アカウント名:
パスワード:
出席した社員が独断でサーバーからノートパソコンにシステムと個人情報データをコピーして携行した。打ち合わせ終了後社員は直帰したが、翌日出勤する際、地下鉄の車内にノートパソコンを置き忘れたとのことだ。
(そこそこの規模の会社ならどこもやってると思いますが)社内教育の代表事例をそのままなぞってて苦笑。
とりあえず、あえて書くことでも無いですが ・独断(無断?)でデータをコピーしない(※1) ・個人情報を自宅へ持ち帰らない ・置き忘れるような持ち歩き方をしない(この場合は網棚の上か、隣の座席に置いていたのだと思いますが)
11/29に紛失して12/4に報告しているのも引っかかりますね。 ・紛失を認識した時点で上長に報告(これ、紛失初日は一人で探してたんじゃないですか?)
事例として載っているということは過去にも同じ事をした人が居たのでしょうから、単に気をつける、じゃなくてフールプルーフ的な考え方(※2)で動きましょうということで。
※1 データのコピーについては、厳格に守れている人はほとんど居ないと思います。直接作業する人は特に。※2 (無断持ち出しは論外として)気軽に持ち帰らない、とかカバンを網棚に上げないとかはこの考え方ですよね。 置き忘れだけでなく、公共機関での居眠りによる盗難とか、自動車移動の場合は車上荒らしを警戒して手元に置いておくとかもありましたね。
・置き忘れるような持ち歩き方をしない(この場合は網棚の上か、隣の座席に置いていたのだと思いますが)
オフトピ承知だがあえて言わせていただきたい。電車内で寝るときにはカバンの持ち手を掴んだくらいでは窃盗に遭いかねないという事を。以前、人の少ない路線で持ち手を掴んだまま爆睡してたらカバンが開けられて携帯電話を盗まれたことがあったもので。それ以来寝るときはちゃんとカバンを抱きかかえるようにして、丸まるように寝てる。
寝んなよ
そこで、HDDにデータを保存できないシンクライアント導入で [fujitsu.com] セキュリティ確保 [hitachi.co.jp]ですよ!HDDを持たないシンクライアント端末、物理キー、サーバソリューションを組み合わせれば、・端末のみ盗難ならば起動できないし、内部にデータがそもそも存在しない。・端末とカードキーを一緒に盗難された場合は、管理者から使用停止可能。
と今回のようなPC盗難・紛失に対してかなり対処できるはずです。ただし快適な動作にはそれなりの帯域を持つネットワーク環境が前提となりますので、ユーザが使いやすいか?と問われるとは悩むところですが。。。
近年ほとんどの自治体ではこのようなことが起きてもなにやってるんだ!!と言えるように、作業構築業者には誓約書を書かせているはず。
問題はこの後。こういったプロジェクトには業者は一社とは限らず複数絡んでいることが大半。これにより、構築期間が短くなり 結果作業がはんざつになりやすい。
おそらくその流れでやっちまったんだろうと思う。
でシンクライアントだけど。一般的には客先のインフラもしくは構築インフラにはつなげてはいけないことが多いいので、これは無理。(実際、H,F,Nの持ち出し端末はシンクラになっているけど、客先インフラにはつなげないですよ)
「・端末とカードキーを一緒に盗難された場合」に管理者に届け出るまでにデータが抜き取られた場合にはどうしたらいいでしょうか?
セキュリティに限りませんが「やっちゃダメと言われたことを本当にやらないでいるとダメ」なのが現実です。リスクを取らないと利益が出ず埋没するだけですから。それがビジネスです。
セキュリティの話で言えば、守りましょう守りましょうと連呼するのは表面上はよいのですが実際は「ブッチして問題起きなかった人が利益を得る、 ブッチして問題起こした人は罰ゲーム。 ブッチしないのは食われるのを待つ羊」という見方が現実的です。
交通ルールを極端に守ったら周囲の迷惑、ある程度ブッチして事故や違反につながらなかった人が勝ち、と同じですね。
できない・やらないタイプの人が、よくそういうことを言ってますよ。
自己紹介でしょうか。
> それがビジネスです。
詳しく。具体的にどういう規則が、具体的にどういう場面で、破らざるを得なくなりますか?たとえば今回なら、打ち合わせのために個人情報を持参する必要が生じるのは、どういった場面ですか?そして、それを防ぐためにはどうすればいいですか?
それともう1点。規則をそのまま守っていてはダメとして、じゃあ何を守ればいいですか?客や将来の客に対する信用を維持し、客に、この企業なら発注して個人情報を託しても構わないと思わせるには、どうすればいいですか?「私たちは規則を守りません」だけでは信用を保てないのは明らかです。
おうちに帰りなさい
> 交通ルールを極端に守ったら周囲の迷惑、> ある程度ブッチして事故や違反につながらなかった人が勝ち、と同じですね。
交通事故にしてもセキュリティ漏洩にしても、罰ゲームがしゃれにならんわけですが。
金銭的な損失だけで済む場合と、済まない場合というのは、リスクの計算の仕方を分けないといけないのかもしれません。
> 「やっちゃダメと言われたことを本当にやらないでいるとダメ」> なのが現実です。
でも、それが外の人にばれてしまう(または、外の人に報告せざるを得ない状況になる)とアウトです。
車の場合、事故対策に保険(自賠責+任意)というリスク対策があってこその事故や違反につながらなかった人が勝ちでしょう。
ブッチして問題起こした人は罰ゲーム程度で済んで。ブッチしないのは食われるのを待つ羊なのはセキュリティが過剰なのでは?車も免許も保険も完備しといて、移動は徒歩に限る。電車も許さんみたいな
失礼ですが、どこのブラック企業にお勤めでしょう?普通そんなことしたら内部監査でひっかかるでしょうに。
どこの非ブラック企業にお勤めかはしりませんが、大真面目な話として内部監査がキッチリ運用されているそこそこまともな企業名を挙げていただけますか?
これは「表面上はキッチリ運用されている」ではありません。中身まで完璧に運用しているところをお願いしますね。
あらかじめ言っておきますが、そんな企業は一つたりとも存在しないと断言しておきます。
内部監査がキッチリ運用されていない会社が見つからなかったんですね。わかります。
>内部監査がキッチリ運用されていない会社が見つからなかったんですね。わかります。
他人にケチつけておいてソースは出さない姿勢というのは最悪だな。
みんなひどいこと言うなあ。彼は内部監査通りにできる仕事しかさせてもらえてないのに。
#2287104 は自分が批難されてることに気づかないのだろうか。
ありますね。ってかありすぎて困るレベル。
大手メーカーの下請け工場なんかでの事故では従業員が勝手に安全装置を切って作業してるために起こるケースがありますが、なんでそんなことしてるかというと、安全確認作業を真面目にやってると発注元の要求に間に合わないから。#自動車工場とか、東海村の臨界事故とかも時間短縮のために手順を変えていた
従業員が勝手に、と言っても、上のほうもそうしないと間に合わないことがわかっているから黙認する。で、事故が起きたら「従業員が勝手に~」で逃げる。
こんなこと、日本中の下請けで行われてるし全然珍しくない、「血を吐きながら続けるマラソン」ってやつですね。
>出席した社員が独断でサーバーからノートパソコンにシステムと個人情報データをコピーして携行した。会議に必要だったのでデータを持ち出したのか?正直言えば、無論ダメなのはわかるがまだ理解はできる…ただ独断と言う部分が気にかかるが。
>打ち合わせ終了後社員は直帰したが一番の問題はここだ。なにゆえ直帰したのか。そんな遠い場所での会議だったのか。もしくは、時間外勤務が許されなかったのか。
…要はね、ダメとわかっていてもそうしないとまともな業務がこなせない、って体制を費用削減の名の下にやってたんじゃなかろうなと。ええ、うちがそうです。氏ねって言いたい。
>なにゆえ直帰したのか。そんな遠い場所での会議だったのか。「支社」は東京本社を兼ねる一ヶ所だけ [oec-solution.co.jp]のようですね。地方は「支店」と「事務所」だけ、つまり支店が営業所で事務所は協力会社の名義貸しである可能性大。そうでなくても土木コンサルでシステムやってる部署があちこちの支店に技術を置いてるとは思えない。
つまり技術スタッフは東京から岡山へ打合せに出ていた、ということでしょうね。
#同業かつ常態なのでAC
11/29に紛失して12/4に報告しているのも引っかかりますね。
世間様に「キッチリ対応している」と文書で公開している事業所であれば紛失に認識したら即刻報告がルールでしょうね。たとえ同時に探していて、探していたらすぐ見つかっても。3営業日、休日を含めても5日間というのは批判の種以外のなにものでも。たとえどんな申し開きがあるにしてもそれは間違ったルール、ルールは正しくても間違った解釈で行動していることだから。
オリジナル設計の発表によると、置き忘れしたのではなく、網棚の上に置いたノートPC入りのバッグが置き引きにあったようですね。
置き忘れではないというのはどこで出てきた話でしょうか。
オリジナル設計の記者発表資料 [oec-solution.co.jp]には
同社員は、ノート PC を (略) 携行し、地下鉄に乗車しました。その後、同社員の一つ目の乗換駅である九段下駅で東京メトロ半蔵門線渋谷方面行き電車に乗車しました。二つ目の乗換駅である表参道駅に到着した頃、同社員は、東西線電車内の網棚に置いたノート PC が無いことに気づきました。
と書いてあります。最初の地下鉄の路線が書かれていないのでわかりにくいですが、この文章が正しいなら、最初の地下鉄は東西線であり、九段下駅で半蔵門線に乗り換える際に PC を網棚に置き忘れたまま東西線の電車を降りてしまったということだと思います。
それで出てこないなら、置き引きじゃね?
僕が疑問を呈しているのは、 #2286956 の「置き忘れしたのではなく」という部分に対してです。置き引きかどうかについては僕は何も言っていません。
警備会社に依頼して、同行してもらうとかして、被害にあえばまだ過失として問われる可能性も低いけど、
必要最低限の処置を施してないんじゃ、被害者じゃなく、理由はどんなんでも、あきらかに加害者でしょ。
過失か否かとか、誰が被害者だとか加害者だとか、そんな話は僕はまったく書いていないんだけど、なんでそれを僕のコメントへの返信として書くの? (´・ω・`)
網棚なんて怖くて使えないけどなあ。持ち出しちゃいけないデータを無断で持ち出しているならなおさら。緊張感なさすぎだし、リスク回避行動がまったくできてない。
>網棚なんて怖くて使えないけどなあ。激しく同意。
貴重品を持ってる時は足下に置いて足で挟むのでさえ怖い。ましてや網棚の上にポイッと放置すれば、盗られて当然とさえ思う。
個人的見解ですが、同意です。
そもそも携行する情報を取り扱うにあたって紛失・盗難を避けるためにカバン類をどう持ち運ぶべきなのかということを過去に失敗やらかした会社であれば自社の従業員だけでなく委託および請負業者に至るまで口うるさく取り決めているはずなので今までたまたまへましなかったのをいいことに無頓着な用心をしていた会社なのか、あるいは鈍感な会社なのかと勘ぐってしまいます。個人レベルでの失態とは別次元で。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
典型的な紛失例 (スコア:5, 興味深い)
(そこそこの規模の会社ならどこもやってると思いますが)
社内教育の代表事例をそのままなぞってて苦笑。
とりあえず、あえて書くことでも無いですが
・独断(無断?)でデータをコピーしない(※1)
・個人情報を自宅へ持ち帰らない
・置き忘れるような持ち歩き方をしない(この場合は網棚の上か、隣の座席に置いていたのだと思いますが)
11/29に紛失して12/4に報告しているのも引っかかりますね。
・紛失を認識した時点で上長に報告(これ、紛失初日は一人で探してたんじゃないですか?)
事例として載っているということは過去にも同じ事をした人が居たのでしょうから、
単に気をつける、じゃなくてフールプルーフ的な考え方(※2)で動きましょうということで。
※1 データのコピーについては、厳格に守れている人はほとんど居ないと思います。直接作業する人は特に。
※2 (無断持ち出しは論外として)気軽に持ち帰らない、とかカバンを網棚に上げないとかはこの考え方ですよね。
置き忘れだけでなく、公共機関での居眠りによる盗難とか、自動車移動の場合は車上荒らしを警戒して手元に置いておくとかもありましたね。
Re:典型的な紛失例 (スコア:4, 参考になる)
・置き忘れるような持ち歩き方をしない(この場合は網棚の上か、隣の座席に置いていたのだと思いますが)
オフトピ承知だがあえて言わせていただきたい。
電車内で寝るときにはカバンの持ち手を掴んだくらいでは窃盗に遭いかねないという事を。
以前、人の少ない路線で持ち手を掴んだまま爆睡してたらカバンが開けられて携帯電話を盗まれたことがあったもので。
それ以来寝るときはちゃんとカバンを抱きかかえるようにして、丸まるように寝てる。
Re:典型的な紛失例 (スコア:5, すばらしい洞察)
寝んなよ
Re:典型的な紛失例 (スコア:1)
そこで、HDDにデータを保存できないシンクライアント導入で [fujitsu.com] セキュリティ確保 [hitachi.co.jp]ですよ!
HDDを持たないシンクライアント端末、物理キー、サーバソリューションを組み合わせれば、
・端末のみ盗難ならば起動できないし、内部にデータがそもそも存在しない。
・端末とカードキーを一緒に盗難された場合は、管理者から使用停止可能。
と今回のようなPC盗難・紛失に対してかなり対処できるはずです。ただし快適な動作にはそれなりの帯域を持つネットワーク環境が前提となりますので、ユーザが使いやすいか?と問われるとは悩むところですが。。。
契約遵守 (スコア:1)
近年ほとんどの自治体ではこのようなことが起きても
なにやってるんだ!!と言えるように、作業構築業者
には誓約書を書かせているはず。
問題はこの後。こういったプロジェクトには業者は
一社とは限らず複数絡んでいることが大半。これ
により、構築期間が短くなり 結果作業がはんざつに
なりやすい。
おそらくその流れでやっちまったんだろうと思う。
でシンクライアントだけど。一般的には客先のインフラ
もしくは構築インフラにはつなげてはいけないことが
多いいので、これは無理。(実際、H,F,Nの持ち出し端末は
シンクラになっているけど、客先インフラにはつなげないですよ)
Re: (スコア:0)
「・端末とカードキーを一緒に盗難された場合」
に
管理者に届け出るまでにデータが抜き取られた場合には
どうしたらいいでしょうか?
Re:典型的な紛失例 (スコア:1, 興味深い)
セキュリティに限りませんが
「やっちゃダメと言われたことを本当にやらないでいるとダメ」
なのが現実です。
リスクを取らないと利益が出ず埋没するだけですから。
それがビジネスです。
セキュリティの話で言えば、守りましょう守りましょうと連呼するのは
表面上はよいのですが
実際は
「ブッチして問題起きなかった人が利益を得る、
ブッチして問題起こした人は罰ゲーム。
ブッチしないのは食われるのを待つ羊」
という見方が現実的です。
交通ルールを極端に守ったら周囲の迷惑、
ある程度ブッチして事故や違反につながらなかった人が勝ち、と同じですね。
Re:典型的な紛失例 (スコア:1)
できない・やらないタイプの人が、よくそういうことを言ってますよ。
Re: (スコア:0)
自己紹介でしょうか。
Re:典型的な紛失例 (スコア:1)
> それがビジネスです。
詳しく。
具体的にどういう規則が、具体的にどういう場面で、破らざるを得なくなりますか?
たとえば今回なら、打ち合わせのために個人情報を持参する必要が生じるのは、
どういった場面ですか?そして、それを防ぐためにはどうすればいいですか?
それともう1点。
規則をそのまま守っていてはダメとして、じゃあ何を守ればいいですか?
客や将来の客に対する信用を維持し、
客に、この企業なら発注して個人情報を託しても構わないと思わせるには、
どうすればいいですか?
「私たちは規則を守りません」だけでは信用を保てないのは明らかです。
Re: (スコア:0)
おうちに帰りなさい
Re:典型的な紛失例 (スコア:1)
> 交通ルールを極端に守ったら周囲の迷惑、
> ある程度ブッチして事故や違反につながらなかった人が勝ち、と同じですね。
交通事故にしてもセキュリティ漏洩にしても、
罰ゲームがしゃれにならんわけですが。
金銭的な損失だけで済む場合と、済まない場合というのは、
リスクの計算の仕方を分けないといけないのかもしれません。
Re: (スコア:0)
> 「やっちゃダメと言われたことを本当にやらないでいるとダメ」
> なのが現実です。
でも、それが外の人にばれてしまう(または、外の人に報告せざるを得ない状況になる)とアウトです。
Re: (スコア:0)
車の場合、事故対策に保険(自賠責+任意)というリスク対策があってこその
事故や違反につながらなかった人が勝ちでしょう。
ブッチして問題起こした人は罰ゲーム程度で済んで。ブッチしないのは食われるのを待つ羊なのはセキュリティが過剰なのでは?
車も免許も保険も完備しといて、移動は徒歩に限る。電車も許さんみたいな
Re: (スコア:0)
失礼ですが、どこのブラック企業にお勤めでしょう?
普通そんなことしたら内部監査でひっかかるでしょうに。
Re: (スコア:0)
どこの非ブラック企業にお勤めかはしりませんが、
大真面目な話として
内部監査がキッチリ運用されているそこそこまともな企業名を挙げていただけますか?
これは「表面上はキッチリ運用されている」ではありません。
中身まで完璧に運用しているところをお願いしますね。
あらかじめ言っておきますが、そんな企業は一つたりとも存在しないと断言しておきます。
Re: (スコア:0)
内部監査がキッチリ運用されていない会社が見つからなかったんですね。わかります。
Re: (スコア:0)
>内部監査がキッチリ運用されていない会社が見つからなかったんですね。わかります。
他人にケチつけておいてソースは出さない姿勢というのは最悪だな。
Re: (スコア:0)
みんなひどいこと言うなあ。
彼は内部監査通りにできる仕事しかさせてもらえてないのに。
Re: (スコア:0)
#2287104 は自分が批難されてることに気づかないのだろうか。
Re: (スコア:0)
ありますね。
ってかありすぎて困るレベル。
大手メーカーの下請け工場なんかでの事故では
従業員が勝手に安全装置を切って作業してるために起こるケースがありますが、
なんでそんなことしてるかというと、安全確認作業を真面目にやってると発注元の要求に間に合わないから。
#自動車工場とか、東海村の臨界事故とかも時間短縮のために手順を変えていた
従業員が勝手に、と言っても、上のほうもそうしないと間に合わないことがわかっているから黙認する。
で、事故が起きたら「従業員が勝手に~」で逃げる。
こんなこと、日本中の下請けで行われてるし全然珍しくない、
「血を吐きながら続けるマラソン」ってやつですね。
Re:典型的な紛失例 (スコア:1)
>出席した社員が独断でサーバーからノートパソコンにシステムと個人情報データをコピーして携行した。
会議に必要だったのでデータを持ち出したのか?
正直言えば、無論ダメなのはわかるがまだ理解はできる…ただ独断と言う部分が気にかかるが。
>打ち合わせ終了後社員は直帰したが
一番の問題はここだ。なにゆえ直帰したのか。そんな遠い場所での会議だったのか。
もしくは、時間外勤務が許されなかったのか。
…要はね、ダメとわかっていてもそうしないとまともな業務がこなせない、って体制を費用削減の名の下にやってたんじゃなかろうなと。
ええ、うちがそうです。氏ねって言いたい。
Re:典型的な紛失例 (スコア:5, 参考になる)
>なにゆえ直帰したのか。そんな遠い場所での会議だったのか。
「支社」は東京本社を兼ねる一ヶ所だけ [oec-solution.co.jp]のようですね。
地方は「支店」と「事務所」だけ、つまり支店が営業所で事務所は協力会社の名義貸しである可能性大。
そうでなくても土木コンサルでシステムやってる部署があちこちの支店に技術を置いてるとは思えない。
つまり技術スタッフは東京から岡山へ打合せに出ていた、ということでしょうね。
#同業かつ常態なのでAC
Re:典型的な紛失例 (スコア:1)
11/29に紛失して12/4に報告しているのも引っかかりますね。
世間様に「キッチリ対応している」と文書で公開している事業所であれば
紛失に認識したら即刻報告がルールでしょうね。たとえ同時に探していて、探していたらすぐ見つかっても。
3営業日、休日を含めても5日間というのは批判の種以外のなにものでも。たとえどんな申し開きがあるにしてもそれは間違ったルール、ルールは正しくても間違った解釈で行動していることだから。
Re: (スコア:0)
オリジナル設計の発表によると、置き忘れしたのではなく、網棚の上に置いたノートPC入りのバッグが置き引きにあったようですね。
Re:典型的な紛失例 (スコア:2)
置き忘れではないというのはどこで出てきた話でしょうか。
オリジナル設計の記者発表資料 [oec-solution.co.jp]には
と書いてあります。最初の地下鉄の路線が書かれていないのでわかりにくいですが、この文章が正しいなら、最初の地下鉄は東西線であり、九段下駅で半蔵門線に乗り換える際に PC を網棚に置き忘れたまま東西線の電車を降りてしまったということだと思います。
Re: (スコア:0)
それで出てこないなら、置き引きじゃね?
Re:典型的な紛失例 (スコア:2)
僕が疑問を呈しているのは、 #2286956 の「置き忘れしたのではなく」という部分に対してです。置き引きかどうかについては僕は何も言っていません。
Re: (スコア:0)
警備会社に依頼して、同行してもらうとかして、被害にあえば
まだ過失として問われる可能性も低いけど、
必要最低限の処置を施してないんじゃ、被害者じゃなく、
理由はどんなんでも、あきらかに加害者でしょ。
Re:典型的な紛失例 (スコア:2)
過失か否かとか、誰が被害者だとか加害者だとか、そんな話は僕はまったく書いていないんだけど、なんでそれを僕のコメントへの返信として書くの? (´・ω・`)
Re:典型的な紛失例 (スコア:1)
網棚なんて怖くて使えないけどなあ。
持ち出しちゃいけないデータを無断で持ち出しているならなおさら。
緊張感なさすぎだし、リスク回避行動がまったくできてない。
Re:典型的な紛失例 (スコア:3, 参考になる)
>網棚なんて怖くて使えないけどなあ。
激しく同意。
貴重品を持ってる時は足下に置いて足で挟むのでさえ怖い。
ましてや網棚の上にポイッと放置すれば、盗られて当然とさえ思う。
Re:典型的な紛失例 (スコア:2)
個人的見解ですが、同意です。
そもそも携行する情報を取り扱うにあたって紛失・盗難を避けるためにカバン類をどう持ち運ぶべきなのかということを過去に失敗やらかした会社であれば自社の従業員だけでなく委託および請負業者に至るまで口うるさく取り決めているはずなので今までたまたまへましなかったのをいいことに無頓着な用心をしていた会社なのか、あるいは鈍感な会社なのかと勘ぐってしまいます。個人レベルでの失態とは別次元で。