そのとおり。
そして貴方と俺が上司部下でいる時間もまた、有限だ。
隣のシステム開発部門からPC周りのヘルプ要請。
……俺はスタフ要員なんだけどなー。お前らSEだろ?
で、行ってみると、SE部門の親玉のPCで社内標準のセキュリティモジュールが正常動作しなくて四苦八苦している、とのこと。動作しないので業務にも支障が出ているそうな。まぁ全く別部門というわけではないし、場数(=対応件数)は踏んでいるので、全く無視もできない。とりあえず状況を確認してみた。
驚いた。
何でiTunesとかDaemon ToolsとかGoogle Chromeとか、社内標準でないアプリケーションが山のようにインストールされてんだ??? これ社内の業務用PCだろ??????
馬鹿か貴様は。
客への納入システムだって、標準環境以外での動作保証はしないのが通例だ。推奨環境での動作は保証するが、そうでない環境では「動作するかもしれないがそれは保証せず、サポートもしない」。これは、そう稀有な対応ではない。それを百も承知な開発部門の、しかも結構な地位にある人間が、何でこういうことをするのか?
言うまでもないが
■業務に関係のないアプリケーションはインストール禁止。
ライセンスの問題、会社資産の適正利用の問題、不要なセキュリティリスクを抱える問題等。
■業務上必要な社内非標準アプリケーションのインストールは、部門責任で行う。
客先納入物(プログラム等)の動作確認等に特定のアプリケーションが必要な場合はもちろん存在する。それは業務の一環であり、それ自体は会社資産の適正利用に当たる。しかし、それで社内標準アプリケーションの動作に支障が出ても、社内ヘルプデスク部門に対応の義務はない。
のであって、根本的に言っていること・やっていることがおかしいのである。
実際に「多量にインストールされているアプリケーション群」がその社内標準セキュリティモジュールの動作を阻害しているかどうか、は不明だ。ただ、社内標準の業務PC環境とはかけ離れた環境にしておきながら、ヘルプ要請をしてくるその神経は疑わざるを得ない。
グチグチ文句を言う前に自分の襟を正すのが先ではないのか?
アンタ、情報セキュリティをナメてんだろ?
「情報セキュリティの遵守」と「法令順守」の類似性。
どちらも
・やってはいけないこと
・やってもよいこと
・遵守することで守ろうとすること
→法律の世界で言えば「保護法益」。
があって、遵守する必要と、違反したときの罰則・懲戒が定められている。
そうなんだよ、「できること=やっていいこと」とカンチガイしてんじゃねえよ、というあたりで余計にそう思うから頭に来てたんだ。なるほどなー。
というわけで部下・後輩として宛がって貰えるのであれば、スキルは高くなくて良いから規範意識の高い奴が欲しい。高スキル者でも規範意識の低い奴なんかイラネ。
春の情報処理技術者試験
ITネタ
春の情報処理技術者試験 はコメントを受け付けていません
7月 012009
無事に「情報セキュリティスペシャリスト」に合格!
……ま、去年「テクニカルエンジニア(情報セキュリティ)」取ったしねぇ。
旧区分の「テクニカルエンジニア(情報セキュリティ)」と「情報セキュリティアドミニストレータ」の2つを整理統合して新区分の「情報セキュリティスペシャリスト」にしており、予想していた通り、難易度的には旧区分2つの真ん中くらい。
最難:テクニカルエンジニア(情報セキュリティ)
中難:情報セキュリティスペシャリスト
普通:情報セキュリティアドミニストレータ
みたいな。ま、逆に落ちたら恥ずかしい話で。
あぁこれで新旧合わせて情報処理技術者試験で「情報セキュリティ」と名の付く3区分は制覇したことになる。
旧区分はもはや存在しないし、「テクニカルエンジニア(情報セキュリティ)」に至っては3年しか試験が行われなかったので、それなりに貴重……と言い張ってみる。
相変わらず会社から報奨金等は出ない。
ITの会社のくせに!
6月 212009
ウチのシステム管理者(元SE)の話。
彼は俺と同格の管理者権限(=部内全体の管理者権限)を持っている。プライベートで「怪しげなこと」をしている噂はチラホラ聞いていたのだが、業務と無関係な領域の話である以上、干渉する余地もそのつもりもなかった。
が、事態は一変した。
部門ファイルサーバの空き領域を増やすため、全領域の全ファイルをリストアップ→ファイルサイズの大きいファイルを削除・圧縮等「狙い撃ち」する、ということをしているのだが、その過程でソイツの個人フォルダ内(※)に、
・違法複製されたと思われるゲームソフトのROMイメージ
・NintendoDSのマジコン絡みツールと思われるファイル群
・私物携帯端末用のゲームソフト
があることを発見したのである。
※個人フォルダではあるが、運用との関係で管理者権限でのアクセスはもちろん可能にしてある。
言うまでもないがこれは
・会社資産の不正使用
・各種の社内規定違反
・著作権法違反
→これは実際に「そのデータが違法複製されたこと」が確認される必要がある。
であり、要するに論外。上司に通告、対処を要請した。
当人に対する処分の詳細は把握していないが、後日確認したところ、問題のデータは削除されていた。
【教訓】
・ファイルサーバ内のデータは定期的にリストアップし、不適切に利用されていないかどうか確認すべし。
・管理者権限は複数人に持たせ、管理権限保有者の利用状況を管理者相互で監視すべし。
管理者権限を持つ者は、一般ユーザーよりも自らを厳しく律してその権限行使を行うべき、ということは一般的な要請と言って差し支えないだろう。しかし、実際にその管理者がマトモな奴かどうかは別なのである。ここについての内部統制が甘かったのは事実であって、以降はこれを念頭に運用に当たる、ということになっている。つかこんなやつ、以降は信用しないけどな。
モラルのないエンジニアに存在意義など存在しないし、認める余地もない。
コンプライアンス云々以前の話である。
そして、この件を「他愛のないこと」で片付けようとした直属上司。俺はあんたを見限った。
いくら高度な技術を持っていても、これはないわ。