- - PR -
管理者泣かせのソフトウェア
投稿者 | 投稿内容 | ||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2003-12-27 00:47
おっしゃるとおりだとは思います。そういう知恵を考えていかなければならないのは事実です。 「専任管理者」が件のソフト作成者を叩くことだけに終始して、目の前の問題への対応策をまったく考えないとしたら、それは問題でしょう。 しかし・・・
日本に存在する少なからぬ管理者がまさに「片手間管理者」であるからこそ、「誠実な対応」が難しいのだと思います。 (某大学のネットワーク管理規則を見てビックリ。それによれば「ネットワークの円滑な運用を進めるため、ネットワーク管理者及びネットワーク運用責任者を置く。ネットワーク管理者は学長とし、ネットワーク運用責任者は情報センター長をもってあてる。」だって。究極の「片手間管理者」だ) 専任管理者ならともかく、中小企業の片手間管理者に「誠実な対応」を期待しても、それには限度があるというものだと思いますがどうでしょう? それに、そもそも「誠実な対応」とは何でしょう? ユーザーの期待に可能な限り応えることが「誠実な対応」だとすれば、内容によってはかえって管理者としての職務怠慢、あるいは大げさに言えば背任行為(とでもいうのでしょうか)に相当するケースも考えられます。 もちろん、ユーザーが暴走するケースの背後には管理者の対応のまずさや知識不足に起因するものもあります。しかし、ユーザーの希望に添うことがふさわしくない場合、それを断ったとしても「じゃこっそりと、勝手にやろう」といって暴走するケースだってありうるはずです。 そもそもネットワークは会社が業務のために費用を払って敷設しているもので、コンピュータは業務のために会社が支給しているものです。自宅環境では好きに使っても問題ないですが。 そのことを分かっていないユーザーが多すぎることに、問題があります。
御説の通りです。そのことは、管理者だけでなく経営者も巻き込んで、議論していくべきだと思います。 | ||||||||||||||||||||||||||||||||||||||||||||
|
投稿日時: 2003-12-27 01:59
がるさん、ロードスターさん。 じゃ。です。
問題はここにあるんだと思います。 企業(特に中小企業?)は、社内のシステム管理にコストを掛けたがりません。ましてや、セキュリティーに関する社内規定に罰則を設けて、(上記のような)コストも覚悟で厳格に運用していく必要があると考える企業は少ないと思います。それよりも管理に如何にコストを掛けないかのほうが重要、という企業のほうが多いのではないでしょうか。 ルールを定めても無駄という意見が出てくる背景には、上記のような理由で社員のセキュリティー意識が上がらず、順法精神も危機意識も欠けているから到底そこには期待できない、という諦めがあるのではないでしょうか。 社内のセキュリティー管理にコストを掛けてこなかった結果、社員が禁止されているソフトを使用した。それは社内のセキュリティー管理にコストを掛けてこなかった経営層の問題であって、その責任がSoftEtherというソフトやその作者にあるとは思えないんです。
これは逆に、社内のセキュリティー管理に十分なコストを掛けて、ポリシーを策定して罰則も含めた厳格な運用を行っていれば、窓を割る輩が出てくる可能性は大幅に低くなり、最初の窓が割れても次の窓を割る輩は現れにくくなる、という考え方にも出来ると思います。 | ||||||||||||||||||||||||||||||||||||||||||||
|
投稿日時: 2003-12-27 02:25
確かにコストがかかるのは認めます。とはいえ、どうして「コンピュータに対するセキュリティポリシー」などという話題になると、コストをことさら問題にする向きがあるでしょうか? 例えば私用電話や私用ファクスによる情報漏えいを取り締まることについてはどうでしょうか?これに対して「やめるよう勧告するのはコストがかかる」とかいって注意するのを渋る会社があるかといえば、そういう話にはならないと思われます。 (コンピュータもネットワークも電話も、会社が業務のために社員に提供していると言う意味においては、ほぼ同じでしょう。過去の判例においても、同義と扱われているものがほとんどです。) 要は考え方だと思います。コンピュータだからといって特別視する必要はないと思うのですが、どうでしょう?「守るべきものは何か」を、経営者や総務・人事・管理部門がきちんと認識しているかどうか、ということだと思います。
おっしゃるとおりです。問題が発生している直接の原因は経営陣の認識不足です。 したがって、ソフトウェア(と、その作者)に責任があるわけではありません。 しかし、ソフトウェアを作った作者の動機を正確に捉えなければならないのは、お分かりいただけると思います。
経済学でも似たような概念を学んだような気が(何という法則かは忘れましたが・・・笑)。 | ||||||||||||||||||||||||||||||||||||||||||||
|
投稿日時: 2003-12-27 02:49
元クラッカーのベンチャーはありますが、だからといって簡単に 立ち上げられるように言うのはちょっとベンチャーをバカにし過ぎ という気がします。 その可否を問うまでの判断材料が無いというか。
そんなことをしなくても、「TCP/IP知識:初級」「OSカーネル知識:初歩」 くらいで簡単に実装できるのでわ?
そうするとどうなるのですか?
わかっていて書いてらっしゃるんでしょうけど、いちおう。 TCP/IPは原理的にそういうものですよね。
ポート番号のみでのフィルタはもちろん、パケットレベルでのフィルタの 「ファイアウォールとしての弱さ」がこの場合にはモロにあらわれますね。 やるなら、セッション(という言い方が正確かどうかはともかく)を 追いかけないと。
そうですね。この種のツールの害が大きくなってきたら、同類ツールを まとめて探索するロボットを運用する人が出てくると思いますが。
研究費のプロポーザルの類に、こんないいかげんな文章を書いてるのは みたことが無いです 常識で判断してはいけない人だったようで。
何十年も前にヒッピーに憧れたときのまま精神面が止まってしまった かのような感じですな。
インターネットに接続できるような環境にはセキュリティも何も無いですな
へんに肩を持とうとする人がいるから、そちらに流れているのでわ?
1. 悪用しにくいように設計することが容易であるにもかかわらず、 そうはなっていない。意図的に悪用しやすいように作られている。 2. そのようなものに対して税金が使われている。 という2点を兼ね備えていることが問題です。 | ||||||||||||||||||||||||||||||||||||||||||||
|
投稿日時: 2003-12-27 04:28
ども。がるです。
んと。 ・社内で softether にどう対処していくべきかへの議論 ・規則や管理(と管理者の愚痴)だけじゃ不正行為はなくならない には概ね同意。 対策はちょろっと戯言は書きましたが。現状で色々と考えてみて、 技術的な対策が極めて難しいなぁ、というのが現在の私の雑感。 ただ、「技術的な対策が難し」く、かつ「規則で縛っても無理」 である状態で、非常に面倒であることが手に取るように。 で。 「全社の最大公約数的なセキュリティポリシーのネットワーク管理で 息苦しく業務に支障が発生している場合」という内容については かなり大きな疑問が。 現実に「業務に支障をきたす」状況も無論あります。で、やむを得ず 私が手引きしてある程度業務に差しさわりが無いところまで手練手管 を尽くしたこともあります(大企業系でそういう傾向がありますな)。 ただ、要求のいくつかは「業務とは無関係な要求」ではないでしょうか? 少なくとも社内でWinnyやらをつかってファイル交換をすることが 「業務に差しさわりがあるため」とは思いにくいですし。でも現実 に、そうやって使いたい方々は山のようにいらっしゃいます。 結果的に。 「使いにくい社内ネットがあるから管理者に隠れて softether を 使ってみたくなる」のは事実であると思うのですが(私のような 「挙動確認のため」ってのは多分レア(笑))。 問題は「何ゆえに」使いにくいのか。またそれは「何の目的で 使いたいのか」という部分が非常に重要だと思います。 まぁ「社内のセキュリティ規則を見直す」にはよい時期だと思いますが。 とりあえず「陳情箱」でも作ってみるのが…とくらいにしかいえない ですね。 正直、今でもその手の要求には不信感を持ってますので。 っつか本当に「業務に差し支えている」場合、やりたいことが明確に 出てくるので対応しやすいですし。 # 過去に、Proxy通すなという理由を問い詰めて「エロサイト見るから」 # という事実が何十件出てきたことか… # まともな要求があったので、上司を脅迫して変更させたことも # ありますがね :-P | ||||||||||||||||||||||||||||||||||||||||||||
|
投稿日時: 2003-12-27 04:37
ども。がるです。
実践してみたくなる気持ちは十二分に。実際、私も「やばいネタ」の詳細な 設計書、いくつも書いてますし。 まぁ周囲から「永久封印しとけ」と厳重に怒られているので封印はして ありますが。 ただ、実装まではまぁ気持ちを理解するとして(せっかくだから作りたいし)、 それを一般に公開する、ってのはまた別問題。 っつか、一般に公開してしまった時点である程度の責任が発生します。 喜びは喜びでよいのですが。 おおやけ、という言葉の意味を理解して節度ある行動をするのが、 一般社会では広く望まれる方向性だと思います。 # そーゆー倫理観が無いから、大学でポートスキャン習うと # あちこちにポートスキャンするバカが増えるのですが。
もちろん。メリットはたくさん。 問題は、こと「社内LANなどの管理しなければならない空間」で使われた 場合のデメリットが極端にでかいことです。 個人で利用している分には「どうぞご自由に」って思いますし。
それがきちんと出てくれば、多分皆さんももう少し心が穏やかになると 思うのですが。 現実問題として「こうすれば防げる」という手段が確立できていないのが 現状だと思います。 ちなみに、コストとセキュリティと、もうひとつ「利便性」との3つが 等価交換の元ネタです。 セキュリティを固くするのは大抵必須で、多くの企業ではコストが出ない。 と、すべてのしわ寄せは利便性にかかってきます。 端的に申し上げると「インターネット全面禁止令」とか。 そんな環境を構築したいのでしょうか? | ||||||||||||||||||||||||||||||||||||||||||||
|
投稿日時: 2003-12-27 04:44
責任が無い、という点についてはある程度同意。 つまり本来の原因のひとつが ・きちんと管理にコストをかけていない経営者にある という点は正論だと思うので。 ただ、現実問題として「容易にセキュリティを破壊できる」ものを 作成、配布している作者には、それは「手段を提供している」という 点で一定の責任があると、私は思います。 もうちょっと正確に述べると「セキュリティ手段を確保することを せず、利便性のみを追求してむしろセキュリティを破ることを 前提において開発している」点において、一定の罪悪が存在する と思っています。
いやなんていうかまさに正鵠を射ています。 この辺は「無理かとは思いつつ期待したい語外の部分」です。 # こーゆー話は「経営者の方々に」是非真摯に受け取って欲しい ;; ただまぁ、現実問題、現状ですぐに経営陣が改心する現場は少ないことが 予想され。そこからネットワーク管理者の負担を考えると、とりあえず まず「やばいソフトは早めにどうにかしたい」ってのが本音かなぁ、と。 # いやまぁこのソフトで「しゃれにならんくらい」やばくなって # 経営陣に煮え湯を飲んでいただくってのもまた…とか私は思うのですが :-P # それやるとネットワーク管理者の多くの方々はとばっちりをくらい # そうで、それがちと忍びなかったり。 | ||||||||||||||||||||||||||||||||||||||||||||
|
投稿日時: 2003-12-27 04:51
がるです。
んと。私は別にこの話題に限ってコストの話をしているわけではなく。 常にコスト意識を持ってます。 # 営業なんか兼任していると、否が応でも。 で。私用電話や私用ファクスは「電話代がかかる」というわかりやすい理由 で、それ自体を「やめる」方向に持っていくのは比較的簡単なのですが。 コンピュータセキュリティの場合、まず「月々の管理コスト」という、 私用電話などでは存在しなかったコストが発生し、なおのこと「何も無ければ 無駄金じゃん」という素晴らしい危機管理感覚を有する経営陣のおかげで、 嫌がおうでもシビアなコスト管理が必須になるのが現状です。
基本的には、正論です。 ただ、現実はそう簡単には動いていないわけで。 そこのギャップをネットワーク管理者が埋めているのが実情だと 思います。 ここで「経営者が悪いから僕悪くないから放置」と叫ぶのは容易ですが、 それではなんの解決にもならないわけでして。 場合により最終的には煮え湯を飲んでいただくにせよ、まず管理のお仕事 として「それなり以上にやった」程度の実績は必要なんですね。
ほほぅ。それは興味深げな。 思い出したら書き込んでもらえるとうれしいです ^^ |