はないのかもしれませんな。
____
#風邪をひきました、脳が故障しています
#残念ながら仕様です。
Re:P2Pファイル交換っても (スコア:1, 興味深い)
Re:P2Pファイル交換っても (スコア:1)
それじゃない?
キンタマはある意味良心的(Re:P2Pファイル交換っても) (スコア:1)
何を抜かれたか分からないから海軍乙事件になってしまう。
産業スパイ型ウイルスは報道されることも少ないため、(一般社員レベルでは)あまり注目されていないのかな。
Re:P2Pファイル交換っても (スコア:0)
だから悪くないってわけでもありませんが。
勤務中にP2Pって (スコア:1, 興味深い)
お疲れさまです。
え?Skypeで会議の資料送った?
お疲れさまです。
いや、P2Pファイル共有使うなっていっても業務の効率性ダウンしますよね。
# 何か違う・・・
# にしても、業務中に業務と関係ないP2Pファイル共有って
# どんだけ暇な職場なんだよ
# そんな暇もマシンリソースも余ってねえよw
ウチであまり守られてないポリシーの例 (スコア:1, 興味深い)
Re:ウチであまり守られてないポリシーの例 (スコア:1, おもしろおかしい)
○:あきらめない [google.co.jp]
間違ったら死刑
転社/転職が普通だから? (スコア:1)
とか思った。
fj.jokes出身: