IT 技術者は見てはいけない情報を覗き見したい衝動に勝てない 33
ストーリー by reo
力を制御する力 部門より
力を制御する力 部門より
danceman 曰く、
IT 専門家のなかにはデータへのアクセス権を濫用している人がかなりいるという調査結果が報告されている。他の従業員の給与明細や人員削減リストなど機微なデータを覗き見したいという誘惑に負けてしまうのか、果てまた本能の赴くままか。Lieberman Software が、IT 専門家を対象に調査を行った (Help Net Security の記事、本家 /. 記事より) 。
同調査に協力した IT 専門家のうち
- 42 % が、所属する団体において、IT 技術者がシステムやアプリケーションのパスワードやアクセス権限を共有していると答えている。
- 26 % が、ログへのアクセス権を濫用して不正に従業員の情報にアクセスしている IT 技術者がいることを認識していると答えている。
- 48 % が、所属する企業では、パスワード変更を 90 日以内に行っていないと答えている (一般的な企業コンプライアンスにおいて、90 日以内にパスワードを変更することが規則となっている。未だに大手企業のセキュリティーがハッキング攻撃にさらされてしまう大きなの理由の一つに、この規則を遵守していないことが挙げられるのだという) 。
同調査は、企業におけるアクセス権管理の甘さを証明することとなった。
抑止しかないと思う (スコア:2)
アクセスのログとか閲覧記録は別途権限で保存しておいて、不定期に確認するという内容を出すくらいかな。
そんでもってその行為にペナルティがつくならある程度の抑止にはなると思うけど
じゃあそのコストは?とか、別の監視はどうすんの?とか、ペナルティはどうすんの?とか言って実現しなかったことは多々ある。
管理者への教育がちゃんとしてれば大丈夫って言ってた人もいたけど、それで防げりゃとっくにやってるっての・・・。
中身じゃなく、件数だけ……とか (スコア:2, 興味深い)
顧客の実顧客数を調べろと言う業務命令が経営層から出たことあります。
(その数から、顧客の売上が把握できるのは、ワシでも判る)
契約と情報セキュリティを盾に断りましたが、予想通り自分の業務評価(と収入)は下がりました。
世間の情報システムの保守サービスやってる会社って、
「顧客のデータベースのデータ調べて営業利用する」行為は普通なんでしょうか。
それとも、件数くらいなら営業利用も問題ないんでしょうか。
何故自分から面倒を背負い込む? (スコア:2)
ちょっと信じられません。(もしかすると実数は1割くらいで周囲に知れ渡っているだけかもしれないけど)
パスワードの共有については、バックアップ要員には通知すると思いますけど。(共有しなかったら担当者が倒れたとき、どうするのか疑問です)
notice : I ignore an anonymous contribution.
Re: (スコア:0)
「この3つの問題を解決する製品が当社にはあります!」が正解なんだと思うけど。
「私自身が○○したことがある」なら26%が該当者、「○○した人を知っています」なら、
該当者の行為を知る程度に近い人が26%、1人あたりn人に伝わるなら該当者は26/n%
「○○した人がいることを知っています」ならもう1段以上離れても良いので、もう一回
割って26/n/n%です。
n=3くらいなら100人中で該当者は3人ということになります。
「聞いた話」で良いならもっと先の伝聞でも「そういう人がいるのは知ってるよ」と
いうことになりますよね。
Re: (スコア:0)
全く同意。
IT技術者に限らない (スコア:2)
Re:IT技術者に限らない (スコア:1)
管理者としてのプライドが見ることを許さない。
Re:IT技術者に限らない (スコア:2)
リア充の楽しい事をlog上で見つけたら自分がもっと惨めになる (スコア:1)
というのが見ないモチベーションの一つ。
もちろん信頼は築きにくく、簡単に崩れるとか、logを見た事があとでバレルとかもある。
後者については当事者に必ず事前事後log閲覧の旨のメールを記録として送っている。
タイトル (スコア:1)
見てはいけない、見られちゃいけ~ない~
Re:タイトル (スコア:2)
===============================================
と、いにしえのバラエティ番組を連想してしまった
fj.jokes出身:
いい加減気づけよ (スコア:0)
そういうことばっかやってるから嫌われる [srad.jp]。
普段偉そうなこといってても自覚がないのだよ。
Re: (スコア:0)
覗きが趣味ですから
Re: (スコア:0)
そのストーリーには111もコメントがついてグダグダ言ってるのを見た後に
このストーリーの閑散っぷりを見るとまた格別ですね。
本質的に言えば「幼稚」なんだと思います、実際。
Re: (スコア:0)
コメント数がどう関係するのか解説求む
Re: (スコア:0)
そろそろ釣れなくなってきましたね。
Re: (スコア:0)
IT技術者に限らず、覗いちゃいけないのを覗いちゃう人はいるよね。
田代とか教授とか鶴を助けた爺さんとか。
ユーザとしての意見 (スコア:0)
IT 専門家のなかにはデータへのアクセス権を濫用している人がかなりいるという調査結果が報告されている。
むしろ見られる恐れのあるものとして私は振舞っている。
用もないのに(必要もないのに)メールスプールとかホームディレクトリを見てほしくはないが、
ログとかアカウント情報なんかはもういいや…
ただし(必要があってでもそうでなくても)見た内容をもとに、何か一儲けするとか、ストーキングしてみるとか、
あまつさえ他人に漏らすとか、そういうのは不可。
# 使うな話すな
--
郵便局バイト経験者
Re: (スコア:0)
スマホとかね
Re: (スコア:0)
「ここだけの話だけど」
だったら言うな
参考例 (スコア:0)
第24話 管理者の苦悩 [atmarkit.co.jp]
Re: (スコア:0)
> 第24話 管理者の苦悩
こういうので、「ばらさない俺偉い」とか勘違いしてるから嫌われるんじゃないかな。
総務の人とかにとっては、全く当たり前の話なのにね。
Re: (スコア:0)
そこは、「知っていて然るべき」立場の人と「偶然にも知りうる」立場に居る人の違いでしょう。
まあ、そういう「ばらさない俺偉い」がやや気持ち悪いのは同意ですけどね。
実情 (スコア:0)
そんなどうでもいいことを気にしている暇なんてない。
無駄なことは何も考えずに働け。
ひねくれもの (スコア:0)
見るな、と書かれた情報→見てしまう
ちゃんとチェックしておけ、と書かれた情報→無視してしまう
要は対象者に合わせた注意書きにしてないのが悪いんじゃね?
Re:ひねくれもの (スコア:1)
つまり、上島メソッドを適用すべし、ということか。
・チームやグループ全体で共有しなければならない情報は「極秘 複写厳禁」
・重要な案件は会議室の机の上に無造作に置く
Re: (スコア:0)
どう考えても受け取り側の度量不足です。そんなのなら社会に出ないでください。
Re: (スコア:0)
どう考えてもコメントする側の度量不足です。そんなつまらないコメントしかできないようなら/.に出ないでください。
犯罪を発見したらどうすべきか (スコア:0)
100%犯罪かどうかわからないものが(脅迫・セクハラのメール)目に入ってしまって、悩んだことがある。
90日での変更かぁ・・・ (スコア:0)
昔はそうだったんだけど、二年ぐらい前から半年に一度にされたわ・・・
怪しい調査 (スコア:0)
> (一般的な企業コンプライアンスにおいて、90 日以内にパスワードを変更することが規則となっている。
> 未だに大手企業のセキュリティーがハッキング攻撃にさらされてしまう大きなの理由の一つに、
> この規則を遵守していないことが挙げられるのだという) 。
こりゃないでしょ。
パスワードが一度でも盗まれたことを仮定するのであれば、既にバックドアが仕込まれたことまで
仮定しなきゃいけないわけだから、パスワードを変更したところで、全く安全性は上がらない。
(パスワードを変更すると同時に、OSを含め利用するソフトウェアすべてを検証済みのものに更新するなら話は別)
セキュリティの専門家だって、分かってる人は意味ないぜっていってるでしょ。
例:
Microsoft Research - http://www.pcmag.com/article2/0,2817,2362692,00.asp [pcmag.com]
高木せんせい - http://securityblog.jp/interview/770.html [securityblog.jp]
Re: (スコア:0)
> セキュリティの専門家だって、分かってる人は意味ないぜっていってるでしょ。
そのリンクを見る限り、「意味がない場合もある (もちろん意味がある場合もある) 」
しか言ってないし、とても「意味ないぜ」とは読めないけど。
Re: (スコア:0)
盗まれることを仮定してんじゃなくて90日以内に試行回数にモノを言わせて破られることを案じてるんでしょ
一応探索空間が減ったのを回復させる効果はある(その上で確率の勝負だけど、だから無意味というわけではない