Togetter/min.tを安心してお使い頂くためのガイドラインを公開しました。

「ネットを制限している企業ほど情報漏洩事故を起こしている」あまりにお粗末なその実態に呆れ&心当たりの声「うちの会社かと」

心当たりありすぎる
111
Miyahan @miyahancom

自分の観測範囲だとネットを制限している企業ほど情報漏洩事故を起こしている。事故の再発防止で厳しくしていったんだろうが、でも報道発表資料読むとパソコン使えないので紙に印刷して持ち出したら風で飛ばされただの、ネット禁止だからUSBメモリに入れて運んだら盗まれただの、そんなのばっか

2018-08-28 23:52:29
Miyahan @miyahancom

何度も新聞に載って幹部がフラッシュ浴びながらお辞儀してもまだ「情報漏洩のリスクがあるからオンラインサービスは禁止だ」とか言ってるの、空き巣に入られてもまだ「銀行よりタンス預金のほうが安全!」とか叫んでるボケた爺さんかよ。

2018-08-29 00:01:22
Miyahan @miyahancom

つまりやらかしたヤツがそのときたまたま使ってた手段を禁止しても何の意味はなく、アレな社員を抱える限りインシデントは起き続けるということ。

2018-08-29 10:30:23
みんなの反応
Marinba @abababa_bear

@miyahancom ハードルを上げすぎて、みんなくぐり出すやつですね

2018-08-29 13:03:28
T otsuka @O2K

自分がわからんもんだから子供にネット規制した結果リテラシー壊滅状態の子供育てちゃうアレな親みたいだね

2018-08-29 20:25:59
MaguroChicken @magurochicken

@miyahancom 大人「包丁は危ないから気をつけて使おうねぇ〜」 幼稚園児「包丁は危ないから使用制限しようねぇ〜」 アホ企業「ITは危険だから使用制限しようねぇ〜」 アホ企業は道具の使い方レベルで幼稚園程度ですねww

2018-08-29 19:57:33
葵新伍 💻🚗⚽️🚲️📡 @shingo_aoi20

@miyahancom 例えば、業務上、USBメモリが必要なのに、何も考えず、USBメモリを利用禁止にしている組織は、適切な取り扱いルールを決めてない、事故発生時の手順も禁止なので決めてない。  だから、みんな勝手に好きなように使うから、当然、事故ってしまいっていうのは、ありますね。

2018-08-29 06:22:52
けっち(。・ω・。)СумирэУраaaa!★ @ktchi_smpfutbol

ある程度のヒューマンエラーも織り込んでなおどうにか出来るタスクマネジメントにしなかったら暖簾に腕押しだね。こりゃ。さっきのクソマネジメントと同じよ<RT

2018-08-30 07:59:16
百鬼 @nakiri_nekoman

漫画「とろける鉄工所」でも、安全対策の装備をガチガチに身につけてる人ほどよくケガするみたいな話があったな

2018-08-30 10:53:31
662611034 @662611034

世田谷区「専用カードを発行するのでこれを使えば外にある機械で住民票など発行できます」 私「すごい!21世紀!」 韓国「ネットで取れる電子証明書あれば24時間いつでもweb上で手続きして家のプリンターで刷れるぞ」 私「ふぇぇ」

2018-08-30 12:38:01
meron @meronmks

データ移送用の暗号化済みUSBに直接パス書くライフハック

2018-08-30 12:52:35
ぽ〜じゅ⋈ @poju2h

>RT 「正しい知識を獲得して有効な対策をとる」のではなく、「臭いものに蓋」という選択をした結果、リスクを自ら不可視化してしまう…というパターンかな?(´・ω・`;)

2018-08-30 21:34:08
こっすん🍀UHHD☆ @Kossun_UHHD

@miyahancom コンピュータウィルスこわいこわい…になっちゃってるんですよね。リアルの人間が一番こわいのに

2018-08-30 22:13:58
REUNIONした日 @pdos_h_a

外部サービスに接続するのはダメだからプロジェクト管理ツールもダメです、バージョン管理?そんなのいらないでしょ?前のやつはサーバーにコピペして置いとけばいいんだから!で押し通してたクソみたいな現場があって心の底から引いた思い出

2018-08-30 22:36:11
T.Endo@佐世保鎮守府 @hda12401

(RT)こういう事故が起きた反省として「紙への印刷原則禁止」「USBメモリ使用原則禁止」がルールに追加されるんだよねこういう会社は

2018-08-30 12:12:37
心当たりが...
アネハスーツ @aneha_zaku

「やらかした奴がそのときたまたま使っていた手段を禁止する」に心当たりがありすぎて

2018-08-30 14:43:53
タンポポを乗せる機械 @_x773

メールの添付ファイル以外にファイル転送をする仕組みがないのにUSBメモリを禁止して大容量ファイルを送れなくなった弊社の話かな。

2018-08-30 18:27:05
Kenrow 改二特 @KenrowY

あー、情報漏洩関連でやらかした後に取った対策がアレな事で有名になる所は、結局何度も繰り返しやらかしてるもんなぁ。何処とは言わないけど

2018-08-30 12:12:01
このツイートは権利者によって削除されています。
理夢@隠居 @rim99981

これは国家機密なのでここだけの話なんですが実は年金の主幹システムは派遣のアルバイトがアクセス可能でなおかつUSBメモリの持ち込みは禁止されてますがそこらへんに無地の紙はたくさんあります。更に持ち物検査もされません。

2018-08-30 18:22:55
RUI(故) @uverjanne

規制を厳しくすればするほど、ルール違反や抜け道を使うのが増えるよ

2018-08-31 00:34:12
残りを読む(1)

コメント

LCO @f_lco 2018年8月31日
「塞いだはずの穴を事故で抜けた」から自戒として事例情報になるんであって 塞いでなくて最初からガバガバ垂れ流してるのは話題にならんだけだぞ、コレ読んで「制限がないほうが良いんだね!」って思ったやつはタダの馬鹿
46
ぼーる @maruyama02688 2018年8月31日
[ボケたろう人]に銀行の窓口ATMでちんたらされるのいやだからタンス預金にするってのは正解な気がする
6
SAKURA87@多摩丁督 @Sakura87_net 2018年8月31日
例えばメールのご送信やFAXの誤配信で何GBもデータを受け渡す事は無く。せいぜい20MB分。普通は必要な部分のみを受け渡すから。ネットワーク経由のデータ伝搬だと被害が小さくなって話題に上がらないだけ。ネットでのやりとりを禁止されていてそう言う事をやらかす企業がネット禁止を解いても今度はガバガバになって色々入り放題でアウトローなかんじになって一瞬で滅ぶ。
1
Y.S @y_sugizou 2018年8月31日
「ハードル上げ過ぎたらみんなくぐりだす」はホントそうなんだよね。ルール作るのは良いけど守れるルールじゃないと意味ないよね。
54
柏木彰二 @GmailShoji 2018年8月31日
印刷物やUSBメモリなんて、そんな物理的手段なんてもう何年も前から封じられてる。今更そんなので事故が起きているなんて言い出すのは、そっちの方が周回遅れ
12
ローストの肉 @ROM69787270 2018年8月31日
ファイルはクラウドにだけ置く、外から繋ぐのOKだけど毎回パスワードは入れさせて記憶できない物にする。で、PC紛失しても漏洩しない
1
(あ)@お気持ちヤクザ @MutsuniNaruBeam 2018年8月31日
パスワードをモニターに付箋で貼りつけてる系のアレを感じる
27
ネワノ @One_of_Engineer 2018年8月31日
どうでもよいことまで、ガチガチに縛って結果、守らなきゃいけないものの取り扱いまで一緒くたにおろそかにさせてるって意味と、便利かつ安全な手段を偏見で封じた結果、危険でも利便性を追求するって話でしょ。 権限管理の概念が無い組織が多いと思う。
1
a7R2Lj @a7R2Ljtm 2018年8月31日
「事故を起こさない」とか「被害を最小限にする」とかじゃなくて、「自分が責任を問われない」を最優先にする人が「エライ人」にいると、ほんとどうしようもない。
29
がそ @gaso 2018年8月31日
そうだね。全データをZenlogic(旧ファーストサーバ)に置いておくといいかもね!
1
きゃっつ(Kats)⊿ @grayengineer 2018年8月31日
仕事柄、情報セキュリティ教育とかそういうの必ずあるんだけど、企業側の対策は技術的対策しかやりようがなくて、だけど最も根本的な問題はヒューマンエラーだし、事例としてもそれが一番多いんだよね。酔って電車の網棚にノートPCが入ったカバンを忘れてきたとか。
2
天たくる @ten_tacle 2018年8月31日
元ツイの「やらかした奴がたまたま使っていた手段を禁止するのは的外れ」は全く金言と思う。「ハードルを上げすぎたらみんな潜りだす」もそれ自体は心に留めておいた方が良い言葉だと思うけど、元ツイにそのニュアンスはないのにそう読み取ってるらしい人が多いのが気になる。
9
天たくる @ten_tacle 2018年8月31日
「ハードルを上げすぎたら〜」は発生する事象はそうなんだけど、問題なのは「ハードルを上げた結果ルール破りをしないとやってやれない程不都合画が増える」というユーザビリティの軽視であって、セキュリティの強化と密接な関係はあるが=ではない。それを一緒くたにして「ハードルを上げる」と言ってしまうのが何か雑というか、「やらかした〜」の観点の方がずっと核心を突いていると思うのです。
40
脳内がエロで埋まっている白痴のネトウヨ @dokuman3 2018年8月31日
y_sugizou そこは重要だよね。ルールを作るのは簡単だけど、優れたルールを作るのは難しい。
8
低浮上monolith@五類指定とシルバーロックダウン @se_monolith 2018年8月31日
「ハードル上げ過ぎたらみんなくぐりだす」が秀逸過ぎて言った人を座布団の海に浮かべたい
10
某MK @ssf3dymn 2018年8月31日
ルールは必要だけど、ルールって作る度に「それを守る労力」「守らせる労力」「守らなかった時にペナルティを与える労力」と関わる人間へのコストがガンガン増えてくからね。
13
ユーコン @yukon_px200 2018年8月31日
セキュリティの基本は「ケチケチしない」な気がする。年金機構の事例から。
9
Gothicgaze @Gothicgaze 2018年8月31日
「パスワードはすごく長いフレーズにしろ」「記号と数字も入れろ」「特に事故がなくても定期的(1ヶ月)に更新しろ」→同じパスワードの数字の部分だけ更新のたびに1ずつ増やして更新
1
マシン語P @mashingoP 2018年8月31日
全社的にペーパーレスを推奨→FAXの代わりに書類をスキャンしたPDFがメールサーバを飛び交う→ストレージ容量を圧迫→一般社員のメールBOXを100MBに制限→古いメールを小まめに削除するため、過去に送ったかを確認する術が無くなって効率ダウン ITリテラシーの有無で採用してくれよ
8
ながいずみ(個人用) @nameriizumi 2018年8月31日
マックで女子高生の格好した戦前生まれのおじさんが「「基幹コンピュータのパスワードは俺しか知らない!だから100%最高のセキュリティだ!」って社長が豪語してたんだけも、その社長が突然亡くなってしまいあらゆるDBやイントラネットにアクセスできなくなってしまった。データも社長しか知らないハッシュで暗号化されててサルベージ不能。そのまま会社が消えた」って虚空に向かって語ってた
13
なんもさん @nanmosan 2018年8月31日
こういう新人でもめったにやらないような単なる初歩的ミスばかり並べられても、同じ連中にそのまんまネット使わせたとき、より重大かつ深刻な情報漏えい事故が起こる悪寒しかしないわけですよ。
2
ふれーりあ @_dmp 2018年8月31日
MutsuniNaruBeam PCに貼ったパスワードが見えるところまで盗みに来られてる時点でセキュリティとしてはもう手の打ちようがないし、1周回って安全なんじゃないかって話がありました。
8
ヒロセジロウ ✏️ @denjiro13 2018年8月31日
セキュリティ技術っつのは、利便性を上げる目的で選定するほうがいいよ。SSOなんて最たるもので、便利だわ安全だわ管理しやすいわでステキ
1
しわ(師走くらげ)@寝貯めしたい @shiwasu_hrpy 2018年8月31日
セキュリティの穴は探すもの・閉じるもの・開けるもの(手段は問わない)
1
佐藤 誠 @madao007madao 2018年8月31日
とはいえ「○○に気を付ける」だけじゃあなぁと思ったり。
1
らくだ @rakuda4u 2018年8月31日
というより管理能力が無いからネットを禁止にするんじゃないのか?情報漏洩を起こすような会社がネットにつないだ途端に管理能力に目覚める、ってわけはなさそうだからネットはネットで別個に漏洩だのトラブルだのを起こすだけな気もするが。
1
黒ベエ @96beE3 2018年8月31日
「カオスに対してX軸とY軸をどう設定するか」これはPC環境のアイコンが持つ意味について述べられたものだけど、ルール設定もそれに近いものがあると思う。
0
いかおとこ @mororeve 2018年8月31日
教師が仕事持ち帰って、置き忘れによる個人情報流出とかあるもんな。持ち帰らなくてすむような仕事量にしないとどうしようもない。
1
クロミ @hgt963 2018年8月31日
うちはUSB全面禁止のかわりに、全部クラウドでできるようになった。しかも年配職員もちゃんと使えるようなシンプルなやつ。
2
空家の恵比寿様1968 @ebcdic_ascii 2018年8月31日
メール送信の前に、宛先を一つ一つ確認してチェックマーク付けないと送信できない仕組みを導入したはいいが、結局機械的にチェックをクリックするだけになってしまって、以前より誤送信が増えちゃったとかね。
8
mono @black_mono 2018年8月31日
鎖を巻いて鍵をかけたガスコンロの横で焚き火をしてる風刺画をどこかで見た記憶があるが、どこで見たか思い出せない
0
YF @annex38 2018年8月31日
役員室 壁に大きく パスワード #川柳
2
Holten @Holt800 2018年8月31日
社内ネットワークがめんどくさすぎて、開発用と称した第二のネットワークが誕生してしまうってのはあったなあ。結局そっちでもトラブル起きてまためんどくさくなったが
1
neologcutter @neologcuter 2018年8月31日
「蛇に咬まれて朽ち縄に怖じる」ってこういうのを言うんだよね。事故の原因を探り解決策を考えるのが大事であって、事故ゼロは間違いが必然的に生じる以上不可能だよ。
2
左倒憂右@固定ツイート読んでください @USK_Sato 2018年8月31日
国軍の保持を禁止している日本は、適切な取り扱いルールを決めていない。紛争発生時の手順も禁止なので決めてない。
0
巳堂鷺之丞 @saginojoh 2018年8月31日
風紀の悪い学校ほど校則が厳しいみたいなもんで「やらかす奴が多いから縛りがだんだん増えた。でもそれでもやらかしている」だけだよなぁ そして何となくこのまとめを思い出したhttps://togetter.com/li/1203202
1
dag @digital_dag 2018年8月31日
一度ミスがあった以上対策を取らない訳にはいかないからな。 そうやって作ったルールが効果的かはまた別の話なんだが無意味なルールどころか損失が出るようなルールでも作った側に責任が行かない組織が大半なのではないか
0
脳内がエロで埋まっている白痴のネトウヨ @dokuman3 2018年9月1日
PDCAサイクル!作られたルールは実行した結果を評価して改善してなきゃいかんのよね。まあ、言うは易しで行うは割と難しい(自然とできる事なら手法として取り上げられたりしないからね)。
1
鹿 @a_hind 2018年9月1日
×:アレな社員を抱える限りインシデントは起き続ける 〇:アレな判断をし続ける経営層を抱える限りインシデントは起き続ける 何か問題おきる都度再発防止策も社員教育も疎かにして目についた穴塞いだところでリテラシー低い奴は何度でもやらかすわ。もちろんそれは社員ばかりのことではない。
3
鹿 @a_hind 2018年9月1日
ガチガチに規則作ったところで守れない奴がサボったり、そのサボりを防げないか黙認する仕組みならゴミでしかないしな。教育もメンテもなく規則乱発したところで全部儀式やおまじないになって誰もしくみわからないままテキトーにやってるだけで意味まで考えないから別の手段で同じミスやらかしたりも平気であるし。
0
ビッター @domtrop0083 2018年9月1日
「ネットを制限している企業ほど情報漏洩事故を起こしている」というのもあるかもしれんけど、「情報漏洩に厳しい企業ほど、同じことが起きても情報漏洩事故にカウントする」と「情報漏洩に厳しい企業はネットを制限とかしがち」ってのの合わせ技の認知バイアスかかってるような気もする。
0
おろろ @fYe39CoQsPrbZVK 2018年9月1日
秘密鍵を自宅に持っていく為にUSBの持ち出し申請したらUSBへの書き込み自体アウトで、結論としてノート持ち出し申請して自宅でコピーというガバガバ運用があったりするな。大手ですらコレやで
1
席上 @Nonsomnia 2018年9月1日
守らないとヤバいルールと守らなくてもいいルールがある、上司に相談することとしなくていいことがある、そういうイレギュラーが常態化すると新人とかその辺の区別が出来ない人間が増えた時に守らないとヤバいのまで無視して大惨事になるんだよな。勿論悪いのはやらかした個人ではなく会社や風土です
1
高見知英 @TakamiChie 2018年9月3日
あー、横浜市のいろいろに思い当たるフシが…
1
Yu-ta @VenusPower 2018年9月8日
MutsuniNaruBeam ウチの区の区役所の、各窓口のPCモニターに、パスワードらしき付箋が1台1台張り付けられていて、恐怖を覚えました。
0
Yu-ta @VenusPower 2018年9月8日
米欄で、各々が持論を展開し、確たる統一見解・方法論が形成できていないところにも、 セキュリティという物の難しさを感じる。
0