Ognacの雑感

# re: USB禁止 2010/11/18 0:59 Pasie.

　この手の話で一番痛いのは「禁止すれば救われる」と思っているところ。ところでもちろんDVD-Rの書き込みも併せて禁止したんでしょうね？とか。

　>開発現場は、
　これは残念なことに、事故の現場は開発チームと情報システム部門が圧倒的に多いはずなんですよね。特権もっているせいもあり、油断しまくりという噂も。なんで、事務よりも開発の奴らを先に絞めろという話もあるくらいでして…

# re: USB禁止 2010/11/18 1:31 pinzolo

パスワードは二つのヘビーローテーションになりがちですね。

# re: USB禁止 2010/11/18 14:57 RUN

現実問題としては、
“USBメモリの使用が厳しくした”として
その厳しくした運用を厳格に実行できる組織であるならば厳しくする前の水準で十分漏洩を防げる。

元の水準で漏洩するような組織は、そもそもその水準事態が形骸化（ルールが有るだけでルールが運用されていない）されているだろうから厳しくしたところでその厳しい水準も形骸化するだけである。

結局の所、他の組織の漏洩事件を期にルールを厳しくすることには意味がないよね。

もちろん、どのようなルールでそれが厳格に運用された上で漏洩していた事をちゃんと調べた上の対策強化なら意味があるけど。


昔、２月に漏洩事件があったからとルール強化及び研修が有った翌月に、前年８月にも漏洩があったことが発覚しさらにルール強化及び再研修があり、その後さらに前年１１月に漏洩があったことが発覚して（以下略
な事があった現場にいた事もありました
ルール強化前に有った漏洩事件に対して、強化したのに漏洩させる人間がいると研修で小言言われたのには辟易としました

# re: USB禁止 2010/11/18 15:42 まりり

>pinzoloさん
そのうちポリシーが厳しくなって直前の3回は使っちゃだめとか言われちゃう予感。
でもこれだって手を抜いて同じパスワードを継続できなくもないわけで、難しいなぁ。

# re: USB禁止 2010/11/18 23:15 Ognac

DVD/CDなどの書き込みデバイスは、強制的に外されていたりします。
まぁ。何かあった時の免罪符に思えてなりません。
真偽は、知らないのですが、USBコネクタにセメダイン化何かを挿入して、使用不可にした部署があったとか。
頂いたコメントのように、現場レベルで防ごうとしても、意識が徹底していなければ、何にもならないでしょうね。
パスワード設定時に「このパスワードは既に使われています。」と警告する間抜けなシステムがあったそうです。
セキュリティを強く訴えている部署なのに、ポカが大きいのは、聞きますねぇ。

# re: USB禁止 2010/11/20 2:46 やまだ

うーん、得てしてこういうものは、組織を守るためのものでなく自分を守るものとなってたりするような感がありますね。

俺は禁止した。それでも問題が起こったのは、部下が禁止事項を破ったからだ。部下が悪い。
組織の問題を個人に転嫁している気が。

だからって、縛りをかけないと統制も難しいという現実もあるのでしょうけど。

ある意味、どれだけ規制が厳しいかで、組織としての統制力のなさを露呈しているような気もします。

# re: USB禁止 2010/11/20 9:55 Ognac

>自分を守るものとなってたりするような感がありますね。
この「自分」は組織管理者のことでよね。
(異なる例ですが)
進学校の生徒の服装が私服で、非進学校の生徒が制服という理由が、「自己規制できる子だから私服でよい」
というのを、思い出しました。

「手術は成功したが患者は死んだ」的な感じがして、スッキリしません。といって正解像が浮かばないのですが。

# Just the type of ingisht we need to fire up the debate. 2013/01/16 18:26 Analyn

Just the type of ingisht we need to fire up the debate.