パスワードを忘れた? アカウント作成
953968 story
プライバシ

IT 技術者は見てはいけない情報を覗き見したい衝動に勝てない 33

ストーリー by reo
力を制御する力 部門より

danceman 曰く、

IT 専門家のなかにはデータへのアクセス権を濫用している人がかなりいるという調査結果が報告されている。他の従業員の給与明細や人員削減リストなど機微なデータを覗き見したいという誘惑に負けてしまうのか、果てまた本能の赴くままか。Lieberman Software が、IT 専門家を対象に調査を行った (Help Net Security の記事本家 /. 記事より) 。

同調査に協力した IT 専門家のうち

  • 42 % が、所属する団体において、IT 技術者がシステムやアプリケーションのパスワードやアクセス権限を共有していると答えている。
  • 26 % が、ログへのアクセス権を濫用して不正に従業員の情報にアクセスしている IT 技術者がいることを認識していると答えている。
  • 48 % が、所属する企業では、パスワード変更を 90 日以内に行っていないと答えている (一般的な企業コンプライアンスにおいて、90 日以内にパスワードを変更することが規則となっている。未だに大手企業のセキュリティーがハッキング攻撃にさらされてしまう大きなの理由の一つに、この規則を遵守していないことが挙げられるのだという) 。

同調査は、企業におけるアクセス権管理の甘さを証明することとなった。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by iwakuralain (33086) on 2011年12月07日 11時19分 (#2062464)

    アクセスのログとか閲覧記録は別途権限で保存しておいて、不定期に確認するという内容を出すくらいかな。
    そんでもってその行為にペナルティがつくならある程度の抑止にはなると思うけど

    じゃあそのコストは?とか、別の監視はどうすんの?とか、ペナルティはどうすんの?とか言って実現しなかったことは多々ある。
    管理者への教育がちゃんとしてれば大丈夫って言ってた人もいたけど、それで防げりゃとっくにやってるっての・・・。

  • by Anonymous Coward on 2011年12月07日 11時20分 (#2062465)
    保守契約請け負ってるシステムの「利用率を計測する」と言うタスクを拡大解釈して、
    顧客の実顧客数を調べろと言う業務命令が経営層から出たことあります。
    (その数から、顧客の売上が把握できるのは、ワシでも判る)
    契約と情報セキュリティを盾に断りましたが、予想通り自分の業務評価(と収入)は下がりました。
    世間の情報システムの保守サービスやってる会社って、
    「顧客のデータベースのデータ調べて営業利用する」行為は普通なんでしょうか。
    それとも、件数くらいなら営業利用も問題ないんでしょうか。
  • 見ても益にならず、逆に面倒な事態を引き起こしかねない情報を能動的に見る馬鹿が26%もいるの?
    ちょっと信じられません。(もしかすると実数は1割くらいで周囲に知れ渡っているだけかもしれないけど)

    パスワードの共有については、バックアップ要員には通知すると思いますけど。(共有しなかったら担当者が倒れたとき、どうするのか疑問です)
    --
    notice : I ignore an anonymous contribution.
    • by Anonymous Coward

      「この3つの問題を解決する製品が当社にはあります!」が正解なんだと思うけど。

      「私自身が○○したことがある」なら26%が該当者、「○○した人を知っています」なら、
      該当者の行為を知る程度に近い人が26%、1人あたりn人に伝わるなら該当者は26/n%
      「○○した人がいることを知っています」ならもう1段以上離れても良いので、もう一回
      割って26/n/n%です。

      n=3くらいなら100人中で該当者は3人ということになります。
      「聞いた話」で良いならもっと先の伝聞でも「そういう人がいるのは知ってるよ」と
      いうことになりますよね。

    • by Anonymous Coward

      全く同意。

  • by saitoh (10803) on 2011年12月07日 17時05分 (#2062739)
    見る技術的手段を手にしていれば、見てしまう人は多い,というだけでは? 彼氏/夫の携帯をチェックする女性の存在から考えても、見ようと思えば見られる立場にあったら見てしまう、ってのはIT技術者だけの性質ではないと思う。
  • というのが見ないモチベーションの一つ。
    もちろん信頼は築きにくく、簡単に崩れるとか、logを見た事があとでバレルとかもある。
    後者については当事者に必ず事前事後log閲覧の旨のメールを記録として送っている。

  • by Anonymous Coward on 2011年12月07日 13時06分 (#2062595)

    見てはいけない、見られちゃいけ~ない~

    • by digl (19182) on 2011年12月07日 16時13分 (#2062709) 日記
      「さんちゃん、見ちゃった。データベース見たら住所此処だっていうし……」
      ===============================================
      と、いにしえのバラエティ番組を連想してしまった
      --
      fj.jokes出身:
      親コメント
  • by Anonymous Coward on 2011年12月07日 10時53分 (#2062438)

    そういうことばっかやってるから嫌われる [srad.jp]。

    普段偉そうなこといってても自覚がないのだよ。

    • by Anonymous Coward

      覗きが趣味ですから

    • by Anonymous Coward

      そのストーリーには111もコメントがついてグダグダ言ってるのを見た後に
      このストーリーの閑散っぷりを見るとまた格別ですね。
      本質的に言えば「幼稚」なんだと思います、実際。

      • by Anonymous Coward

        コメント数がどう関係するのか解説求む

    • by Anonymous Coward

      そろそろ釣れなくなってきましたね。

    • by Anonymous Coward

      IT技術者に限らず、覗いちゃいけないのを覗いちゃう人はいるよね。
      田代とか教授とか鶴を助けた爺さんとか。

  • by Anonymous Coward on 2011年12月07日 10時53分 (#2062439)

    IT 専門家のなかにはデータへのアクセス権を濫用している人がかなりいるという調査結果が報告されている。

    むしろ見られる恐れのあるものとして私は振舞っている。
    用もないのに(必要もないのに)メールスプールとかホームディレクトリを見てほしくはないが、
    ログとかアカウント情報なんかはもういいや…

    ただし(必要があってでもそうでなくても)見た内容をもとに、何か一儲けするとか、ストーキングしてみるとか、
    あまつさえ他人に漏らすとか、そういうのは不可。
    # 使うな話すな

    --
    郵便局バイト経験者

    • by Anonymous Coward

      スマホとかね

    • by Anonymous Coward

      「ここだけの話だけど」

      だったら言うな

  • by Anonymous Coward on 2011年12月07日 11時03分 (#2062452)
    • by Anonymous Coward

      > 第24話 管理者の苦悩

      こういうので、「ばらさない俺偉い」とか勘違いしてるから嫌われるんじゃないかな。
      総務の人とかにとっては、全く当たり前の話なのにね。

      • by Anonymous Coward

        そこは、「知っていて然るべき」立場の人と「偶然にも知りうる」立場に居る人の違いでしょう。
        まあ、そういう「ばらさない俺偉い」がやや気持ち悪いのは同意ですけどね。

  • by Anonymous Coward on 2011年12月07日 12時46分 (#2062570)

    そんなどうでもいいことを気にしている暇なんてない。
    無駄なことは何も考えずに働け。

  • by Anonymous Coward on 2011年12月07日 13時53分 (#2062640)

    見るな、と書かれた情報→見てしまう
    ちゃんとチェックしておけ、と書かれた情報→無視してしまう

    要は対象者に合わせた注意書きにしてないのが悪いんじゃね?

    • by Anonymous Coward on 2011年12月07日 14時51分 (#2062668)

      つまり、上島メソッドを適用すべし、ということか。
      ・チームやグループ全体で共有しなければならない情報は「極秘 複写厳禁」
      ・重要な案件は会議室の机の上に無造作に置く

      親コメント
    • by Anonymous Coward

      どう考えても受け取り側の度量不足です。そんなのなら社会に出ないでください。

      • by Anonymous Coward

        どう考えてもコメントする側の度量不足です。そんなつまらないコメントしかできないようなら/.に出ないでください。

  • by Anonymous Coward on 2011年12月07日 17時14分 (#2062744)

    100%犯罪かどうかわからないものが(脅迫・セクハラのメール)目に入ってしまって、悩んだことがある。

  • by Anonymous Coward on 2011年12月07日 22時52分 (#2062992)

    昔はそうだったんだけど、二年ぐらい前から半年に一度にされたわ・・・

  • by Anonymous Coward on 2011年12月08日 14時00分 (#2063414)

    > (一般的な企業コンプライアンスにおいて、90 日以内にパスワードを変更することが規則となっている。
    > 未だに大手企業のセキュリティーがハッキング攻撃にさらされてしまう大きなの理由の一つに、
    > この規則を遵守していないことが挙げられるのだという) 。

    こりゃないでしょ。
    パスワードが一度でも盗まれたことを仮定するのであれば、既にバックドアが仕込まれたことまで
    仮定しなきゃいけないわけだから、パスワードを変更したところで、全く安全性は上がらない。
    (パスワードを変更すると同時に、OSを含め利用するソフトウェアすべてを検証済みのものに更新するなら話は別)

    セキュリティの専門家だって、分かってる人は意味ないぜっていってるでしょ。
    例:
    Microsoft Research - http://www.pcmag.com/article2/0,2817,2362692,00.asp [pcmag.com]
    高木せんせい - http://securityblog.jp/interview/770.html [securityblog.jp]

    • by Anonymous Coward

      > セキュリティの専門家だって、分かってる人は意味ないぜっていってるでしょ。

      そのリンクを見る限り、「意味がない場合もある (もちろん意味がある場合もある) 」
      しか言ってないし、とても「意味ないぜ」とは読めないけど。

    • by Anonymous Coward

      盗まれることを仮定してんじゃなくて90日以内に試行回数にモノを言わせて破られることを案じてるんでしょ
      一応探索空間が減ったのを回復させる効果はある(その上で確率の勝負だけど、だから無意味というわけではない

typodupeerror

アレゲは一日にしてならず -- アレゲ研究家

読み込み中...