- - PR -
管理者泣かせのソフトウェア
投稿者 | 投稿内容 | ||||
---|---|---|---|---|---|
|
投稿日時: 2003-12-26 03:03
賛成派は少数のようですが(^^;、七味唐辛子さんの「規定で対応するべき」という意見?に賛成です。
確かに、SoftEtherのF/W対応は、既定のセキュリティーを破って外部と接続する目的としか思えません。でもこの機能は、例えば、急には構成変更が難しいネットワークに、一時的に外部からアクセスする為の手段にもなると思います(ちょっとこじつけ気味ですが、既定のセキュリティーレベルを破る以外にも使い道はありそう、ということです)。なので、公開を禁止するほどSoftEtherが酷いソフトかと言われると疑問を感じます。 会社の情報資産が危険に晒されるから公開を禁止すべきという意見にも疑問を感じます。社内規定で禁止して、それが遵守されれば問題は起きないわけですし・・。規定で禁止しているのに社員が使用して、社内の情報資産が危険に晒された場合、その主な原因はSoftEtherではなく、ルールが破られた事にあると思いますし。 社外とのインターネット接続を完全に切ったところで、社内のノートPCにWindowsXPとAirHを仕込まれればリモートデスクトップでやりたい放題なわけですから。 結局、この手の使用法によっては対応策が難しい、セキュリティーの脅威にもなりかねないソフトへの最適な解決策は、ソフトを開発・公開させないことではなく、各組織の必要に応じて規定で使わせないようにして、それを守らせる事ではないかと思ってます。 | ||||
|
投稿日時: 2003-12-26 04:06
----------------------------------------------
JYAJYAさんの書き込み (2003-12-26 03:03) より: 社内規定で禁止して、それが遵守されれば問題は起きないわけですし・・。規定で禁止しているのに社員が使用して、社内の情報資産が危険に晒された場合、その主な原因はSoftEtherではなく、ルールが破られた事にあると思いますし。 ・・・・(中略) 結局、この手の使用法によっては対応策が難しい、セキュリティーの脅威にもなりかねないソフトへの最適な解決策は、ソフトを開発・公開させないことではなく、各組織の必要に応じて規定で使わせないようにして、それを守らせる事ではないかと思ってます。 --------------------------------------------------------- それができればすばらしいのですが・・・。 問題は、「規定で使わせないようにして、それが守らせる事」ができなかった時です。 被害をもたらした(つまり、規定を守らなかった)ユーザーに対してのみ、適切なペナルティーを科せられればそれでよいのですが、管理者までもが管理責任を問われることも少なくないのではないでしょうか?ひどいときには「ユーザーは無知なので仕方ない・・・(つまり無罪放免)。でも管理者は何やってたんだ!」とさえ言われかねません。 (スレッドでネタになっているソフトではないですが、僕も管理者をしていたころにこの手のことでは泣かされた思いがありますので、苦労はある程度分かるつもりです) こうしたソフトの使用やポリシー破りを強制的に禁止することが難しい、だが管理者は職務怠慢のそしりから自己を防衛しなければならない・・・。 こうなったら、各ユーザーのPCそばに監視カメラでも付けますか(苦笑)。 | ||||
|
投稿日時: 2003-12-26 06:38
こんにちは〜。あにゃです(^^。
以下のニュースが12/25付けで出ています。 http://www.nikkei.co.jp/news/keizai/20031225AT1F2500Z25122003.html IT専門職の大学院設立を、総務省懇談会が報告書 総務省の情報通信ソフト懇談会は25日、IT(情報技術)に関連する高度な実務を担う人材を育成するため、産業界主導でIT専門職大学院を設立するよう求める報告書をまとめた。コンピューターウイルスからシステムを守る情報セキュリティーなどの分野の人材不足を補う狙い。 IT専門職大学院の設立資金は産業界が協力して負担し、講師も企業が派遣するよう提言。企業のIT分野の即戦力の育成につなげる。専門職大学院は研究者ではなく実務家の育成を目的とする教育機関。総務省はこの報告を受けて早ければ2004年中にも文部科学省にIT大学院の認可を申請できるような体制を整えたいとしている。 同懇談会は情報セキュリティー対策の強化策についても提言。ウイルスに感染したパソコンを、接続業者の判断でインターネットから切断する際の指針をつくるよう求めた。現状でも接続業者の判断でウイルス感染したパソコンをネットから切り離すことは可能。だが、感染の有無を調べる際に通信の秘密を侵害してしまう懸念があり、ほとんど例がない。 (22:00) 何かやけにタイムリーに記事が出ますね。 | ||||
|
投稿日時: 2003-12-26 08:49
# 原爆を作った人間ではなく、投下した人間が悪い、と。
確かに、原爆も真剣に研究、開発している人がいると思いますが。 原爆と違うところは、一般市民が、手軽に使えてしまうところですね。 しかも、使って喜ぶ人は今でもファイル交換ソフトなどで著作権侵害 していてインターネットはなんでも有りなところだと思っているような 人でしょうね... (実際そうですが...)うーむ。 #パンドラの箱を開けてしまったのでしょうか。 あと、どこかのblogでsoftetherのシグネチャが公開されたというのを 見ました... 接続開始時に特定できるらしいのですが...? | ||||
|
投稿日時: 2003-12-26 09:25
ある意味そうでしょう。既存の防御方法をすいすい突破する方法を見つけたわけですから 管理者からみれば極悪ツールかもしれませんが、いままでの概念を根底からくつがえす パラダイムシフトといったところか、未踏ソフトウェア創造事業に選択されたのも こういった側面があるのかも、あたらしいやり方、考え方についていけない人は やみくもにだめだといったような印象を受けます。 | ||||
|
投稿日時: 2003-12-26 09:28
この手のソフトは資産管理ソフト、パーソナルファイアウォールなどで、使用動作を
検知して使用不可にすることは不可能なのですか? | ||||
|
投稿日時: 2003-12-26 09:43
ほう!なんてタイムリーな。 でも、日本って元々教育機関と産業界の結びつきが弱かったですけれど、ことITに 関してはそれが弱いように感じられますので、まあ産業界からの要請で必然的な 流れになったということなのでしょうか。 私が感じるに、IT業界である程度力を持っている方って、独学か就職してからの トレーニングと実戦で力を着けた方が多いと思うんですよ。まあ、情報科学関係の 学科を出た人はそれなりに「教育によって」身に着けた知識もあるかと思うんです (かく言う私も一応はそれ系の学科の出です)が、実際に仕事で有効に使えるものって なかなか教育では得られないと言うか、教育が研究者の養成を目指してしまっていて 教育からは実用的な知識を得られないと言うか、そういう状態に陥ってしまって いると思うんです。 その意味では、このIT専門大学院がどのようになるのかが注目だと思います。 講師陣には実際のシステム開発の前線から人を投入するのかな。。。まさか大学の センセイ方を集めてきたりしませんよね??そうなったら意味無いですが。 やるとしたら、例えば1年次で勉強して、2年次から実際のプロジェクトにインターンで 投入し、2年くらい経験を積ませて、、、って感じなのかな。 # インターンを経験しないと卒業できない、に1票。頭でっかちの教育だけなら # そもそもこんな大学院意味無いと思う。。。 | ||||
|
投稿日時: 2003-12-26 10:12
全てのケースはわかりませんが、packet に「SoftEther」と書かれているそうです。 これを利用できれば、キャッチは可能かと |