スラッシュドット・ジャパン

自宅の私物PCでこんなものを実行しろと要求する会社、
それを拒めない雰囲気にある会社に興味があるよ。

なぜデータの持ち出しが発生するのか、を根本的に解決する気が無いので
こんなつまらない代案が出てくるんでしょう。

流出で多いのが派遣社員と公務員です。
双方とも、パソコンが必要なのに支給されてない、あるいは
必要なスペックのものが支給されないという点が共通しています。

たとえば派遣には自社の社員ではないからろくなスペックのマシンを
貸与しないのが普通です。
しかし下っ端の派遣には開発からテストのわりと重い処理が任されます。
派遣要員に貸与されるおんぼろマシンではろくに動かせないような。
ろくに動かない事に耐えかねて派遣要員が自らマシンを用意してきます。
派遣先現場の担当者も、貸与してるおんぼろではろくに開発もテストも
進まないことがわかっているので持込を容認します。
そうして派遣の個人PCの中に企業データが入ることになります。

公務員の場合も、ドキュメントのテンプレートがMSワードなのに
PCを支給しないから個人が持ち込んでいました。
#流出が何回も起こって支給することになったとニュースで見ましたが

こういう状況を変えずに（というか変えるつもりもなく）
持ち出しだけを何とかしようったって駄目じゃないかと。

興味本位で会社のデータ持ってく人間は論外として、それ以外の人には
「仕事持ち帰るほどさせません」
が一番の対策の気がします。

「そもそも帰らせない/帰ってない」ネタ禁止w

　CDのAutoRunでファイルを勝手にアップロードしたり削除したりするプログラムって、動作的にはウィルスそのものなんだが、セキュリティソフトにはじかれたりしないんだろうか？

　セキュリティソフトの警告が出てくるのでいいえのボタンを押してくださいなんて説明書に書いたりしたら、高木センセあたりが激怒しそうだけどｗ

タレコミにあるリンク [netagent.co.jp]を見ましたが、ソリューションとしてあまりにもひどいとしか言いようがないですね。
検出するための技術がどうこうとかそれ以前に、

> 対象者の指定
> 役員・従業員・従業員の家族・派遣社員（派遣元との調整）・退職者

って、百歩譲って従業員からはあの手この手で「自由意思に基づく同意」を取り付けるとしても、従業員の家族や退職者にまで実行を要求することを勧めるとはどういうつもりなんでしょうか？
この人たちから強要罪 [wikipedia.org]で告訴されたら有罪はまず間違いないでしょう。

さらにあきれるのが

> Ｑ．間違えて回収してしまったファイルはどうしたらよいですか？
> 社内の持ち出し規定に沿って返却してください。

「間違われるようなファイルを持っていたお前が悪いんだからな！」と言わんばかりの対応を取ることを勧めています。
まあここまでなりふり構わぬ行動に出れば、データの流出を多少食い止めることはできるかも知れませんが、社員の大量流出が発生しそうですね。

辞表がアップロードされて便利？

えっちなキーワード入れて社員に配ればネットワーク管理人も大満足の画像収集ができますね。

実物を見ていないのですが、公開されている情報から判断するに、
かなり無茶な製品ですね。

しかも対象キーワードを、顧客(企業)が設定することにして、
リスク回避まで行っているし。
関係ないファイル削除する被害が起きても「キーワードの設定が
うんぬん」とかいって責任回避する気だろうね。

常識的な知識を持つ人なら、このプロダクトのバカバカしさが
すぐわかると思いますが、ワンマンな会社なんかだと鶴の
一声で導入が決まってしまい、ということになりかねないですね。
ホント、バカどもには「Winny対策してます」って気分を味わう
ために、ちょうどいい目くらましですよ。

仮に実行するとしても、関係ないデータを消されても問題ないように
全ディスクのバックアップして、マシンから切り離して実行、
その後にバックアップを書き戻せば終わりのような気がする。

例えば100GBとかのデータを、コピーして社名入りでリネームしてツール実行、
てのを繰り返したら、送信先のサーバはどうなるんでしょうか？

対象として下請けがあがっている通り、派遣や偽装請負要員を狙ってるんでしょうね。
要員を受け入れる大企業側では、自社の社員にやったら問題になるかもしれないけど
派遣は自社の社員じゃないから社員の側にも差別意識がちょっとあるし、
派遣会社自身に命令させてやれば
「いや、うちはそんな要請してませんけど、～社さんが"自主的に"やってらっしゃるんです」
と言って逃げられる。

自分はこんなの無関係だと思ってる人も多いかもしれないけど、
同僚や上司が派遣要員の会社にこういう要望出してたりして、
立場としては、いつの間にか強要する側の人間になってる可能性も高い。
特に派遣などを多く抱える大企業の側の人間であれば。
#そこで便利なのが上の逃げ口上ですよｗ

しかしパート２が作られてるってことは、
そういう需要と供給実績があると見て間違いないのかな。

「プライバシーなんざ知ったことか、調査するぞ」って会社が結構あって
しかもそれを受け入れてる人間が結構いるって、
日本人(の会社員)ってやつはもう犬か家畜並みですな。
どうせ裁判になっても日本の官僚は企業の味方だろうし。

WebDAVにセキュリティホールが見つかり、ファイル回収サーバから情報漏洩。

　使い方をよくわかってない経営者がプライベートでも使われるキーワードを指定してしまい社員のプライベートファイルまで巻き込んで壊したりといった事故が起きそうな気がします。
　メールなんか、メーラーによっては複数のメールをファイルひとつで管理してることもあるわけで、ファイル単位でアップロードや削除されたりすると、最悪まとめて全部おじゃんって危険性もあるんでは？

＃そのあたりのトラブルは、使用者の自己責任ですかね。

価格が１クライアント２０００円という時点で中身の薄さが伺える。
高けりゃ良いってもんでも無いけど、小銭稼ぐ為だけのソフトなんだろうなぁ

なんか否定的なコメントがやけに多いですな。そういう調査をやられたら困る人が多いのかな。 私には、情報漏洩対策として、しごく真っ当なソフトに見えるけど。

基本的には、ウィルス/スパイウェアのスキャンソフトと似たようなもので、検索対象が組織特有のデータ、って感じのソフトでしょうか。ウィルス対策ソフトを使ってないのを非常識などと言う人が多いのに、情報漏洩対策ソフトだとなんでそうならないのでしょうね。:-P

それと、タレコミ文の「発見された場合は強制的に会社が設置したファイル回収サーバにWebDAV経由でアップロードされ、ローカルのPCからは復元できない形で削除してしまうという。」に反応してるようだけどが、製品の説明を見ると、設定でそういう動作も可能って話だけです。証拠保全目的もあるのですから、標準動作は検知と操作による選択でしょう。この辺もデザインは真っ当なものです。なんか、釣られてない?

winnyが著作権違反のファイルを扱う事が多い為、違法ソフトと言われていますが
これが成立する場合、「Winny特別調査員2」も下記の件で違法ソフトと判断します。

・パワーハラスメント幇助
　「Winnyを使っていなければ、問題ないだろう。」等と言う建て前で
　社員に強制的に実施させた場合、パワーハラスメントが適用される可能性がある。
　また協力会社などの立場の弱い相手に対し、会社ぐるみで実施させた場合も同様な事が言える。

・プライバシーの侵害およびその幇助
　家宅捜査など、警察ですら令状が必要になる事を、一部とはいえ実施する。
　また説明の仕方によっては、認識できていない状態でプライベートの情報が外部へ流出する可能性がある。

　「Ｑ．間違えて回収してしまったファイルはどうしたらよいですか？」が
　「Ａ．社内の持ち出し規定に沿って返却してください。 」となっているが
　プライベートのファイルに「社内の持ち出し規定」が適用されるはずもない。
　非常に無責任で身勝手な考え方。

　また、収集されたファイルの検閲が、社内で流出や噂にならない様、
　守秘義務が必要となるはずだが提示内には無い。

・機能詐称
　winny捜査といいつつ、主機能はファイル走査。
　社内からのファイル持ち出しと、winnyによるファイル流出は直接の因果関係はなく
　ある意味、別件逮捕の様なもの。

まぁ外部の個人情報を保護する為に、内部の個人情報を犠牲にしていいと考えてる時点で終ってます。

憲法学者じゃないので、最新の解釈は知りませんが、字義通り読むと検索ログは「捜索を受けることの無い権利」を侵害することになりアウトかと。

だってさ、ログならOKっておかしくない？ 物体でなければOKってこと？盗聴もOKになってこない？

以下憲法からの抜粋。
第35条　何人も、その住居、書類及び所持品について、侵入、捜索及び押収を受けることのない権利は、第33条の場合を除いては、正当な理由に基いて発せられ、且つ捜索する場所及び押収する物を明示する令状がなければ、侵されない。

２　捜索又は押収は、権限を有する司法官憲が発する各別の令状により、これを行ふ。

第33条　何人も、現行犯として逮捕される場合を除いては、権限を有する司法官憲が発し、且つ理由となつてゐる犯罪を明示する令状によらなければ、逮捕されない。

会社から配られたCD-ROMを持ち帰っても、実行しなけりゃ意味がないんだよね…
素直に実行するような人は最初からデータの持ち帰りをしない人、Winnyは使わない人、なんじゃないかな。

このシステムを使って無断持ち出しファイルの回収を試みたところ、

社内サーバーのファイルが纏めて削除された・・・・・・なんてオチはないですよね？

しかし、なんで電子的セキュリティばっかり主張するんだろ。

倉に鍵を掛けたからと言って、倉の中に泥棒が居ないという保証は無いのに。

このソフトを渡された人がダミーPCで調査して何もなかったことに
してしまってから漏洩が起きた場合、どうにもならんですよねぇ。

ホンキで調査しようと思ったら抜き打ちで自宅に押し入って
存在するPC、ストレージ、メディア類を全部チェックしないと。
さらにこの個人が契約しているネットストレージとか
レンタルサーバーがあればそれもチェックしないといかんし。

まぁ、漏洩騒ぎが起きたときに、頭の悪い経営者が
「セキュリティには気を使っていたつもりだったが不十分だったようだ」
と言い訳する程度には使えるんじゃないでしょうか。

自分が勤めてるところの株を持っていて。
決算報告書とかPDFをダウンロードした傍からWEBDAVに放り込まれてイレースされる。とか。

……そんな恥ずかしい事にならないよう期待する。

本当に有難うございました。

#ワンマン経営者の会社向けソリューションw

社名を付けたウィルスをわざと検知させてWebDAVで送りつける．．．とｗ

削除するだけで良いじゃん。

ま、流出内容の確認って点では正しいんだろうけど、それなら一々オンラインでなんて危険な（要は機密情報をインターネットリーチャブルな環境にわざわざ集めるって事だよね？）事をするよりは、オフラインでUSBメモリにでも回収すれば良いじゃないか。

どうせ複数台持っている奴なんか一番無難な奴しか見ないだろうから、オンラインで監視するだけムダだろ。

＃「自社にデータが無い」なら、バックアップ方法でも考えた方がマシだろ。

全裸で勤務させよう

質問です。
「社外に」とか「会社から」とか書いてありますが
会社じゃなくっっちゃだめですか？
いや、その…社じゃなくて署ってつくところじゃだめですか？

回収の意味が分からない。
なんの為に使うんだろう。

過去に流出した可能性のある情報リスト

とかつくるんだろうか…。

まぁ、どのみち賢いやつは使わんだろうに。

私的利用においてのみ複製が許されている種類のファイルが
偶然会社のサーバーに複製されてしまった場合に起こり得る問題について

鈴木建設株式会社という会社が調べるとして

・鈴建
・すずき建設
・鈴木

どこまで調べるのかな？と思いました。

#鈴木さんな理由は親が昨日「釣りバカ日誌」を見ていた為

対象データ選定の確実性がどれほどのもので、
回収ファイルの検査方法と守秘性がいかほどのものか。
考えるに実効性が無いような気が。
結局、企業側の「やりましたよ」が優先な気が。

絶対するんだろうけど。 会社がAV会社だった。 AV・無修正がついている動画を全部アップロードされて消された。 とか 会社がペット関連会社だった 犬大好きな社員が秘蔵していた「柴犬」がついた画像が消された。 たまたまマスコットキャラと名前が一緒だった画像が消された。 色々でてきそうだ。 まあこんなシステム作っても意味無いと思う。 その前に人的な方をどうにかしろと。

役務や機器選定の打ち合わせで、相手の営業に、
「貴社の情報管理体制を説明いただけますか？」と聞いて、
「Winny特別調査員2を…」と答えたらさようなら。

まともな対策を考えているか、小手先の対策で済まそうと考えているかの
試金石になります。

この会社 [dll.co.jp]が何も考えずに導入すると、dllって名前のファイルが全部消されてエライことになりそう。

中の人がいたらごめんなさい。

ってキーワードが含まれていて、社内での恨み辛みを
日記に書いてた場合、やっぱ削除対象なのかしらん？

社（署）内に、そんなに重要な機密情報があるんだったら、
データ空間を階層分けして、記憶媒体の制限も含めてきちん
とした管理をするしかないと思うけどね。
あとは、寮にでも住まわせて、パソコンは備え付けでネットは使い
放題だけど（社員用のプロバイダ始めてもいいけど）、内容はＬＯＧ
されているみたいな、お金かけないとだめじゃないかな。

がリリース中に見当たらないのですが、恐らくMicsoroft Windowsだけですよね? 安心あんしん。

# ここ10年以上は自宅でMS税を払っていないので。
## 払ったのは、

• PC-9801用MS-DOS 3.1 (但し文豪mini5GX用として。98なんて買っていません。)
• DynaBook J-3100SS付属MS-DOS 3.1
• DynaBook386 J-3100SX付属MS-DOS 3.1
• DynaBook EZ486付属MS-DOS 3.1

## だけ。
### SX/EZ486辺りからLinux(SLS/Slackware)に乗り換え。

サービス残業による過労死/未払い対策として、公式の就業票とは別に勤務時間記録をつけることが推奨されていたりもしますが、
私物PCからそういう証拠を削除するのにも使えますね、これ。
＃普通は手帳に書くんだろうけど

仮にこのビジネスが成功したら、犯罪組織も似て非なるビジネスで便乗するのではないかと予想する。
社員が会社の指示に従って自宅のパソコンで「Winny特別工作員2」なる偽ソフトを実行した数週間後、その会社の機密情報を持っていると名乗る男から会社へ脅迫電話がかかってきたり、社員にもアダルトサイトやJASRACやACCSを名乗る振り込め詐欺のメールや電話が大量に来たり……

＃ほんとにやったら、メッ、だよ！

MacとLinuxなんですけど、調べてもらえますか？

実行ファイルをリネームするだけで検出できなくなったWinny特別調査員のお粗末さを見ると当然引っかかるんでしょうね
会社からのメールや、署名に会社名が入っている同僚からのメールを自宅で受信しただけでプライベートなメールまでアップロードされるとかありえない

あまりにあきれて
テキスト形式にするの忘れた。。。orz。元を誰か下げてくれるとうれしいです。

他の方もいっているように、自己紹介で自分の企業名書いたメールを消されるんですか？
ワードで履歴書かいてたら引っかかって消されるんですか？

別に会社のデータでもない、個人のメール、私信にキーワードがあったら消されるんですか。
関係ないファイルを消された場合、それで負った損害は会社が払ってくれるんですかね。 例えば、嫁さんとのメールを勝手に消されたとか、それで不仲になったとか、個人の副業のメールを消されたため、副業の収益に問題がでたとかになった場合、保障できるんですかね。

キーワードで検索して消すって事がどれだけ危険か何も考えてない、アホ仕様。
また、勝手に会社に個人のプライバシーファイルも収集するんで、個人的人権の侵害にもなってる。

会社のファイルと個人のファイルをキーワードで分割できると思うのが大間違い。
仕様考える場合に何も考えてないんだろうな。この会社。

#自分の個人名の入ってファイル全て消されそう。(社員情報の一部だから)。
#フレームになりそうだけど面倒だからIDでいいや。

以前勤めてた会社のゲートウェイが使ってたウィルスチェッカは、特定の文字列が含まれてるとただのテキストメールで添付ファイルもなくてURLすらも書かれてなくても勝手に削除してくれた。

仕方ないので、メールの本文をftpで取り寄せる(送信元は同じ会社の別の部署)とアルゴリズムの説明で変数名に "gen1" というのを使ってたのがまずかったらしい。
どこのなんてウィルスチェッカか聞いておけばよかったな。
もちろんその会社は潰れた。

同感。なんでもかんでもWinnyの名前を付ければ売れると思っているのか、あざとい。

＞「自宅へ持ち出したデータを会社に回収」

こんな馬鹿馬鹿しい利用方法よりも、

＞「ファイルの一括管理」
＞社内業務ファイルが、ローカルに散乱し、ファイルの一括管理ができていない場合、
＞Winny 特別調査員２を社内のすべてのパソコンで実行することにより、
＞すべてのドキュメントファイルを自動でアップロードさせファイルサーバで管理することが可能になります。

こちらを主目的にして宣伝する方が建設的ではないですか？

社内のPCから、xxxプロジェクトに関する資料を一気に集めたい、という要求はあると思います。
最初からきちんと管理しておけば良いと言えばそれまでですが、気付いたら一括管理できていなかった場合の救済策として。
他の手段を組み合わせて同じことを行うことも可能ですが、少ない手間で確実簡単に集められるのなら売りになるでしょう。

変換できないのを無理やり書く人って一文字づつ確定とかしてるんだろうなぁ(;´Д`)

Uni*系だと,会社名でリンクを /dev/zero とか /dev/randam とかに張っておくとか...

会社側でテストする時にWinny特別調査員2が駆除されたりして

経歴書とか書いている人は多いと思うんですが、見事に引っかかるでしょうね。
で、転職活動している/したいということが会社にばれてしまうと。

検出されます。アップロード設定されていた場合はアップロードされ、削除設定があった場合は削除されます。
履歴書と一緒に恥ずかしい動画や写真が暴露ウイルスで持っていかれた場合、その会社に所属していることがキンタマコレクターやマスコミなどにわかってしまい大問題になったことが過去ありました。そういうわけで履歴書は漏洩を阻止したい情報です。

履歴書に今の会社の名前があるって事はこれから別の会社に転職しそうなんですよね？

いや、一番の問題は年賀状の送り先リストじゃないか？

これには親族、会社とは無関係の友人・知人、そして取引先の方々がまとめてリスト化されています。
取引先の会社名が羅列されていればアップロードの対象に引っかかってくるでしょう。
そしてそれをアップロードさせた時点で個人情報の取得。マズくね？

え？そのPCに取引先の方の個人情報が入っているのがまずい？
学生時代の友人の1人や2人くらい取引先に就職している奴いるだろう。担当として友人が出てきたことすら何度かあるし。
そもそも個人情報保護法施行前に取得した情報だったら問題無いし。

会社のメールを自宅で受信するのは十分機密情報の漏洩リスクだと思うんですが・・・
個人のメールに会社名書いてるのかな？

> そこで0000000000000･･･(以下1GBくらい略)なファイルを100個くらい集めて圧縮したファイルに会社名をつけて、管理者に嫌がらせをするというソリューション。

送付されたファイルは、まずウィルス対策ソフトでスキャンはされるんじゃないでしょうか。
でもって、こういう圧縮ファイルは「mail bomb」のたぐいの準ウィルスと検出されるような気がします。

#業務で、非圧縮画像ファイル(tga)をzip圧縮してメールで送ってもらったら、ウィルス判定されて破棄されたことがあります。
#かなり高解像でしかも平坦な絵だったから、すごく圧縮効率が良かったんだよなぁ…