- ベストアンサー
どうしてIDを貸してはいけないのですか?
自社のイントラネットの事です。 買い物をするサイトではないので、誰のIDで入ろうと別にかまわないじゃないか。IDを貸すのは何故そんなに悪いのか? と主張する人が少なからずいます。 しかも困った事に、部長などのわりと権限のある人です。 インターネットに馴染みがない世代でもあるので、そのせいかもしれません。 当然イントラですから、社外秘の情報がありますし、顧客情報もあります。 部長クラスだからこそ公開している情報もあります。 ですが、彼らが言うには「悪さをしそうな人にはIDは貸してない」「(貸した人は)そんな事するような人じゃない」 と、万が一、もしかして、を全く考えてくれようとしません。 むしろ、私が「他人を信用できない悲しい人間」扱いです。 こういう方々に、パスワードを書いたポストイットは貼るな。 IDを部下や派遣に貸すな。 などなど、啓蒙していきたいと思うのですが、どうすればいいでしょうか? 「IDを貸すことによってこんなにひどいデメリットがある」という主張じゃないとダメか?と考えていますが、顧客情報の流出くらいしか思いつかなくて、結局「そんな人じゃない」で終わってしまいそうです。 よろしくお願いします。
- -melissa-
- お礼率82% (48/58)
- その他(インターネット・Webサービス)
- 回答数10
- ありがとう数11
- みんなの回答 (10)
- 専門家の回答
質問者が選んだベストアンサー
その他の回答 (9)
- yoshi-thk
- ベストアンサー率38% (2059/5283)
「IDを貸す事が、名義貸しと同じ事」と言う事を理解させた方がよいです。 「ID」というものが、理解してない人が多いのだと思いますが、他の言葉に置き換えると「名義」という言い方をしてもよいです。 不正な行為をする(オレオレ詐欺)の場合でも、銀行の口座の名義を他人に売って、 その結果、売り主は銀行を騙した「詐欺罪」で検挙されています。 ですから、「IDを貸す」という事は、「他人に名義を貸しているのと同じ行為」で、 「そのIDが悪用されたら、責任をIDを貸した本人が負う」という事を、説明した方がよいです。 今の言葉が理解出来ないのであれば、昔使っていた言葉を使って説明すると分かってくれると思います。 その事をシステム管理の担当者以外が、理解してないのでしょう。 逆を言えば、システム管理担当者もIDについて、本当に理解して無いとも言えます。 まずは、システム管理担当者の知識や遵法についての理解を深めて、それから、トップ等に説明をしてください。 システム管理担当者が、きちんと知って説明をすれば、納得出来るはずです。
お礼
なるほど「名義」はわかりやすいですね。 >システム管理担当者が、きちんと知って説明をすれば、納得出来るはずです。 仰るとおりですね。己の勉強不足を痛感いたしました。 ありがとうございます。
補足
みなさん回答ありがとうございました。 いただいた回答を参考に、さりげなく上司に話してみましたが、「万が一の時、責任回避ができるような対策はとりたいが、万が一に備える事はしたくない」との事でした。 あまりの逃げっぷりに嫌気がさしましたが、組織なんてこんなものでしょうかね・・・。 一人で出来る事をとりあえずはじめてみます。 ありがとうございました。
- a-saitoh
- ベストアンサー率30% (524/1722)
基本的には,質問者様の権限を越えていると思います. 他の方の回答にあるような危険性を当人にちゃんと告知しておけばいいでしょう. 証拠を残すために,紙で.できれば,「蒸気の警告を読みました」という署名を貰っておきたいところです. それで何か不祥事が起きたら自業自得です.質問者様とすればやるべき事はやったが,上役に強制は出来る権限を持たされていない以上,どうしようもなかった,という証拠を残して自己防衛しましょう. 部長より上の会社の上層部が(CIOとか)ちゃんと理解して,強制的な指導力を発揮する以外に解決できないように思います. 「我が社でも情報セキュリティポリシーを作りましょう」みたいなことを上層部に吹き込むのが言いように思います. そうそう質問者様の会社が大きな会社だったら,IDを他人に貸しているようではJ-SOX法に定める内部統制が出来ていないという事になってしまう,というのが良い説得材料になるかも.
お礼
ありがとうございます。 システム部員は全員、IDの貸与はダメだ。と思ってはいるようですが、いざ行動となると進まないようです。 私一人でも出来る事から何かやろうと思ったのですが、やはりトップダウンのアプローチが必要でしょうか。 とりあえずSOX法をちらつかせて話をして見ます。 ありがとうございました。
- mobilekame
- ベストアンサー率21% (50/236)
ISO27001 情報セキュリティの内部監査員の教育を受けさせましょう 2日間程度の通いでそこいらの認定会社でやっていますよ 帰社したら発言が180度変わると思いますよ 私の会社では、万一部長が外から電話を掛けてきて スタッフの女性に「わしのパソコン立ち上げてくれ」 「お客さんのメールを見てくれ」 「パスワードは・・・」なんてこと言ったら断られますよ 周りの社員の啓蒙も大切ですね
お礼
なるほど。ありがとうございます。 まさに今の状況にぴったりという感じですね。 うちの会社も早くmobilekameさんの会社のようになりたいです。 ありがとうございました。
- mot9638
- ベストアンサー率49% (434/883)
こんにちは 「日本版SOX法」、ご存知ですか? (金融商品取引法において上場企業に義務付けられた 財務報告に係る内部統制の構築と内部統制報告書の提出) この法律で上場企業は内部統制の構築が法律で義務付けられます。 (財務報告に係る部分。2008年度から。) この「内部統制」で重要視されるものの1つに 「アクセスコントロール」があります。 詳しくは書きませんが、企業はまず#1さんのおっしゃるような 「セキュリティーポリシー」のようなものを作らなければ なりません(整備)。 それに伴って全ての役職員が行動していることも求められます(運用)。 >IDを貸すことによってこんなにひどいデメリットがある 御社が上場会社であれば、この状態では「内部統制に重要な欠陥がある」 という報告書を経営者は内閣総理大臣宛に出さなければなりません。 (金融商品取引法24条4項4) 報告書の内容には監査法人の監査が入ります。 このような状態で「問題なし」と報告書に記載した場合、虚偽記載に なりますので、経営者は5年以下の懲役もしくは500万円以下の罰金 又はその両方です。(「会社」ではなく「経営者」に直接罰則がかかり ます。金融商品取引法197条2項2) もし、御社が上場企業でなかったとしても、このような「内部統制の 状況」の企業とは「上場企業」はまず取引をしてくれません。 取引先の内部統制に不備があり、結果として自社の内部統制不備に つながった場合、責任は自社にあるからです。 内部統制は「経営者が構築するもの」です。 まずは経営者に「内部統制の重要性」を理解してもらい、 このような行為は「企業として不可である」という自覚を全役職員に 徹底してもらう「トップダウン型」が内部統制構築の基本になります。
お礼
SOX法、必死に対応中です。 恥ずかしながら「アクセスコントロール」は知りませんでした。 早速勉強させていただきます。 トップダウンからアプローチできれば最良です。 私一人でどれだけできるかわかりませんが、上層部に啓蒙活動の必要性を訴えていきます。 ありがとうございました。
- k-josui
- ベストアンサー率24% (3220/13025)
人を信用してもいいですが、万一IDを貸した人に悪用されたら、あなたも懲戒解雇されますよ、世間ではよくある話です。と脅しては? 実際よく聞く話ですよね。
お礼
そうですね。 幸いな事にうちの会社では現在まで、IDを貸した人全員がとても良心的だったので大事に至っていません。 今までがラッキーなんだと気づいてくれるといいんですが。
- akira212
- ベストアンサー率24% (75/308)
これは非常に難しい問題ですよね。 正直、何を言っても納得してくれない気がします。 まず、「顧客情報の流出」を全面的に押し出すしかないですね。 顧客情報。個人情報保護のお話を、しっかりされるべきです。 そもそも個人情報は、担当者以外に”簡単に見える”位置に置いてはいけないものです。 ご自身が個人情報の主だとして考えてもらってください。 例えば、お店の会員になった。そのお店の中の誰もが簡単に見える位置に、自分の情報が見えるのっていやじゃないですか?と。 その人は「いやじゃない」と答えるかもしれませんが、今の時代「いやだ」と答える人のほうが多いと思います。 パスワードを書いたポストイットを貼っているとの事なので、外部の人間が来たときに、もって行かれるかもしれません。 泥棒が入ったときに、PCの中の情報だけ持って行かれてしまったら? ウィルスを入れられたら? いくらでも、自分のしらない所で、情報は流出してしまいます。 その時に、簡単にIDを貸していた(人によっては、ブラウザ等にIDとPWを記憶させているかもしれません)、PWを貼っておいた責任は逃れる事はできないでしょう。 その貸された人とは関係ないところで情報が流出した場合、貸した人は始末書くらい書かなければいかないでしょう。もっと大変な事になるかもしれませんし、貸した相手にも迷惑が掛かる行為です。 貸す人、貸された人が悪い事を一つもしないで、情報が流出してしまったときに、お互いが、お互いの立場を危うくしてしまう危険性等でも、お話したらどうでしょうか?
お礼
そういう方々の多くは、パソコンを「業務上仕方なく使っている」程度の人が多いので、パソコンで何が出来るかを考えないようです。 だから、ウィルスだ漏洩だと言っても、ピンとこないのかもしれません。 仰るとおり、私も全員に納得してもらえるの無理・・・と思っています。 なるほど始末書をちらつかせるのは効果的かもしれませんね。 ありがとうございます。
- outerlimit
- ベストアンサー率26% (993/3718)
IDを呈示することは、権利と責任を明確にすることです 権利は、そこにアクセスする権利です 責任は、そのアクセスに関して発生した事態に対する責任です IDを貸すと言うことは、権利を委任することです、しかし、責任は移動しません、どのような事態が発生しても、責任はそのIDの保有者です ですから実質的に 印鑑証明付きの白紙委任状を発行したのと同等です >悪さをしそうな人にはIDは貸してない・・ 印鑑証明付きの白紙委任状を渡す覚悟があるかを 再確認なさると良いでしょう それでもIDを貸したいのならば、自己責任です、無期限無制限の責任を負うことを(免責無しで)確約してもらうしか無いでしょう (何かあったとき、必要になる全費用は個人で負担する その時になって泣き言は言わせない)
お礼
>ですから実質的に 印鑑証明付きの白紙委任状を発行したのと同等です とても重みがある言葉ですね。 これなら効果がありそうですね。 ありがとうございます。
- saxifrage
- ベストアンサー率17% (3/17)
情報漏えいなどの事故が起きたときにどうなるか考えてみてください。 IDを借りた人が事故を起こしても私はやっていないと言ったらどうなると思いますか。 お客さんを失うどころか会社が倒産するということもありえます。
お礼
なるほど。参考にいたします。 ありがとうございました。
- umeume7777
- ベストアンサー率19% (167/844)
「どーして?」「なんで?」 小学生に教えると思って行くしかないでしょうね。IDやパスワードの重要性を。 あとはIDによって閲覧権限を分別している。とか 社内セキュリティー上の問題。とか 最後の手段は守れないのであれば、システム管理者の権限で社内システムを使わせない。とか いずれにしても「社内システム規定」のようなものがあればいいのですが。 >そんな人じゃない という保証もどこにもない。
お礼
>いずれにしても「社内システム規定」のようなものがあればいいのですが。 一応あるんですけど、誰も見てないみたいです。 あと、決まりはあるんですが罰則が無いので、規定などどうでもいい人にとっては無いにも等しいというか。 罰則に関しては「そこまでしなくても」という意見があり、追加できないでいます。 >>そんな人じゃない >という保証もどこにもない。 ですよね。 これをどうやったら解ってもらえるか・・・
関連するQ&A
- 自社の機密保護もコンプライアンスにあたりますか?
自社の技術的な機密情報を社外に流出させないことも、いわゆる「コンプライアンス」にあたりますでしょうか? できれば根拠となるソースも示していただけるとありがたいです。 私の感覚としては、もともとコンプライアンスは「社会的なルールを守って責任を果たす」というようなニュアンスで登場したような印象があり、そうだとすると、自社の機密情報が漏洩しても自社(と社員、株主など)がダメージを受けるだけなので、コンプライアンスにはあたらないような気もするのですが。。 よろしくお願い致します。
- ベストアンサー
- その他(ビジネス・キャリア)
- 社外からイントラのWEBサイトを利用するには?
社外からイントラのWEBサイトを利用するには? 業務系SEをしています。 現状社内のLANからのみ利用可能なWEBサイトを 出張先や自宅からでも利用できるようにしたいと 顧客から言われています。 このWEBサイトが稼動しているWEBサーバは、 各社員が自席にて使用しているクライアントPCと 同一のネットワークセグメントにあります。 (192.168.1.xxx/24) ちなみに、iis6.0、asp.net、C#で作ったサイトです。 社外からこのWEBサイトを利用するには、 どのような構成にすれば良いでしょうか。 DMZにゲートウェイサーバが必要になるのでしょうか。 もしくはDMZにこのWEBサイトを稼動させるのでしょうか。 それとも他に良い構成があるのでしょうか。 インフラ、ネットワークの知識に非常に乏しく、 自社は非常に小さなソフト会社で、聞ける人がいません。 期日も迫っており、困っています。 教えて下さい。よろしくお願いします。
- ベストアンサー
- ネットワーク
- 情報漏えいに抵触するかどうか
社内規定とか基準となど、会社組織には必ずありますが、昨今セキュリティが厳しくなり、 イントラで見る事は出来てもコピーも印刷も出来ません。 そうなると打ち合わせや、規定を部下に説明するにもイントラが無いと旨く説明出来ません。 そこで仕方無いのでワードをつかってそれなりに写しているのですが、 この行為は情報漏えいになるのでしょうか?でも社外には持ち出しません。印刷もしません。 もしそうだとしたらこの文章はコピーでない表記方法とか言い廻しができる方法はないでようか? 教えてください。 今昼休み中ですが悩んでいます。
- 締切済み
- その他(ビジネス・キャリア)
- ネットプライバシーを覗かれる・・
最近個人情報の流出などで、プライバシーが覗かれる犯罪などが多発していますが、疑問に思うことがあるのでどなたか教えてください・・ TVで悪質業者の人が『相手のアドレスを知っていれば専用ソフトを使えばどんなサイトを見ているとかそういうのを簡単に覗ける事が出来る』と言っていました。 こういうソフトは普通のお店などに売られているんでしょうか?一般の人でも簡単に覗く事ができるんでしょうか? ハッカーでなくて、普通のインストラクター程度の資格を持った人ならば簡単に覗く事を知っているのでしょうか?可能なんでしょうか? また覗かれる事を防ぐ事は出来るのでしょうか? 私の知人でイントラの人がいるので、ちょっと気になったので質問します。もし、覗かれたりしていたら気持ち悪くて不愉快です。恐いです。 どうぞ、ご存知の方よろしくお願いします。
- ベストアンサー
- その他(インターネット・Webサービス)
- 日本のメディアの報道について
今世の中で問題になってる事でたくさん報道されてることは、BSE問題とか顧客情報流出とかありますが、単純な疑問として、顧客情報流出については本当に何社も出てますが全て最近報道されたことばかりです。ちなみに少し前は、食品に虫が入っていたとか、製造途中に針がはいってたとかで自主回収とかといった報道がさかんにされてましたけど、今はこの報道はほとんどありません。このように単純になぜ一時期に同じようなことばかり報道されるんでしょうか?不思議です教えて下さい。
- ベストアンサー
- ニュース・時事問題
- 顧客データベースはどう管理していいますか?
今度、インターネットで自社の商品を販売したいと思っているのですが、この際だからショッピングカートやログイン機能を設置して、顧客データベースを自動的に管理しようということになりました。 ここで質問です。 1.ログインの機能を付けるため、パスワードとログIDを顧客に設定してもらうわけですが、そのパスワードとログIDを決めるフォームに同時に顧客情報を登録してもらいたいのですが、その顧客情報を自動的にアクセスやエクセルにデータとして、書き込んでいくことは可能ですか? 3.他にはどのようなソフトで顧客管理をしていますか?それは、どういうソフトですか? 4.そのときにCGIやPealの知識はどのくらい必要ですか?素人でもそのシステムを構築できますか? 5.みなさんの会社では、顧客情報をどのように管理していますか?手で打ち込むのではなく、自動的に管理できるようになっていますか? わかりづらい質問でも申し訳ないのですが、大変困っています。どうかお力をお貸しください。
- ベストアンサー
- SE・インフラ・Webエンジニア
- 自動でID番号をつけるためのサブルーチン
現在MySQLでデータベースを構築しています。 その中でウェイブ上でデータベースに格納するデータを 入力してもらい、そのデータを定型のフォーマットで表示 する方法をとっています。 それが項目別に別れていて、例で示すと<個人基本情報><個人趣味情報>という2つの項目があるとします。 <個人基本情報><個人趣味情報>の項目に情報を入れてもらうためにIDとパスワードを登録してもらいます。 入れてもらう事によって<個人基本情報><個人趣味情報>の情報を登録できるようにしたいのですが、<個人基本情報>を入れるのに個人基本情報IDを入れて<個人趣味情報>にデータを入れるのに個人趣味情報IDをいれなくてはいけないようになっています。 これを何とか最初のIDとパスワードだけを入れるようにしてその後の<個人基本情報><個人趣味情報>に情報を入れるためにはすぐにデータを入れられるようにしたいという事です。 その為には自動で<個人基本情報ID><個人趣味情報ID>を振り分けるサブルーチンが必要だと思いました。 **** その時にパスワードとIDを入れてもらい、そこでその人のデータだという事を判断します。 その時に自動でIDをインクリメント?(というのかな?) をするようにするサブルーチンなどを知っていましたら教えて頂けないでしょうか? お願します。 ****
- 締切済み
- その他(データベース)
- YahooのIDについて質問です。
パソコンにとても詳しい人は、個人のヤフーIDから個人情報を調べたり出来ると思いますか? 知恵袋で誹謗中傷したりヤフーオークションで詐欺にあったり色々な事があると思います。ハッカーやクラッカー級の人ならば例え捨てIDでも個人を特定したり出来る気がして怖くなりました。 自分自身は、ヤフーオークションで落札し定形外発送を希望しましたが届かず泣き寝入りしました。 価格も2000円程でしたが諦め警察にもYahooにも報告しませんでした。 その出品者は、それ以降に「非常に悪い」評価で「荷物が届かない」と書かれていました。 その中の1人が「住所も電話もデタラメじゃないか?俺は、IDからお前を調べる事が出来る」と言った内容を投稿してました。 私は、オークションは、落札ばかりなんですが知恵袋は、利用してます。 時には、宗教団体やマルチに走った友人の事を相談形式で質問した事もあります。 マルチの詳しい会社名も記載しました。 批判的になった文章もありますがこれらのIDからもしも私の個人情報を見抜かれて攻撃されたらとても怖いです。 通常ヤフーは、警察や裁判所の命令が無いと個人情報は、開示しないとの事で安心してましたが一個人が他人の情報を確認出来たりしたら報復とかで犯罪だらけになりますよね? ネットは、便利だけど恐いです。
- ベストアンサー
- ネットトラブル
- イントラネットについて
今度、仕事でイントラネットについて説明しなければならない事になりました。 インターネットもイントラネットも区別がついてない私にとって難題です・・・。 書籍やネットで色々調べていますが、情報が多すぎて、自分が疑問と思うところがどこなのかつきとめることができません。 疑問点としては、 (1)会社で使用しているイントラネットのシステム(社内からしかアクセスできないサイト)は、物理的に離れている場所からもアクセスできるのはどうしてか? (WANという言葉はわかるのですが、インターネットとどう違うのかいまいちわからない) また、物理的に離れた場所からアクセスできるのに、インターネット上(社外の人)からはアクセスできないのはどうしてか? (2)たとえば、http://abc.comというアドレスにアクセスした場合、社内で利用しているイントラネットと、インターネットで同じURLのサイトがあった場合、どちらに繋がるか?(インターネット内に同じURLのサイトが存在しないのはわかります) (3)ある会社でインターネットに公開するサイトを作ろうと思った時、固定グローバルIPを取得してJPNICに登録しなければ公開はできない? 以上、基本的な事かと思いますがアドバイス等ありましたらよろしくお願いいたします。
- ベストアンサー
- その他(インターネット接続・通信)
お礼
責任ですね。確かにそのほうが効果がありそうです。 問題の責任を問われるという方向で説明資料を作成してみます。 >今のところ、そういう事件も事故(?)も起きていないようですが 実際に問題が起きないと危機感を感じないんですよね。 これは情報セキュリティだけの話ではないですが。 判例入手の方法など、とても参考になりました。 ありがとうございます。