Ognacの雑感

木漏れ日々

目次

Blog 利用状況

書庫

ギャラリ

USB禁止

先日の尖閣映像がUSBメモリー経由で社外に持ち出された影響で、一段とUSBメモリの使用が厳しくした会社あります。
アクセス規制はいくつか種類があり、それを破る手法もいくつかあるので、イタチゴッコに過ぎないのですがね。
開発効率とセキュリティをどちらを優先するのかで、いつも問題になりますね。
楽天派は、「女房やくほど亭主もてもせず。」で「やいやい言うほど重要なものは少ない。肝の部分だけ流出防止すればよい。」
慎重派は、「蟻の穴から堤も崩れる」ので、「些細なことでも、流出させてはいけない。」
どちらも、理解はできますが、ある程度の自由度が欲しいと思います。
ありきたりなルーチンでも、持ち込み禁止/持ち出し禁止にしている現場があり、クイックソートなどの基本ソース(どこにでも転がっていそうな)を、印刷物から入力している姿を見ると、
「羹に懲りて膾を吹く」感じがして、「行き過ぎだ。」と発言したら、「油断大敵。妥協大敵」と諌められました。...orz。
3か月に一度のパスワード変更(3か所)も重なってくると、覚えきれない。メモに残すことになる。<=コラ!。
 開発現場は、効率化に向かっているのかしら?

投稿日時 : 2010年11月18日 0:29

Feedback

# re: USB禁止 2010/11/18 0:59 Pasie.

 この手の話で一番痛いのは「禁止すれば救われる」と思っているところ。ところでもちろんDVD-Rの書き込みも併せて禁止したんでしょうね?とか。

 >開発現場は、
 これは残念なことに、事故の現場は開発チームと情報システム部門が圧倒的に多いはずなんですよね。特権もっているせいもあり、油断しまくりという噂も。なんで、事務よりも開発の奴らを先に絞めろという話もあるくらいでして…

# re: USB禁止 2010/11/18 1:31 pinzolo

パスワードは二つのヘビーローテーションになりがちですね。

# re: USB禁止 2010/11/18 14:57 RUN

現実問題としては、
“USBメモリの使用が厳しくした”として
その厳しくした運用を厳格に実行できる組織であるならば厳しくする前の水準で十分漏洩を防げる。

元の水準で漏洩するような組織は、そもそもその水準事態が形骸化(ルールが有るだけでルールが運用されていない)されているだろうから厳しくしたところでその厳しい水準も形骸化するだけである。

結局の所、他の組織の漏洩事件を期にルールを厳しくすることには意味がないよね。

もちろん、どのようなルールでそれが厳格に運用された上で漏洩していた事をちゃんと調べた上の対策強化なら意味があるけど。


昔、2月に漏洩事件があったからとルール強化及び研修が有った翌月に、前年8月にも漏洩があったことが発覚しさらにルール強化及び再研修があり、その後さらに前年11月に漏洩があったことが発覚して(以下略
な事があった現場にいた事もありました
ルール強化前に有った漏洩事件に対して、強化したのに漏洩させる人間がいると研修で小言言われたのには辟易としました

# re: USB禁止 2010/11/18 15:42 まりり

>pinzoloさん
そのうちポリシーが厳しくなって直前の3回は使っちゃだめとか言われちゃう予感。
でもこれだって手を抜いて同じパスワードを継続できなくもないわけで、難しいなぁ。

# re: USB禁止 2010/11/18 23:15 Ognac

DVD/CDなどの書き込みデバイスは、強制的に外されていたりします。
まぁ。何かあった時の免罪符に思えてなりません。
真偽は、知らないのですが、USBコネクタにセメダイン化何かを挿入して、使用不可にした部署があったとか。
頂いたコメントのように、現場レベルで防ごうとしても、意識が徹底していなければ、何にもならないでしょうね。
パスワード設定時に「このパスワードは既に使われています。」と警告する間抜けなシステムがあったそうです。
セキュリティを強く訴えている部署なのに、ポカが大きいのは、聞きますねぇ。

# re: USB禁止 2010/11/20 2:46 やまだ

うーん、得てしてこういうものは、組織を守るためのものでなく自分を守るものとなってたりするような感がありますね。

俺は禁止した。それでも問題が起こったのは、部下が禁止事項を破ったからだ。部下が悪い。
組織の問題を個人に転嫁している気が。

だからって、縛りをかけないと統制も難しいという現実もあるのでしょうけど。

ある意味、どれだけ規制が厳しいかで、組織としての統制力のなさを露呈しているような気もします。

# re: USB禁止 2010/11/20 9:55 Ognac

>自分を守るものとなってたりするような感がありますね。
この「自分」は組織管理者のことでよね。
(異なる例ですが)
進学校の生徒の服装が私服で、非進学校の生徒が制服という理由が、「自己規制できる子だから私服でよい」
というのを、思い出しました。

「手術は成功したが患者は死んだ」的な感じがして、スッキリしません。といって正解像が浮かばないのですが。

# Just the type of ingisht we need to fire up the debate. 2013/01/16 18:26 Analyn

Just the type of ingisht we need to fire up the debate.

タイトル  
名前  
Url
コメント