質問

2009年04月03日 18時30分
  • 【プレゼント付き】セキュリティのトラブル自慢?

情シスのオープンナレッジ『Syszo』サービス終了のお知らせ

質問

ノークリサーチです。

少し前に質問を立てましたが、もう少し具体的な「セキュリティトラブル」事例といいますか、困ったこと、失敗自慢?などをお聞かせください。
さすがに弊社では、機密情報を扱うことが多いので、それなりに敏感に対応しています。少し前ですがコンピュータベンダでも平気で、目の前で躊躇なくUSBで個人情報を入れて、渡されたこともありました。信用していたとはいえ、かなり問題だなとは思います。などなど、気軽にコメント頂ければ!

11件の回答があります

回答

当社には、外部とのデータ通信に利用するサーバーがあります。
そのサーバーは、取引先のアカウントでログインすると、特定の共有スペースしか見えません。
しかし社員用のアカウントでログインすれば、全ての共有スペースが見えます。

この社員用のアカウントを、取引先に教えた社員がいました。
「仕事の都合で緊急でデータのやりとりが必要だったから。(取引先用アカウントを申請する時間がなかったから)」というのが理由でした。
自分の業務都合の方が、会社の規定やセキュリティよりも優先すると判断したわけです。
さらに最悪なのは、「アカウントを社外の人間に教えた」という事実を、誰にも一切報告しなかったことです。
(報告があれば即座にパスワード変更できるから、リスクは最小にできたのに)

この事実が発覚したのは、半年後にその取引先から「(社員用アカウントの)パスワードを忘れてしまったら教えてくれ」と、問合せがあったためです。
それまでの半年間は、その取引先の担当者は、当社(データ通信用)サーバーの、全ての取引先用のスペースを、自由に閲覧できた状態にありました。
取引先の担当者が、さらに他の人間に教えなかったとは断言できません。
たいへんリスクの高い状態でした。

それで終わりではなく、さらに良くないことがあります。
それは、その社員に対して、会社は何も処罰を加えなかったという点です。業績考課にも反映されません。(営業マンは売上数字でしか評価されない)
社外の人間に社員用のアカウントを教える行為は、社内規程に反することはもちろん、不正アクセス禁止法にも違反する不法行為です。
それなのに何も処罰しないのであれば、セキュリティ規定に対する社内の遵守意識、モラルは崩壊してしまいます。
そういう事も考えずに、単に技術的(システム的な)安全管理措置だけで済まそうとする会社の上層部の考えでは、セキュリティなどとうてい保ちようがないな、とあらためて感じた次第です。

2009年04月03日 19時10分

回答

数年前ですが某社のSEが当社に1回だけ訪問し、完成したプログラムを納入したのですが、数ヶ月後にそのプログラムが入ったままのパソコンを盗まれるということがありました。幸いそのプログラムは機密というほどでもないため、またセーフブートで保護してあるため実害はありませんでしたが、一つ間違うと大変な事になっていたはずです。早速、社内にそれを報告して当社も持ち出すパソコンには完璧な管理をするように進言したのですが...対応が悪く今になっても対策が徹底されていません。

作成したプログラムの入力画面でパスワードを入れるようになっていたのですがそれをユーザに説明するときに説明者が「このパスワードはシステム管理と同じ*****になっています」と口を滑らしました。システム管理のパスワードをユーザに教えてしまうとはとんでもないことをしてくれたものです。さっそくシステム管理の方を変更しましたがかなりの手間がかかりました。

当社のセキュリティ管理規程には「セキュリティ事務局は毎期、管理状況を統括責任者に報告すること」とあるので統括責任者に最近の報告を見せて欲しいと要求したところ「あんなものはずっとやってないよ。あんなものは意味ないね。」というので"内部統制上の不備""統括責任者の責任感希薄"と指摘してやりました。統括責任者は重役なのですが無責任もいいところでした。

失敗自慢なら負けませんよ。

2009年04月04日 02時54分

回答

パートタイマーの人たちが共同で使用するパソコンがあるのですが、
それに堂々と

     4月1日からパスワードが変わります
      旧パスワードは12345678 
      新パスワードは23456789

と貼ってありました。

回答

コメント(1)さんを見て思い出しました。
ある社員がお客のところのセキュリティ設定を間違えて無効状態にしてしまい、後で発見されて問題になった事があります。その社員は譴責(けんせき)処分になったのですが、譴責を受ける時になって譴責者が社員を目の前にして「ところで何を叱ればいいんだね」と言ったのには笑いました。

2009年04月07日 17時46分

回答

業務効率最優先の環境で、
「セキュリティ」の概念はウィルスとP2Pに関することのみというのが
私が着任した当時のことです。

共有PC、サーバ、Firewallの管理者ログインパスワードは、全て同じ
サーバ設計(特にフォルダ設計)がないため、勝手ルールが横行
などなど・・・

特に困ったのが、管理者ログインパスワードで、
個人PCのユーザログインにも使われているケースが多かったことがわかり、
管理者ログインを変更することになりました。

また、ベンダーにてサーバ設計書に基づいてサーバ構築を行う予定が、
社員が先にサーバ設定を行い運用を開始してしまったために、
共有領域が、Program File内に展開されてしまいました。
不具合はないのですが、ベンダーから「なんとかしてほしい」と言われてしまいました。
ベンダーがさじを投げてしまったというよりは、運用が開始されてしまったため、手がだせなくなったというのが本音です。
業務に支障がないよう、サーバ設計を行いデータ移行作業を行っています。

IT管理者不在+パソコンに強いと自負する社員の集団 だからこその実態だと思います。
PCには長けていても、サーバ運用については誰もわからない(ユーザ設定くらいは出来る程度)状況で、サーバとクライアントPCを同じ様に扱ってきた結果です。そのため、ファイルサーバ内の共有データの紛失も頻繁にありました。
上司は社内で唯一(おそらく)その危険性を察知していたので、仕事に着手しやすかった点は救いでした。社員にセキュリティを意識させるために、今でも試行錯誤しているところです。

回答

過去に経験した職場での話ですが。

業務系の導入が早く、クラサバ環境を構築したのは良いのですが、まだノウ
ハウが確立していない状態での導入となってしまい、拠点ごとにドメインが
構築されているが、信頼関係は構築されておらず、ユーザーアカウントが全
社で統一されているという環境でした。
マルチドメイン、シングルユーザーという環境です。
誰が何をしたのかが把握できず、どこの拠点にもアクセスできてしまう環境
でした。

業務系の更新に伴い、ADを導入するという話を聞きましたが、現在どのよう
な環境になっているのかはわかりません。

2009年04月10日 16時56分

回答

新型の複合機(コピー+プリンタ+FAX)がある職場に導入され電話線をつないでFAXとしても使っていたのですが...
私が全社用ファイルサーバのお守りをしていたら、異常にファイル数の多いフォルダがあったので中を調べてみたら、この複合機のFAX受信したものがこのフォルダに蓄積されていました。しかもアクセス権が公開状態でしたので、ネットワークを通じて誰でもFAX文書が見えてしまう状態でした。
FAX文書には個人の名前、電話、メアド、住所、...が書いてある場合があり個人情報漏洩の危険がありました。そんなところにフォルダがあることは担当者以外は知らず、ログを見ても担当者以外がアクセスした形跡は無かったのは幸いでした。 (もちろんすぐに対策しました。)
担当者に聞くと設置した業者が「共有フォルダがあるか」と聞いたのでその場所を教えたとのこと。それが個人情報になるということまでは気が付かなかったそうです。

複合機のFAXサーバは増えてきたと思いますが気をつけないとこういうことが有りますよ。

2009年04月17日 17時12分

回答

情シスのことではないのですが...
ある部門が先導して会社の建物の入口にセキュリティをという計画を立てました。その計画の発表があるというので出席しました。
至る所にカード認証機や指紋認証機を付けて監視カメラと連動させると言う計画でしたが、私が「一番大きな荷物搬入用のシャッター口には何も付けないのですか? 夏になると開けっ放しになっていますし、外からでもボタンを押せば電動シャッタが開きますよ。」と言ったらどうも計画から洩れていたようで、「そこにはセキュリティを行いません」という返事でした。
結局、他の入り口から入れなくなった通いの業者さんがこのシャッターから勝手に入ってくるようになってしまいました。

教訓:セキュリティをやるなら徹底的にやれ。穴があるとみんながその穴を利用することになる。

2009年04月21日 00時22分

回答

ITに関係ないのですが、重要な書類と思われるものが無造作にゴミ箱に捨てられたり、ウラガミとしてメモになっていたりすることが多いのですが。これはあきらかにまずいと思いますが。多分、気にしている人は少なく、会社としても特に決めごとがない、、、。

回答

ひょっとしたらどこかに書いたかもしれませんが...
発注の注文書を自動FAXで送っているのですが、途中で不具合を起こして止まってしまいました。そこで手操作でFAXを送ったのですが、間違えて違う商社さんに送ってしまったことがあります(一覧表の行を1つずらせて見ていたのでした)。
情報漏洩という観点からは大変なミスですが、実はひょうたんからコマがありまして、
「違う宛先のFAXが来ましたが この物でしたら弊社はもっと安く納入できますよ」というところがあってコストダウンできたとのこと。
同じ業種の商社は順番も近いのでこういうことが起きたのでした。

2009年04月27日 16時48分

回答

営業部門が使っていたパソコンなのですが展示イベントの時にブース設営費用の中で買ったパソコンがありました。展示イベントが終了するとそのパソコンは余るのでお客の所にデモに行くときに使っていました。ある社員がそのパソコンを自宅に持ち帰りウィルスに感染。それを社内のLANに接続したのでウィルスアラートが頻発。調査したのでそのパソコンだと判ったのですが...
・そうやって入手したパソコンなので「パソコン購入申請」がなかった。
・LANにつなぐつもりがないのでネットワーク接続申請が出ていなかった。
・アンチウィルスソフトを入れていなかった。
・社外に持ち出しているパソコンなのに管理(暗号化、内在情報一覧把握、持ち出し許可証)がされていない。
・LANに接続する申請がないのにLANにつないだ。
という多重の規則違反でした。

2009年08月09日 00時25分

あなたもコメントしましょう!