アカウント名:
パスワード:
きちんとした証拠を残さずに勝手にやるから、「悪意ある」と誤解される事が増えるわけで。
#自分から筋を通さない理由を、勝手な予測&決め付けだけってのでは普通肯定出来ないでしょ?
この例では当事者は学生で、閲覧可能となりうるデータってのは、学生への閲覧不可なデータですよね? となれば彼には試験させる事自体が問題です。 彼が目にする事が即ち情報漏えいですから。
そういう事から、これは残念ながら「善意のハッカー」である故に保護されたり行動を容認されたりして良いとは限らないって事例の一つではないかと。
となれば、やはり善意とはいえ許可を与えられていない処に浸入する事自体をマズイとしなければ色々問題があるって事では?
例えば、自分のプロバイダを「善意で試験」するのが2ch当たりで喧嘩した相手だったりすると、一ユーザーであっても拒否したく無いですか? 試験の結果として彼が貴方の個人情報にアクセス出来る可能性があるのですから。 その場合、彼が他でそれを使用しなくとも、彼に情報が知られた時点で自分に採っては既に「被害」なんですよ。 いや、今ならストーカーなんかが同様の手口で犠牲者を漁るって可能性も否定できないですし。 「セキュリティチェックさえしてやれば他人の情報に触り放題」ってのは、それなりに喜ぶ人間も多そうで怖いですよ。
で、別にこれは「通報するな」って意味でもなければ「試験はしない」って意味でも無い筈。 そう見える例が幾らか存在する事を拡大解釈して、大抵は自分都合で一般化しているだけです。
そう、通報するのもアリだし、通常は試験がされても何ら問題はありません。 只、「試験者として不適当な人間」と言うのは必ず存在するってだけです。 これは、自称セキュリティ専門家が情報を漏洩したり、善意の通報者が他人の成績ファイルをプリントしたりしている実情からも明らか。 必ず考える必要が有ることだし、それなしでの試験はそれ自体が情報を預けてくれているユーザーに対する加害に他なりません。 #誰だって正体不明の人間に自分の情報にアクセス出来るかもしれない事は、試させたくも無いはず。 勝手試験を行う人間には安全性の裏付けも、被害発生時に損害賠償を行う担保能力も不明な存在なのですから。
となれば、その問題点を取り払った選択肢が必要な訳で。 ま、取り敢えずは試験者の免許制度と保険加入。 後はユーザーに依る監査制度辺りを真面目にやらない限りは、まともな対処は出来ないでは無いかと思われます。
で、上に書いてある理由で判る様に、 「善意の通報者」は容認出来るとしても「善意の試験者」は容認自体が害だと思われます。 故に「通報する為には試験が必要」という、通報の義務も無ければそれを委託されたわけでも無いのに、勝手な理屈で浸入を試みる輩は、素直に不正アクセスで処理して構わない。いや、処理しなくては成らないと思います。
どんな改善の為の行動であっても、それを顧客やユーザーの危険を担保に行う事、それ自体が許されない。 故に個人情報保護法等が存在する訳なのですから。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー
本気か?、北海道新聞よ (スコア:3, すばらしい洞察)
本気か?と思わず聞きたくなる意見ですな、これ。外部からの部外者の侵入じゃあるまいし、内部の人間が管理者に意見することもやるなってか?
Re:本気か?、北海道新聞よ (スコア:2, すばらしい洞察)
正規の権限がなく、他人のIDを用いてアクセスしているわけですから。それに成績管理の資料は本来生徒が見ていいような書類ではないです。
基本的に以前不正アクセスで捕まった大学の先生と同じような問題かと・・・。
Re:本気か?、北海道新聞よ (スコア:2, すばらしい洞察)
しかし、杜撰な管理に対する「内部告発者保護」という視点も必要なのではないでしょうか?保護者やマスコミに流したわけでもなく、学校管理の要となる教頭に事態を正しく伝達している、問題の中学生のセンスはGoodだと思ってしまう。
# マスコミに流れたのはなぜだろう?
Copyright (c) 2001-2014 Parsley, All rights reserved.
手続き的にまずいと思う (スコア:1)
脆弱性を示すのであれば、実際にアクセスする前にしかるべき責任者に連絡して、責任者の前で実演してみせるべきです。管理者が機密漏洩は無い/管理者が責任をとれるという状況にしないと、勝手にアクセスした人もグレーです。
正しいことなら何でも許されるというのは危ない考え方です。きちんと手続きをとるべきです。今回は生徒の情報ということで「中の人」と考えている人もいるようですが、生徒は中の人ではないですね
Re:手続き的にまずいと思う (スコア:1)
他にも出ているように、教育委員会と学校というのは一体となって組織防衛に走ることが珍しくありません。
「責任者」と仰いますが、その「責任者」がきちんとその指摘に対応し、指摘した側に不利益がないことが保証される仕組みがないと結局「正しい手続き」は機能しません。あなたが「もし、正しい手続きを踏んでももみ消されるなら~」と指摘されている通りになり、かつ「外部のしかるべきところ」が実質的に存在しないという状況になるでしょう(中学生に議会とかは荷が重いでしょうし)
Re:手続き的にまずいと思う (スコア:1)
別に難しいもんではなく、責任者に連絡するとか、学校なら担任に話をする。そんな程度でも良いんですよ。
きちんとした証拠を残さずに勝手にやるから、「悪意ある」と誤解される事が増えるわけで。
#自分から筋を通さない理由を、勝手な予測&決め付けだけってのでは普通肯定出来ないでしょ?
Re:手続き的にまずいと思う (スコア:1)
今回に関していえば、この少年の行為は非難されるべきではありますが、(私もそうであるように)学校側の言い方に引っかかった人も多いのではないでしょうか。
「少年の行為は違法の可能性があるが、まずは学校側が真摯に反省し、勉強をしたうえで少年を適切に指導する」とでも言っておけば、丸くおさまるのではないかと。
まあ、今後の課題として、改めて善意のハッカーが保護されるようなルールと環境作りが必要であることが浮き彫りになったのではないでしょうか。
Re:手続き的にまずいと思う (スコア:1)
>ルールと環境作りが必要であることが浮き彫りになったのではないでしょうか。
実はこの例では全然そう思いません。というか一見逆の結論になりましたが。
この例では当事者は学生で、閲覧可能となりうるデータってのは、学生への閲覧不可なデータですよね?
となれば彼には試験させる事自体が問題です。
彼が目にする事が即ち情報漏えいですから。
そういう事から、これは残念ながら「善意のハッカー」である故に保護されたり行動を容認されたりして良いとは限らないって事例の一つではないかと。
となれば、やはり善意とはいえ許可を与えられていない処に浸入する事自体をマズイとしなければ色々問題があるって事では?
例えば、自分のプロバイダを「善意で試験」するのが2ch当たりで喧嘩した相手だったりすると、一ユーザーであっても拒否したく無いですか?
試験の結果として彼が貴方の個人情報にアクセス出来る可能性があるのですから。
その場合、彼が他でそれを使用しなくとも、彼に情報が知られた時点で自分に採っては既に「被害」なんですよ。
いや、今ならストーカーなんかが同様の手口で犠牲者を漁るって可能性も否定できないですし。
「セキュリティチェックさえしてやれば他人の情報に触り放題」ってのは、それなりに喜ぶ人間も多そうで怖いですよ。
Re:手続き的にまずいと思う (スコア:1)
おそらく、セキュリティの向上に重きを置くか、社会秩序に重きを置くかのバランスなのでしょう。技術志向の強い人間は、どうしてもこのようなケースで惨憺たる技術レベルの学校側に批判的になってしまいますが、社会秩序の観点では生徒の行為は容認されるべきではないという視点を忘れずにいなくてはならないと改めて感じました。
一方で、「ホンモノの」犯罪者もいるわけですから、「サイバーノーガード戦法」や「カカクメソッド」が通用しないような意識の改革といったモノも必要だと思います。これらがまかり通り、管理者の責任が問われないような社会では、様々なものが無防備に犯罪にさらされてしまいます。意識を向上させるためにも、やはりある程度「善意の通報者」を利用する仕組みは有効だと思います。
Re:手続き的にまずいと思う (スコア:2, 興味深い)
これの対策として直接「勝手試験容認」になる理由が判らないんですが。
個人情報の漏洩被害は漏洩先が唯一一人であったとしても漏洩であり被害です。
であるのであれば、試験する者自体を管理者が管理出来なければ、それ自体が大きなセキュリティホールであるという事に成ります。
その点に置いて不正アクセスを浸入を持って規定するってのは間違っては居いないかと思います。
で、別にこれは「通報するな」って意味でもなければ「試験はしない」って意味でも無い筈。
そう見える例が幾らか存在する事を拡大解釈して、大抵は自分都合で一般化しているだけです。
そう、通報するのもアリだし、通常は試験がされても何ら問題はありません。
只、「試験者として不適当な人間」と言うのは必ず存在するってだけです。
これは、自称セキュリティ専門家が情報を漏洩したり、善意の通報者が他人の成績ファイルをプリントしたりしている実情からも明らか。 必ず考える必要が有ることだし、それなしでの試験はそれ自体が情報を預けてくれているユーザーに対する加害に他なりません。
#誰だって正体不明の人間に自分の情報にアクセス出来るかもしれない事は、試させたくも無いはず。
勝手試験を行う人間には安全性の裏付けも、被害発生時に損害賠償を行う担保能力も不明な存在なのですから。
となれば、その問題点を取り払った選択肢が必要な訳で。
ま、取り敢えずは試験者の免許制度と保険加入。
後はユーザーに依る監査制度辺りを真面目にやらない限りは、まともな対処は出来ないでは無いかと思われます。
で、上に書いてある理由で判る様に、
「善意の通報者」は容認出来るとしても「善意の試験者」は容認自体が害だと思われます。
故に「通報する為には試験が必要」という、通報の義務も無ければそれを委託されたわけでも無いのに、勝手な理屈で浸入を試みる輩は、素直に不正アクセスで処理して構わない。いや、処理しなくては成らないと思います。
どんな改善の為の行動であっても、それを顧客やユーザーの危険を担保に行う事、それ自体が許されない。
故に個人情報保護法等が存在する訳なのですから。