IT管理者による「機密情報のぞき」が急増 48
ストーリー by hayakawa
そのうち100%になる日も近い……か。 部門より
そのうち100%になる日も近い……か。 部門より
ロイターの記事によると、米情報セキュリティー会社であるCyber-Ark社が「ITのプロによる機密情報のぞき見が増加」しているという調査結果を発表した(Cyber-Arkによるプレスリリース)。
調査は、Infosecurity Europe 2009やRSA Conference 2009にて400人以上の上位専門職であるIT管理者を対象に行われた。「管理上保有しているパスワードを不正に使用し、見るべきではない情報を不正に閲覧したことがあった」と回答したIT管理者は、35%(前年比2%増)いたそうだ。また、「解雇された場合には、企業が競争上の優位性を保つ上で重要な情報や、機密保持に関わる情報を持ち出す」と回答したIT管理者も増加しているという。
/.Jerな皆様の会社では、このような機密情報はどのように管理されているのでしょうか。また、もし解雇されたときに、機密情報を持ち出そうと考えたことはありますでしょうか。
2%増が「急増」? (スコア:4, すばらしい洞察)
とはいえ、 不況でリストラの波が自分に及びそうなご時世には、会社への忠誠心や職業倫理などが薄れるってのは納得できます。
Re: (スコア:0)
0.1%が2.1%になったとかなら急増だが、
33%が35%ではなあ。
あと、「2%増」ではなく「2ポイント増」な > タレコミ
「2%増」ならどの状況下でも急増にはならん。
Re:2%増が「急増」? (スコア:1)
タレコミによると400人以上にアンケートと書いてあるので、標本数400で計算すると、35%→37%は優位差ない。 0.1%→2.1%は標本数400では無理なので、0.25%→2.25%の2ポイント増だと、有意差有ることになりませんか? 1%→3%の2ポイント増でも、ぎりぎり有意水準 5% で「差がある」
Re:2%増が「急増」? (スコア:1)
Re: (スコア:0)
そもそもサンプルが少ないのでやっぱり誤差の範囲。
Re:2%増が「急増」? (スコア:1)
Re:2%増が「急増」? (スコア:1, 参考になる)
#1585896は論外な嘘つき
#1585953は知ったかぶりの嘘つき
#1586016は「有意差あり」という結論は正しいが、
用いた方法が不適切でたまたま正しい結論を導いただけ。
その正規分布を用いた方法は、近似計算にすぎない。
400人中1人というサンプル数は、近似できる前提の範囲を逸脱している。
そのため、近似ではなく几帳面に計算する必要がある。
つまり、Fisher's exact test [wikipedia.org]を使うのが適切。
Fisher's exact testを行うと400人中1人と400人中9人は、
P値0.0207となる。よって、有意水準5%で「有意に差がある」と言える。
Re: (スコア:0)
to be, or not to be... (スコア:3, 興味深い)
この前偶然、社内のシステムで使われてるアプリのソース覗いちゃったんです。いや本当に偶然。
本来見えちゃいけないソースが何故か見えるように置いてあって、ディレクトリ単位でgrepかけたら出てきただけなんだけど。
給与計算で、個々の給与から税金を引いたあと、100円単位は切り捨てて会社の雑収入扱いにしてるんだ。
これ、どうしたらいいんだろう。社内で問題にしたほうがいいんだろうか。でも見ちゃいけないものなんだよなぁ。
Re:to be, or not to be... (スコア:2, 参考になる)
grepの出力先をネットワーク越しのプリンタにしてプリントしたことを忘れる
Re:to be, or not to be... (スコア:2, おもしろおかしい)
プリンタのログと/var/log/wtmpへ細工したことも併せて忘れるように。
Re:to be, or not to be... (スコア:1)
Re:to be, or not to be... (スコア:1, 興味深い)
「基本的には違法(窃盗罪)。ただし、賃金規定にこの旨が謳ってあるなら適法」
だそうですぜ。
Re:to be, or not to be... (スコア:1)
久しぶりにACが正しく機能してる例を見た気がする。
Re: (スコア:0)
それを会社ぐるみでやってないとは思えないので言わぬが吉かと。
会社の雑収入ではなく自分の部署に来るようにすればいいと思います。
Re:to be, or not to be... (スコア:1)
#ソンナニウマクイカネーヨ
Re: (スコア:0)
悩んだときは、 to be, or mot to be...
跳べ、オラ!もっと跳べ
とりあえず…… (スコア:2, 参考になる)
参考情報 [atmarkit.co.jp]かな?
お風呂屋の番台? (スコア:1, すばらしい洞察)
Re: (スコア:0)
Re:喩えとしてはいまいちだ (スコア:0)
問題は「誰かが座らねばならない」ことにあるわけじゃない。
「カメラを持って座ってはいけません」と言えないことにあると思うんだ。
Re: (スコア:0)
なんか聞きたいことある
# ばれるかもしれないけど絶対AC
機密情報たってなぁ。 (スコア:1)
ほとんど「公然の秘密」みたいなもんだし。
結局、誰かアクセスする事が出来る以上は、持ち出しを防ぐも糞も無いというか。
誰がそれを閲覧したか分かる様に、アクセスログを丁寧に取るしか無いと思うんでありますが。
そのアクセスログをIT担当者が簡単に偽装も削除も出来るんだったら終わってる……
Re: (スコア:0)
いまごろ急増なんていわれてもなぁ
むかしからザルな部分はザルだし
Re: (スコア:0)
強大な力を持ちすぎた管理者ってよくないですよねー
http://e-words.jp/w/Trusted20OS.html
怖かったです (スコア:1, 興味深い)
いくつかのシステムの管理者権限を持ったことがありますが、機密情報にいつでもアクセスできるという状況がとても怖かったです。
ただ、一番怖かったのがユーザから「エクセルのファイルがおかしいので見てくれ」と言われて頼まれたのが「人事評価.xls」だったことです。ユーザそんなに気にしてなかったようですが、受ける側としては「そんな重要なファイル、見せないでくれ(T_T)」状態でした。
#権限のない機密情報なんて見たくないチキンなのでAC
Re:怖かったです (スコア:1, 興味深い)
私の手元に人事評価.xlsと昇進試験結果.xlsがありますよ。
某人事担当者が「バックアップしてないので助けてくれ」と泣いて頼んできた時に、
私のPC上に救出されたファイルの一部です。
やばいことだと知りながら、何となく捨てるに捨てられず、今まで保管されています。
Re: (スコア:0)
盗聴出来るなぁ (スコア:1)
と、考えたことはある。
何時間掛かるんだ!って話ですが。
そんな暇無いよ!
システム管理者に見れないようにしておけよ・・・と (スコア:1)
システム管理者に見られて困る情報を、システム管理者が参照可能な状態になっているのが問題なだけだろう。単なるCIOの職務怠慢、あるいはIT投資をケチってリスクを放置しているだけだ。見られたくないなら、暗号化して、暗号カギや暗証キーをシステム管理者の手が届かない場所に置いておくだけでいいんだからさ。
でもそんなのを作られたら作られたで困る時も (スコア:0)
システム管理者の管理下にないシステムがトラブルの元になっても管理者が責められるのは断固阻止してください。そんなものを設置したことによる既存システムとの相性問題(既存側に影響が出る)がおきたときの責任とか、そっちの管理はきっちりやってくださいよ?
100歩ゆずっても設置するときは一声かけてくださいね。結構でかい問題おこるんだから!
# 大丈夫、取締役だけがパスワード知ってる暗号化USBメモリを用意するだけ...
# あーっポリシー違反!!
Re: (スコア:0)
入れ物は作るが後の運用はお任せ、みたいなパターンはシステム自体はある程度管理下にあるが、
中身は管理下に無いというだけのことでしょう。それは勝手にシステムを作られるのとは別の話。
上級管理職だって (スコア:0)
機密情報を持って出る可能性は高いと思うのだが。
IT管理職ごときにまで持ち出されるのが気にくわないってことなのかね?
Re:上級管理職だって (スコア:5, 参考になる)
>IT管理職ごときにまで持ち出されるのが気にくわないってことなのかね?
いえ。
「信用度の高い管理職への監視は意外な盲点になっている」「部下を指導する管理職は、それほど想定されていない」 [msn.com]なんだそうです。
むしろすごい屁理屈なのはこの部分。
>ただ、企業側としては、責任と権限が与えられている管理職への監視を強化することは
>「疑心暗鬼を生むことにもなり、士気に影響しかねない」(証券会社幹部)と二の足を
>踏む傾向もあり、情報管理の強化に向けた対策は容易ではなさそうだ。
IT管理職ごときは監視されても当然だけど、管理職様相手にその責任に見合った
監視体勢を構築するのは許されない事態なんだそうだ。
#流石は経営患部。
Re: (スコア:0)
だから上司がバカだとこの手のしくみはまったく役に立たず、一般社員が割を食うだけ。
まあ、この手の仕組みはそういうバカ上司が「ウチはセキュリティ対策してます」って
自己満足させるためのプラセボなんで、
そんなバカ管理職を置いている会社がカモなんでしょう。
普通の社会では、軍隊みたいに機密情報を漏洩した上官を銃殺なんていうわけにもいきませんし。
Re: (スコア:0)
>軍隊みたいに機密情報を漏洩した上官を銃殺なんていうわけにもいきませんし。
普通に処罰すればすむだけ。故意に起こせば裁判もありうる。
Re:上級管理職だって (スコア:2)
一般の上級管理職が持っている情報は、その守備範囲に限られるが、IT管理職がのぞき見できる情報はそれを超えていて、管理体制によっては大半の機密情報をのぞき見できるからでは?
増えている理由は、解雇された側がそれを納得できない事例が増えているからでしょう。「オレはこの会社に多大な貢献をしてきたのに解雇されるなんて」とか、「貢献度に比べて退職金が少なすぎる」とか。
いや、気持ちよく解雇される人は少ないし、逆恨みする人もいるから、ゼロにはならないけど。
安月給 (スコア:0)
こんな安月給で生活がぎりぎりじゃ、持ち出しによる報酬の誘惑にいつ負けるか分からない。
Re: (スコア:0)
一応「割には合わない」とだけコメントしておこうか。
#自分はプロと自認してるのでそういうことはしないが、その手の話と末路は聞くのでね。
Re: (スコア:0)
過労と貧困で死ぬよりは、境界を越えしまっても生きていた方…。
# これは、プロ(報酬をもらっている専門家)だからこその悩みじゃないかなぁ。
# アマ、というかオタク(趣味の専門家)の方が信念を貫くのは楽。
Re: (スコア:0)
>過労と貧困で死ぬよりは、境界を越えしまっても生きていた方…。
さらに、うまく行けば刑務所に入って三食昼寝付きのご身分になれますしね。
もう二度とブラック企業になんか戻りたくなくなるかも。
Re: (スコア:0)
> # アマ、というかオタク(趣味の専門家)の方が信念を貫くのは楽
そこでオタクでプロになれば解決ですよ。
機密情報までは見たことがないけど (スコア:0)
でも、持ち出しを考えたことはない。
それで儲けることもできるのかもしれないけど、どうしても「面倒くさい」という意識が出てきてしまう。
通常の業務でも、可能な限り自分ではデータを持たないようにしてるし、まして家のPCにコピーして業務の続きなんて。
それで納期に間に合わなくなっても、家で仕事なんざしたくない。
(いや、間に合わないなら普通缶詰だけど)
IT管理者でも見られない様にしておく (スコア:0)
後から担当になったのなら、あまりやりようが無いけど、システムを作る段階から手を出せるなら、
機密情報はIT管理者でも中身にアクセスでき無い様にしておくのがベスト。
手法は幾つかありますが、例えば「パスワードは変更はできるけど現在のは分からない」のと
同じレベルにしておくと気楽なIT管理が可能になります。
#ファイルにアクセス可能であっても中身にアクセスできない様にするのはそう難しくない。
#手間か金が掛かるけどね。でも安心は得られる。
サルベージ屋さん (スコア:0)
特に機密にされているものでもなんでもないですが、社内体制やら仕事の仕組みづくりのなんたら案とかの残骸とかをサルベージしたりはしてます。
現在社内に漂う問題点の改善案だったりするとラッキーですね。
* 当時技術的orコスト的にできないと却下されている
* 当時体制として確立させたが、今は有名無実で誰も守っていない
そんなのばっかり。今ならうまくやれそうなものもしばしばで、現状に即した改訂をして「原作者の名前を出しつつ」再提案。
# あまり信用されないIT管理者の名前より、当時の幹部の名前の方がよほど効果がある
Re: (スコア:0)
と言われて、ちょっとそのファイルの中を見てしまったりしませんか。
やはり、暗号化したファイルをバックアップしないとダメですね。
このネタやだなぁ~ (スコア:0)
明日から仕事がやりづらくなるジャマイカっ。
気付いても口にしない、そこに美学があるというのに。
例えファイルサーバ全部を漁れるとしても、バックアップサーバを買ってもらえないから、ローカルに一時保存するとしても、それは私ではないのです。
私の中の「Admin」がそうさせるのです。
以上。
# 「君、この超極秘機密ファイル印刷しといて、でも絶対中を見るなよ」
簡単X2 (スコア:0)
いいか、お前ら機密情報だから絶対に見るなよ!見るなよ!絶対に見るなよ!