アカウント名:
パスワード:
http://www.itmedia.co.jp/enterprise/articles/0901/13/news010.html [itmedia.co.jp]これと同じ。
親コメのリンク先は読みましたが、何かおかしい気がします。
Winny利用で家庭が崩壊した、という論調で書いてますが、そもそもの問題点は
USBメモリにコピーを行う権限を持つ副支店長という立場を利用して、USBメモリに業務関連の資料データをすべてコピーし、自宅で作業することにしました。
です。(リンク先 [itmedia.co.jp]より引用)
(それがフィクションかどうかはこの際置いといて)このストーリーの本質は、情報を持ち出すことの危険性を認識していない銀行員が不適切な方法で情報を持ち出し、その結果被害が発生した、ということに他なりません。実際、この文章で「大学生の長男が使用していたWinnyからの暴露ウイルス」云々を「N氏が置き忘れたUSBメモリを拾った悪意ある人」や、あるいは「N氏が自宅でメール送信をしていて誤って添付してしまった送信先」に置き換えてもストーリーとしてまったく成り立ちます。つまり、この文章におけるWinnyは「たまたま情報が広がってしまった過程」であって、情報漏洩発生源ではないのです。(少なくとも、この文章のような事態が実際に発生したとして、真っ当な会社であればUSBメモリにコピーした瞬間を「インシデントの発生」と捉えるでしょう)
私はWinnyには否定的な立場です。少なくとも社会全体で見て、Winnyがプラスになっている面よりマイナスになっている面のほうが多く見受けられる現状では、Winnyはなくなって構わないと思います。
ただ、だからといって、このような本質的に別の問題まで「Winnyの責任」としてネガティブキャンペーンを打ち出すのが、果たして啓蒙効果があるのかどうか、という点においては疑問を感じます。前述したように「情報漏洩の発生源がどこか」ということを考えられる人なら、この文章の論調と、実際に書かれている事例の内容に齟齬があることはすぐに気がつくでしょうし。
さて、今回トピックで話題になっている「Don't Copy That Floppy !」の続編についても、予告の画像を見ると、あからさまにあり得ない状態(違法コピーをしていただけで特殊部隊に銃をつきつけられる、等)が描かれており、センセーショナルであることは認めますが、果たして効果があるのかどうか、私には疑問です。カジュアルにコピーしている人から見れば「何か大げさに騒いでるけど、実際にはこんなこと起きえないもんねー」とスルーされてしまうでしょうし、営利的な違法コピーに手を染めている人はこの程度の啓蒙には見向きもしないか、たとえ見たとしてもスルーでしょう。
どうせなら、もう少し現実味がある内容(かつ、「違法コピーは犯罪である」という軸がぶれない内容)のほうが効果があると思うのですが、なかなかそうもいかないのでしょうか。
この場合、当人はUSBメモリへのコピー自体の権限は持っていたとのことですので、「そのUSBメモリを外へ持ち出した」時点が問題発生の瞬間ではないかと思うのですが、どうなのでしょう。 いずれにしても「Winny以前」の問題であることに違いはないですが。
もちろんケースバイケースだとは思いますが、「USBメモリへのコピー自体の権限」というのが鍵で、「業務フロー上必要な場合に限り認められている」のか、「副支店長の裁量で好き勝手にコピーしていい」のか、ということになるると思います。
前者であれば、業務フロー上、自宅に持ち帰っての作業が許可されていたとは考え辛いので、やはり「自宅にデータを持ち帰って作業する」という目的のためにコピーした瞬間がインシデントの発生ポイントになると思います。(業務フローとして持ち帰りが許可されていた場合のケースについては「後者」の方に書きます。) 「インシデント」という用語が複数の業界で使用され、時として意味が違うことがあるのですが、一般的にIT業界においては「サービスの停止や質の低下をもたらす可能性のある(あるいは実際に発生した)、標準の運用には属さないイベント」とします。 なので、前述のように「自宅にデータを持ち帰って作業をする」というのが標準の運用でなければ、「会社内でデータを作成していた」「USBメモリにデータをコピーした」「データをコピーしたUSBメモリを社外に持ち出した」「自宅のPCでデータを開いた」……と続く一連のイベントの中で、標準の運用から外れた地点がインシデントの発生点になります。
そして、後者であれば、そもそも副支店長は銀行の経営陣ではなくあくまで労働者である以上、第一に責任を負うべきは「副支店長にコピーを許可した」(あるいは、ITのプロフェッショナルでもない「副店長」というポジションの人間に、きちんと管理されているかどうかの判断もつかない自宅でのパソコン作業を認めた)人間になるはずです。そもそも「この人には○○をやって貰う必要があるから」という理由で付与されるのが「権限」なのですから。 もちろん、現実の組織においては「上が許可しておきながら、失敗したら上は責任を取らず、下を切り捨てる」ということは多々ありますが、そういう部分まで想定したストーリーであれば、その点はしっかり書かないと結局は内容として「片手落ち」でしかありません。といいますか、そこまで行ってしまうと「情報へのアクセス権限のコントロールがきちんとできていなかった銀行が、それにより生じたトラブルの責任を末端の銀行員に負わせて首を切った」という、さらに本題とは逸れた話になってしまいます。
良かった。家族崩壊した銀行マンはいなかったんだ…
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
※ただしPHPを除く -- あるAdmin
これも架空の話を利用した脅迫ですよね (スコア:0)
http://www.itmedia.co.jp/enterprise/articles/0901/13/news010.html [itmedia.co.jp]
これと同じ。
Re:これも架空の話を利用した脅迫ですよね (スコア:5, すばらしい洞察)
親コメのリンク先は読みましたが、何かおかしい気がします。
Winny利用で家庭が崩壊した、という論調で書いてますが、そもそもの問題点は
です。(リンク先 [itmedia.co.jp]より引用)
(それがフィクションかどうかはこの際置いといて)このストーリーの本質は、情報を持ち出すことの危険性を認識していない銀行員が不適切な方法で情報を持ち出し、その結果被害が発生した、ということに他なりません。
実際、この文章で「大学生の長男が使用していたWinnyからの暴露ウイルス」云々を「N氏が置き忘れたUSBメモリを拾った悪意ある人」や、あるいは「N氏が自宅でメール送信をしていて誤って添付してしまった送信先」に置き換えてもストーリーとしてまったく成り立ちます。つまり、この文章におけるWinnyは「たまたま情報が広がってしまった過程」であって、情報漏洩発生源ではないのです。
(少なくとも、この文章のような事態が実際に発生したとして、真っ当な会社であればUSBメモリにコピーした瞬間を「インシデントの発生」と捉えるでしょう)
私はWinnyには否定的な立場です。少なくとも社会全体で見て、Winnyがプラスになっている面よりマイナスになっている面のほうが多く見受けられる現状では、Winnyはなくなって構わないと思います。
ただ、だからといって、このような本質的に別の問題まで「Winnyの責任」としてネガティブキャンペーンを打ち出すのが、果たして啓蒙効果があるのかどうか、という点においては疑問を感じます。前述したように「情報漏洩の発生源がどこか」ということを考えられる人なら、この文章の論調と、実際に書かれている事例の内容に齟齬があることはすぐに気がつくでしょうし。
さて、今回トピックで話題になっている「Don't Copy That Floppy !」の続編についても、予告の画像を見ると、あからさまにあり得ない状態(違法コピーをしていただけで特殊部隊に銃をつきつけられる、等)が描かれており、センセーショナルであることは認めますが、果たして効果があるのかどうか、私には疑問です。
カジュアルにコピーしている人から見れば「何か大げさに騒いでるけど、実際にはこんなこと起きえないもんねー」とスルーされてしまうでしょうし、営利的な違法コピーに手を染めている人はこの程度の啓蒙には見向きもしないか、たとえ見たとしてもスルーでしょう。
どうせなら、もう少し現実味がある内容(かつ、「違法コピーは犯罪である」という軸がぶれない内容)のほうが効果があると思うのですが、なかなかそうもいかないのでしょうか。
Re:これも架空の話を利用した脅迫ですよね (スコア:1)
この場合、当人はUSBメモリへのコピー自体の権限は持っていたとのことですので、「そのUSBメモリを外へ持ち出した」時点が問題発生の瞬間ではないかと思うのですが、どうなのでしょう。
いずれにしても「Winny以前」の問題であることに違いはないですが。
Re:これも架空の話を利用した脅迫ですよね (スコア:2, 興味深い)
もちろんケースバイケースだとは思いますが、「USBメモリへのコピー自体の権限」というのが鍵で、「業務フロー上必要な場合に限り認められている」のか、「副支店長の裁量で好き勝手にコピーしていい」のか、ということになるると思います。
前者であれば、業務フロー上、自宅に持ち帰っての作業が許可されていたとは考え辛いので、やはり「自宅にデータを持ち帰って作業する」という目的のためにコピーした瞬間がインシデントの発生ポイントになると思います。(業務フローとして持ち帰りが許可されていた場合のケースについては「後者」の方に書きます。)
「インシデント」という用語が複数の業界で使用され、時として意味が違うことがあるのですが、一般的にIT業界においては「サービスの停止や質の低下をもたらす可能性のある(あるいは実際に発生した)、標準の運用には属さないイベント」とします。
なので、前述のように「自宅にデータを持ち帰って作業をする」というのが標準の運用でなければ、「会社内でデータを作成していた」「USBメモリにデータをコピーした」「データをコピーしたUSBメモリを社外に持ち出した」「自宅のPCでデータを開いた」……と続く一連のイベントの中で、標準の運用から外れた地点がインシデントの発生点になります。
そして、後者であれば、そもそも副支店長は銀行の経営陣ではなくあくまで労働者である以上、第一に責任を負うべきは「副支店長にコピーを許可した」(あるいは、ITのプロフェッショナルでもない「副店長」というポジションの人間に、きちんと管理されているかどうかの判断もつかない自宅でのパソコン作業を認めた)人間になるはずです。そもそも「この人には○○をやって貰う必要があるから」という理由で付与されるのが「権限」なのですから。
もちろん、現実の組織においては「上が許可しておきながら、失敗したら上は責任を取らず、下を切り捨てる」ということは多々ありますが、そういう部分まで想定したストーリーであれば、その点はしっかり書かないと結局は内容として「片手落ち」でしかありません。といいますか、そこまで行ってしまうと「情報へのアクセス権限のコントロールがきちんとできていなかった銀行が、それにより生じたトラブルの責任を末端の銀行員に負わせて首を切った」という、さらに本題とは逸れた話になってしまいます。
すっかり信じこんでいた… (スコア:1)
良かった。家族崩壊した銀行マンはいなかったんだ…
怖いね~ (スコア:0)
Re: (スコア:0)