2009年 04月 19日
操作支援業務と職務倫理
unixを触り始めたころ,rootですべき作業というのは「アンドキュメント」なものだと聞いています。わたしも,いろんな方に教えてもらいました。NetNewsはそういう意味で,情報の宝庫でした。
 UNIXマガジンもよく読みました。

root(ルート)から/(ルート)へのメッセージ―スーパーユーザーが見たひととコンピュータ

高野 豊 / アスキー


も読みました。
 root権限だとそれこそローカルサーバの電子メールの内容もその気になれば読めるわけですし,誰にどの権限を与えるか,というのもシステムログをみて「出来心で何かしていないか」ということに気を使ったりということまでできてrootになれるんだと,いろんな会合で気づかされたものです。

 でも,Windowsがこれだけ普及した現在,かえって「システム管理権限」が適当に扱われだしたような気がします。だって,一般業務のアプリケーションをWindowsにインストールしたら動作しない。開発メーカに聞いたら「このアプリケーションを利用するユーザをadministratosグループに所属させてください」といわれたりすることがまだあります。

 最近はヘルプデスクという職務も重要になりました。相談者の端末に遠隔ログインして操作内容をサポートセンターで見ながら操作の手助けをしたり,問題点をみつけたりするわけです。

三菱UFJ証券で顧客情報が流出しましたが,流出させた元社員はそのような「エンドユーザの操作支援」業務を行っていたようです。

・日経ITPro 2009/04/08
三菱UFJ証券の元システム部社員が顧客情報150万人分持ち出し、5万人分を売却
 http://itpro.nikkeibp.co.jp/article/NEWS/20090408/328050/

記者会見の記事
・日経ITPro 2009/04/18
[詳報]業績に大きな打撃、補償には適切に対応---三菱UFJ証券の秋草社長が会見
 http://itpro.nikkeibp.co.jp/article/NEWS/20090418/328650/

 わたしもヘルプデスクの仕事をしたり,利用者端末の整備をしたり,サーバのバックアップやデータの復旧をしたりと,中身は見ませんが,見てはいけなさそうなファイル名をデータを取り扱います。

 うっかりミスはあることですが,こういう職務権限をもっている「利用者」に意図的にシステム情報を持ち出されるのは怖いことです。

 監視と管理を怠るな,というのは簡単ですが,利用規模が大きくなると,権限を分散しなくては身が持ちませんし,かえって「相互チェック」が弱くなってシステムの安全性が担保しにくくなります。
 危機管理のシステムの難しさを肌身に感じた事件でした。
[PR]

by ji3faf | 2009-04-19 16:14 | システム管理


<< マニフェスト=○ マニュフェスト=×      理科備品台帳の整理が大変そう >>


にほんブログ村 教育ブログへ




Map