アカウント名:
パスワード:
http://www.itmedia.co.jp/enterprise/articles/0901/13/news010.html [itmedia.co.jp]これと同じ。
親コメのリンク先は読みましたが、何かおかしい気がします。
Winny利用で家庭が崩壊した、という論調で書いてますが、そもそもの問題点は
USBメモリにコピーを行う権限を持つ副支店長という立場を利用して、USBメモリに業務関連の資料データをすべてコピーし、自宅で作業することにしました。
です。( リンク先 [itmedia.co.jp]より引用)
(それがフィクションかどうかはこの際置いといて)このストーリーの本質は、情報を持ち出すことの危険性を認識していない銀行員が不適切な方法で情報を持ち出し、その結果被害が発生した、ということに他なりません。実際、この文章で「
この場合、当人はUSBメモリへのコピー自体の権限は持っていたとのことですので、「そのUSBメモリを外へ持ち出した」時点が問題発生の瞬間ではないかと思うのですが、どうなのでしょう。 いずれにしても「Winny以前」の問題であることに違いはないですが。
もちろんケースバイケースだとは思いますが、「USBメモリへのコピー自体の権限」というのが鍵で、「業務フロー上必要な場合に限り認められている」のか、「副支店長の裁量で好き勝手にコピーしていい」のか、ということになるると思います。
前者であれば、業務フロー上、自宅に持ち帰っての作業が許可されていたとは考え辛いので、やはり「自宅にデータを持ち帰って作業する」という目的のためにコピーした瞬間がインシデントの発生ポイントになると思います。(業務フローとして持ち帰りが許可されていた場合のケースについては「後者」の方に書きます。) 「インシデント」という用語が複数の業界で使用され、時として意味が違うことがあるのですが、一般的にIT業界においては「サービスの停止や質の低下をもたらす可能性のある(あるいは実際に発生した)、標準の運用には属さないイベント」とします。 なので、前述のように「自宅にデータを持ち帰って作業をする」というのが標準の運用でなければ、「会社内でデータを作成していた」「USBメモリにデータをコピーした」「データをコピーしたUSBメモリを社外に持ち出した」「自宅のPCでデータを開いた」……と続く一連のイベントの中で、標準の運用から外れた地点がインシデントの発生点になります。
そして、後者であれば、そもそも副支店長は銀行の経営陣ではなくあくまで労働者である以上、第一に責任を負うべきは「副支店長にコピーを許可した」(あるいは、ITのプロフェッショナルでもない「副店長」というポジションの人間に、きちんと管理されているかどうかの判断もつかない自宅でのパソコン作業を認めた)人間になるはずです。そもそも「この人には○○をやって貰う必要があるから」という理由で付与されるのが「権限」なのですから。 もちろん、現実の組織においては「上が許可しておきながら、失敗したら上は責任を取らず、下を切り捨てる」ということは多々ありますが、そういう部分まで想定したストーリーであれば、その点はしっかり書かないと結局は内容として「片手落ち」でしかありません。といいますか、そこまで行ってしまうと「情報へのアクセス権限のコントロールがきちんとできていなかった銀行が、それにより生じたトラブルの責任を末端の銀行員に負わせて首を切った」という、さらに本題とは逸れた話になってしまいます。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人
これも架空の話を利用した脅迫ですよね (スコア:0)
http://www.itmedia.co.jp/enterprise/articles/0901/13/news010.html [itmedia.co.jp]
これと同じ。
Re: (スコア:5, すばらしい洞察)
親コメのリンク先は読みましたが、何かおかしい気がします。
Winny利用で家庭が崩壊した、という論調で書いてますが、そもそもの問題点は
です。( リンク先 [itmedia.co.jp]より引用)
(それがフィクションかどうかはこの際置いといて)このストーリーの本質は、情報を持ち出すことの危険性を認識していない銀行員が不適切な方法で情報を持ち出し、その結果被害が発生した、ということに他なりません。
実際、この文章で「
Re: (スコア:1)
この場合、当人はUSBメモリへのコピー自体の権限は持っていたとのことですので、「そのUSBメモリを外へ持ち出した」時点が問題発生の瞬間ではないかと思うのですが、どうなのでしょう。
いずれにしても「Winny以前」の問題であることに違いはないですが。
Re:これも架空の話を利用した脅迫ですよね (スコア:2, 興味深い)
もちろんケースバイケースだとは思いますが、「USBメモリへのコピー自体の権限」というのが鍵で、「業務フロー上必要な場合に限り認められている」のか、「副支店長の裁量で好き勝手にコピーしていい」のか、ということになるると思います。
前者であれば、業務フロー上、自宅に持ち帰っての作業が許可されていたとは考え辛いので、やはり「自宅にデータを持ち帰って作業する」という目的のためにコピーした瞬間がインシデントの発生ポイントになると思います。(業務フローとして持ち帰りが許可されていた場合のケースについては「後者」の方に書きます。)
「インシデント」という用語が複数の業界で使用され、時として意味が違うことがあるのですが、一般的にIT業界においては「サービスの停止や質の低下をもたらす可能性のある(あるいは実際に発生した)、標準の運用には属さないイベント」とします。
なので、前述のように「自宅にデータを持ち帰って作業をする」というのが標準の運用でなければ、「会社内でデータを作成していた」「USBメモリにデータをコピーした」「データをコピーしたUSBメモリを社外に持ち出した」「自宅のPCでデータを開いた」……と続く一連のイベントの中で、標準の運用から外れた地点がインシデントの発生点になります。
そして、後者であれば、そもそも副支店長は銀行の経営陣ではなくあくまで労働者である以上、第一に責任を負うべきは「副支店長にコピーを許可した」(あるいは、ITのプロフェッショナルでもない「副店長」というポジションの人間に、きちんと管理されているかどうかの判断もつかない自宅でのパソコン作業を認めた)人間になるはずです。そもそも「この人には○○をやって貰う必要があるから」という理由で付与されるのが「権限」なのですから。
もちろん、現実の組織においては「上が許可しておきながら、失敗したら上は責任を取らず、下を切り捨てる」ということは多々ありますが、そういう部分まで想定したストーリーであれば、その点はしっかり書かないと結局は内容として「片手落ち」でしかありません。といいますか、そこまで行ってしまうと「情報へのアクセス権限のコントロールがきちんとできていなかった銀行が、それにより生じたトラブルの責任を末端の銀行員に負わせて首を切った」という、さらに本題とは逸れた話になってしまいます。