- PR -

管理者泣かせのソフトウェア

参照元記事 | 同じ記事を参照しているスレッド一覧
«前のページへ 8|9|10|11|12|13|14|15|16|17|18 次のページへ»
投稿者投稿内容
ロードスターくん
ベテラン
会議室デビュー日: 2003/03/05
投稿数: 68
お住まい・勤務地: 東京都
投稿日時: 2003-12-27 00:47
引用:

miyachanさんの書き込み (2003-12-26 23:53) より:

本来なら、社内で softether にどう対処していくべきかとか、
全社の最大公約数的なセキュリティポリシーのネットワーク管理で息苦しく業務に支障が発生している場合などの対応なんかのアイディアを書いてほしいと思うのですが
(現場としては使いにくい社内ネットがあるから管理者に隠れて softether を使ってみたくなるのでは?)



おっしゃるとおりだとは思います。そういう知恵を考えていかなければならないのは事実です。
「専任管理者」が件のソフト作成者を叩くことだけに終始して、目の前の問題への対応策をまったく考えないとしたら、それは問題でしょう。

しかし・・・

引用:

片手間管理者に相談しても誠実な対応をしてもらわなければ勝手に暴走を始めると思います



日本に存在する少なからぬ管理者がまさに「片手間管理者」であるからこそ、「誠実な対応」が難しいのだと思います。

(某大学のネットワーク管理規則を見てビックリ。それによれば「ネットワークの円滑な運用を進めるため、ネットワーク管理者及びネットワーク運用責任者を置く。ネットワーク管理者は学長とし、ネットワーク運用責任者は情報センター長をもってあてる。」だって。究極の「片手間管理者」だ)

専任管理者ならともかく、中小企業の片手間管理者に「誠実な対応」を期待しても、それには限度があるというものだと思いますがどうでしょう?

それに、そもそも「誠実な対応」とは何でしょう?
ユーザーの期待に可能な限り応えることが「誠実な対応」だとすれば、内容によってはかえって管理者としての職務怠慢、あるいは大げさに言えば背任行為(とでもいうのでしょうか)に相当するケースも考えられます。

もちろん、ユーザーが暴走するケースの背後には管理者の対応のまずさや知識不足に起因するものもあります。しかし、ユーザーの希望に添うことがふさわしくない場合、それを断ったとしても「じゃこっそりと、勝手にやろう」といって暴走するケースだってありうるはずです。

そもそもネットワークは会社が業務のために費用を払って敷設しているもので、コンピュータは業務のために会社が支給しているものです。自宅環境では好きに使っても問題ないですが。
そのことを分かっていないユーザーが多すぎることに、問題があります。

引用:

私が思うにネットワークセキュリティと言う技術的な部分だけを話していても今後発生しうる危機に対応が出来ないと思うんだけど...


御説の通りです。そのことは、管理者だけでなく経営者も巻き込んで、議論していくべきだと思います。
JYAJYA
常連さん
会議室デビュー日: 2002/05/22
投稿数: 48
投稿日時: 2003-12-27 01:59
がるさん、ロードスターさん。 じゃ。です。

引用:

ただ。では「ルールを守らせるためにはどれくらいのコストが必要か?」
というところに−特に会社組織の場合は−帰結すると思います。
で、結論から言うと「言ったって守らないよねぇ」ってのが回答。
(中略)
そんな連中の規則破りの確固たる証拠を見つけ、なおかつ法律やら
組合やらで守られている社員に対して一定の処罰を与えるためには、
それ相応のコストが必要です。


問題はここにあるんだと思います。

企業(特に中小企業?)は、社内のシステム管理にコストを掛けたがりません。ましてや、セキュリティーに関する社内規定に罰則を設けて、(上記のような)コストも覚悟で厳格に運用していく必要があると考える企業は少ないと思います。それよりも管理に如何にコストを掛けないかのほうが重要、という企業のほうが多いのではないでしょうか。

ルールを定めても無駄という意見が出てくる背景には、上記のような理由で社員のセキュリティー意識が上がらず、順法精神も危機意識も欠けているから到底そこには期待できない、という諦めがあるのではないでしょうか。

社内のセキュリティー管理にコストを掛けてこなかった結果、社員が禁止されているソフトを使用した。それは社内のセキュリティー管理にコストを掛けてこなかった経営層の問題であって、その責任がSoftEtherというソフトやその作者にあるとは思えないんです。

引用:

そして今ひとつ「壊れた窓の法則」。
一握りの連中が規則を破っている事実が放置されれば、それによって
「んじゃぁ俺も」って追随する連中が増えるのはすでにNYで(逆パターン
をですが)実験済み。


これは逆に、社内のセキュリティー管理に十分なコストを掛けて、ポリシーを策定して罰則も含めた厳格な運用を行っていれば、窓を割る輩が出てくる可能性は大幅に低くなり、最初の窓が割れても次の窓を割る輩は現れにくくなる、という考え方にも出来ると思います。
ロードスターくん
ベテラン
会議室デビュー日: 2003/03/05
投稿数: 68
お住まい・勤務地: 東京都
投稿日時: 2003-12-27 02:25
引用:

ただ。では「ルールを守らせるためにはどれくらいのコストが必要か?」
というところに−特に会社組織の場合は−帰結すると思います。
で、結論から言うと「言ったって守らないよねぇ」ってのが回答。
(中略)
そんな連中の規則破りの確固たる証拠を見つけ、なおかつ法律やら
組合やらで守られている社員に対して一定の処罰を与えるためには、
それ相応のコストが必要です。


確かにコストがかかるのは認めます。とはいえ、どうして「コンピュータに対するセキュリティポリシー」などという話題になると、コストをことさら問題にする向きがあるでしょうか?
例えば私用電話や私用ファクスによる情報漏えいを取り締まることについてはどうでしょうか?これに対して「やめるよう勧告するのはコストがかかる」とかいって注意するのを渋る会社があるかといえば、そういう話にはならないと思われます。

(コンピュータもネットワークも電話も、会社が業務のために社員に提供していると言う意味においては、ほぼ同じでしょう。過去の判例においても、同義と扱われているものがほとんどです。)

要は考え方だと思います。コンピュータだからといって特別視する必要はないと思うのですが、どうでしょう?「守るべきものは何か」を、経営者や総務・人事・管理部門がきちんと認識しているかどうか、ということだと思います。


引用:

社内のセキュリティー管理にコストを掛けてこなかった結果、社員が禁止されているソフトを使用した。それは社内のセキュリティー管理にコストを掛けてこなかった経営層の問題であって、その責任がSoftEtherというソフトやその作者にあるとは思えないんです。


おっしゃるとおりです。問題が発生している直接の原因は経営陣の認識不足です。
したがって、ソフトウェア(と、その作者)に責任があるわけではありません。

しかし、ソフトウェアを作った作者の動機を正確に捉えなければならないのは、お分かりいただけると思います。

引用:


引用:

そして今ひとつ「壊れた窓の法則」。
一握りの連中が規則を破っている事実が放置されれば、それによって
「んじゃぁ俺も」って追随する連中が増えるのはすでにNYで(逆パターン
をですが)実験済み。


これは逆に、社内のセキュリティー管理に十分なコストを掛けて、ポリシーを策定して罰則も含めた厳格な運用を行っていれば、窓を割る輩が出てくる可能性は大幅に低くなり、最初の窓が割れても次の窓を割る輩は現れにくくなる、という考え方にも出来ると思います。



経済学でも似たような概念を学んだような気が(何という法則かは忘れましたが・・・笑)。
ぽんす
ぬし
会議室デビュー日: 2003/05/21
投稿数: 1023
投稿日時: 2003-12-27 02:49
引用:

ソフトにとっても彼にとっても非常に良い宣伝になりましたし。
(中略)
知名度を生かしてベンチャー企業でも立ち上げてほしいなと思い上記の書き込みをしました。

元クラッカーのベンチャーはありますが、だからといって簡単に
立ち上げられるように言うのはちょっとベンチャーをバカにし過ぎ
という気がします。
その可否を問うまでの判断材料が無いというか。

引用:

別にstoneとか使えなくても、SOAPの仕組みが分かるならXMLに暗号化したパケットを
埋め込むなんて簡単に考えつくでしょうし、.NETでその手のアプリケーションの開発が
容易になったこともあって、.NETを一月も勉強すれば簡単に実装できるでしょう。

そんなことをしなくても、「TCP/IP知識:初級」「OSカーネル知識:初歩」
くらいで簡単に実装できるのでわ?
引用:

例えばproxyで接続先の正引きと逆引きの突合とかいろいろ出来るはずなんですけど。

そうするとどうなるのですか?

引用:

1.通信の確立
一つでもPortがあいていればよい、みたいなので。
この時点で「任意の1端末から任意の1端末への接続」が事実上
スルー。

わかっていて書いてらっしゃるんでしょうけど、いちおう。
TCP/IPは原理的にそういうものですよね。
引用:

ポートフィルタリングの類は一切無効。
一回通信をつなげてしまえばよいことを考えるとNAPTも無効になる
可能性が高い(一発目ってたぶん「内部から外部」だから)。
パケットの盗聴でも、パケットが特定できる可能性は低い(現状の
SoftEtherでは可能だけど、今後も可能である保証はない)。

ポート番号のみでのフィルタはもちろん、パケットレベルでのフィルタの
「ファイアウォールとしての弱さ」がこの場合にはモロにあらわれますね。
やるなら、セッション(という言い方が正確かどうかはともかく)を
追いかけないと。
引用:

可能性の一つ。SoftEtherを基準に考えると「公開HUBへのアクセスを
遮断」。これならIPで絞れる。
ただし、このためには「定期的な頻度での公開HUBの調査」と「データ
の保存」が不可欠。SPAM系のブラックリストとパターンは似てますな。
# 誰がそんなコストを支払えるのかは別として。

そうですね。この種のツールの害が大きくなってきたら、同類ツールを
まとめて探索するロボットを運用する人が出てくると思いますが。

引用:

このツールの場合はネット管理者や企業にとって有益な物であることを祈る。
http://www.ipa.go.jp/NBP/15nendo/15youth/gaiyou/02-023.htm

おんなじPMだ・・・。

研究費のプロポーザルの類に、こんないいかげんな文章を書いてるのは
みたことが無いです
常識で判断してはいけない人だったようで。

引用:

このPM結構有名人みたいね。
http://sdc.sun.co.jp/news/200108/takeuchi01.html

何十年も前にヒッピーに憧れたときのまま精神面が止まってしまった
かのような感じですな。

引用:

ローカルユーザ全員に Admin権限が有るような環境でセキュリティも何も無いですから。

インターネットに接続できるような環境にはセキュリティも何も無いですな

引用:

何かソフトの作者連中を延々叩いてるだけって感じなんですが?、どうでしょう?

へんに肩を持とうとする人がいるから、そちらに流れているのでわ?

引用:

このソフトウェア、そんなにデメリットばっかですかね?
メリットも計り知れないと思うのですが。

1. 悪用しにくいように設計することが容易であるにもかかわらず、
そうはなっていない。意図的に悪用しやすいように作られている。
2. そのようなものに対して税金が使われている。
という2点を兼ね備えていることが問題です。
がるがる
ぬし
会議室デビュー日: 2002/04/12
投稿数: 873
投稿日時: 2003-12-27 04:28
ども。がるです。
引用:

miyachanさんの書き込み (2003-12-26 23:53) より:
本来なら、社内で softether にどう対処していくべきかとか、
全社の最大公約数的なセキュリティポリシーのネットワーク管理で息苦しく業務に支障が発生している場合などの対応なんかのアイディアを書いてほしいと思うのですが
(現場としては使いにくい社内ネットがあるから管理者に隠れて softether を使ってみたくなるのでは?)
片手間管理者に相談しても誠実な対応をしてもらわなければ勝手に暴走を始めると思います
規則や管理(と管理者の愚痴)だけじゃ不正行為はなくならないと思うのですが、どうでしょうか?

んと。
・社内で softether にどう対処していくべきかへの議論
・規則や管理(と管理者の愚痴)だけじゃ不正行為はなくならない
には概ね同意。
対策はちょろっと戯言は書きましたが。現状で色々と考えてみて、
技術的な対策が極めて難しいなぁ、というのが現在の私の雑感。
ただ、「技術的な対策が難し」く、かつ「規則で縛っても無理」
である状態で、非常に面倒であることが手に取るように。

で。
「全社の最大公約数的なセキュリティポリシーのネットワーク管理で
息苦しく業務に支障が発生している場合」という内容については
かなり大きな疑問が。
現実に「業務に支障をきたす」状況も無論あります。で、やむを得ず
私が手引きしてある程度業務に差しさわりが無いところまで手練手管
を尽くしたこともあります(大企業系でそういう傾向がありますな)。
ただ、要求のいくつかは「業務とは無関係な要求」ではないでしょうか?
少なくとも社内でWinnyやらをつかってファイル交換をすることが
「業務に差しさわりがあるため」とは思いにくいですし。でも現実
に、そうやって使いたい方々は山のようにいらっしゃいます。

結果的に。
「使いにくい社内ネットがあるから管理者に隠れて softether を
使ってみたくなる」のは事実であると思うのですが(私のような
「挙動確認のため」ってのは多分レア(笑))。
問題は「何ゆえに」使いにくいのか。またそれは「何の目的で
使いたいのか」という部分が非常に重要だと思います。

まぁ「社内のセキュリティ規則を見直す」にはよい時期だと思いますが。
とりあえず「陳情箱」でも作ってみるのが…とくらいにしかいえない
ですね。
正直、今でもその手の要求には不信感を持ってますので。
っつか本当に「業務に差し支えている」場合、やりたいことが明確に
出てくるので対応しやすいですし。
# 過去に、Proxy通すなという理由を問い詰めて「エロサイト見るから」
# という事実が何十件出てきたことか…
# まともな要求があったので、上司を脅迫して変更させたことも
# ありますがね :-P
がるがる
ぬし
会議室デビュー日: 2002/04/12
投稿数: 873
投稿日時: 2003-12-27 04:37
ども。がるです。
引用:

アキミさんの書き込み (2003-12-27 00:36) より:
コロンブスの卵的な発想で「言われてみれば誰でも思いついた気になる」アイデアだと思うのですが、思いついたら実践してみたくなる人間こそが技術者だと思います。(そういう技術者のヨロコビを犯罪とかと一緒にされるとチョットがっかりするのですが…)

実践してみたくなる気持ちは十二分に。実際、私も「やばいネタ」の詳細な
設計書、いくつも書いてますし。
まぁ周囲から「永久封印しとけ」と厳重に怒られているので封印はして
ありますが。
ただ、実装まではまぁ気持ちを理解するとして(せっかくだから作りたいし)、
それを一般に公開する、ってのはまた別問題。
っつか、一般に公開してしまった時点である程度の責任が発生します。
喜びは喜びでよいのですが。
おおやけ、という言葉の意味を理解して節度ある行動をするのが、
一般社会では広く望まれる方向性だと思います。
# そーゆー倫理観が無いから、大学でポートスキャン習うと
# あちこちにポートスキャンするバカが増えるのですが。

引用:

で。
このソフトウェア、そんなにデメリットばっかですかね?
メリットも計り知れないと思うのですが。

もちろん。メリットはたくさん。
問題は、こと「社内LANなどの管理しなければならない空間」で使われた
場合のデメリットが極端にでかいことです。
個人で利用している分には「どうぞご自由に」って思いますし。

引用:

クライアント側にインストールして、許可したソフトウェア以外は通信できないようにしたり、F/Wに頼らない方法はいろいろ考えられるはずです。もちろん、オカネはかかりますが。セキュリティとの等価交換(流行語?)ですね。

それがきちんと出てくれば、多分皆さんももう少し心が穏やかになると
思うのですが。
現実問題として「こうすれば防げる」という手段が確立できていないのが
現状だと思います。
ちなみに、コストとセキュリティと、もうひとつ「利便性」との3つが
等価交換の元ネタです。
セキュリティを固くするのは大抵必須で、多くの企業ではコストが出ない。
と、すべてのしわ寄せは利便性にかかってきます。
端的に申し上げると「インターネット全面禁止令」とか。

そんな環境を構築したいのでしょうか?
がるがる
ぬし
会議室デビュー日: 2002/04/12
投稿数: 873
投稿日時: 2003-12-27 04:44
引用:

JYAJYAさんの書き込み (2003-12-27 01:59) より:
引用:

ただ。では「ルールを守らせるためにはどれくらいのコストが必要か?」
というところに−特に会社組織の場合は−帰結すると思います。
で、結論から言うと「言ったって守らないよねぇ」ってのが回答。
(中略)
そんな連中の規則破りの確固たる証拠を見つけ、なおかつ法律やら
組合やらで守られている社員に対して一定の処罰を与えるためには、
それ相応のコストが必要です。

問題はここにあるんだと思います。
企業(特に中小企業?)は、社内のシステム管理にコストを掛けたがりません。ましてや、セキュリティーに関する社内規定に罰則を設けて、(上記のような)コストも覚悟で厳格に運用していく必要があると考える企業は少ないと思います。それよりも管理に如何にコストを掛けないかのほうが重要、という企業のほうが多いのではないでしょうか。

ルールを定めても無駄という意見が出てくる背景には、上記のような理由で社員のセキュリティー意識が上がらず、順法精神も危機意識も欠けているから到底そこには期待できない、という諦めがあるのではないでしょうか。

社内のセキュリティー管理にコストを掛けてこなかった結果、社員が禁止されているソフトを使用した。それは社内のセキュリティー管理にコストを掛けてこなかった経営層の問題であって、その責任がSoftEtherというソフトやその作者にあるとは思えないんです。

責任が無い、という点についてはある程度同意。
つまり本来の原因のひとつが
・きちんと管理にコストをかけていない経営者にある
という点は正論だと思うので。
ただ、現実問題として「容易にセキュリティを破壊できる」ものを
作成、配布している作者には、それは「手段を提供している」という
点で一定の責任があると、私は思います。
もうちょっと正確に述べると「セキュリティ手段を確保することを
せず、利便性のみを追求してむしろセキュリティを破ることを
前提において開発している」点において、一定の罪悪が存在する
と思っています。

引用:

引用:

そして今ひとつ「壊れた窓の法則」。
一握りの連中が規則を破っている事実が放置されれば、それによって
「んじゃぁ俺も」って追随する連中が増えるのはすでにNYで(逆パターン
をですが)実験済み。

これは逆に、社内のセキュリティー管理に十分なコストを掛けて、ポリシーを策定して罰則も含めた厳格な運用を行っていれば、窓を割る輩が出てくる可能性は大幅に低くなり、最初の窓が割れても次の窓を割る輩は現れにくくなる、という考え方にも出来ると思います。

いやなんていうかまさに正鵠を射ています。
この辺は「無理かとは思いつつ期待したい語外の部分」です。
# こーゆー話は「経営者の方々に」是非真摯に受け取って欲しい ;;

ただまぁ、現実問題、現状ですぐに経営陣が改心する現場は少ないことが
予想され。そこからネットワーク管理者の負担を考えると、とりあえず
まず「やばいソフトは早めにどうにかしたい」ってのが本音かなぁ、と。
# いやまぁこのソフトで「しゃれにならんくらい」やばくなって
# 経営陣に煮え湯を飲んでいただくってのもまた…とか私は思うのですが :-P
# それやるとネットワーク管理者の多くの方々はとばっちりをくらい
# そうで、それがちと忍びなかったり。
がるがる
ぬし
会議室デビュー日: 2002/04/12
投稿数: 873
投稿日時: 2003-12-27 04:51
がるです。
引用:

ロードスターくんさんの書き込み (2003-12-27 02:25) より:
引用:

ただ。では「ルールを守らせるためにはどれくらいのコストが必要か?」
というところに−特に会社組織の場合は−帰結すると思います。
で、結論から言うと「言ったって守らないよねぇ」ってのが回答。
(中略)
そんな連中の規則破りの確固たる証拠を見つけ、なおかつ法律やら
組合やらで守られている社員に対して一定の処罰を与えるためには、
それ相応のコストが必要です。

確かにコストがかかるのは認めます。とはいえ、どうして「コンピュータに対するセキュリティポリシー」などという話題になると、コストをことさら問題にする向きがあるでしょうか?
例えば私用電話や私用ファクスによる情報漏えいを取り締まることについてはどうでしょうか?これに対して「やめるよう勧告するのはコストがかかる」とかいって注意するのを渋る会社があるかといえば、そういう話にはならないと思われます。

んと。私は別にこの話題に限ってコストの話をしているわけではなく。
常にコスト意識を持ってます。
# 営業なんか兼任していると、否が応でも。

で。私用電話や私用ファクスは「電話代がかかる」というわかりやすい理由
で、それ自体を「やめる」方向に持っていくのは比較的簡単なのですが。
コンピュータセキュリティの場合、まず「月々の管理コスト」という、
私用電話などでは存在しなかったコストが発生し、なおのこと「何も無ければ
無駄金じゃん」という素晴らしい危機管理感覚を有する経営陣のおかげで、
嫌がおうでもシビアなコスト管理が必須になるのが現状です。

引用:

要は考え方だと思います。コンピュータだからといって特別視する必要はないと思うのですが、どうでしょう?「守るべきものは何か」を、経営者や総務・人事・管理部門がきちんと認識しているかどうか、ということだと思います。

基本的には、正論です。
ただ、現実はそう簡単には動いていないわけで。
そこのギャップをネットワーク管理者が埋めているのが実情だと
思います。
ここで「経営者が悪いから僕悪くないから放置」と叫ぶのは容易ですが、
それではなんの解決にもならないわけでして。
場合により最終的には煮え湯を飲んでいただくにせよ、まず管理のお仕事
として「それなり以上にやった」程度の実績は必要なんですね。

引用:

経済学でも似たような概念を学んだような気が(何という法則かは忘れましたが・・・笑)。

ほほぅ。それは興味深げな。
思い出したら書き込んでもらえるとうれしいです ^^
«前のページへ 8|9|10|11|12|13|14|15|16|17|18 次のページへ»

スキルアップ/キャリアアップ(JOB@IT)