アカウント名:
パスワード:
あればあってで便利なのでは? セキュリティチェックする方としては安全地帯が解るのだし、管理者からしたら許容範囲を超えている奴ってのが一目瞭然となる訳だから。
逆に言えば、きちんとした契約無しでの勝手チェックの限界の規定になるのでしょうけど、そもそもそれ以上の事をする理由って興味本とか正義感を感じたいが為の趣味とか以外無いだろうから、適度な閾値を用意してくれる事自体は良いと思うけど。
>訴えられる可能性があるなら、他人のサイトのセキュリティチェックなんて事はリスクが高くてやれないと思うのですが...
責任負担の意思が無い人は、最初からセキュリティチェックなぞしない方が良いでは? 企業としても自分のリソースだけならまだしも、顧客のものとなれば問題発生時に責任を問わないとならないですから、流石にフリーハンドって訳にはいかないでしょうから、当然、それに伴うポカをやらけせば訴えられるでしょう。
>こんな指針を出すくらいなら、情報漏えいした側の罰則規定を厳しく設けて 個人情報を扱うサイトのセキュリティチェックは、 しっかりやるというのは当たり前という風潮にしたほうがましだと思います
風潮ってか、個人情報保護法はその考えですよ。 単に自由と安全が欲しいイタズラ本意のプチ・クラッカー連中は文句付けたいだけなんで、そんなのは眼中に無いようですが、現実としては全く持って放置されている訳でも無いですよ。
そして、法的にNGとはならない指針をだすならまだしも 元記事> 経産省は「あくまで法解釈は司法の役割で、(指針が)100%違法でないと保証するものではない」 つまり法的にNGとならないことを司法には確認しないということです。
このような指針をだすのであれば、年々増加するセキュリティホールへの対策、チェック方法も含め、安全に運用するための基準作成対策義務を負わせるほうのが良いのではとも思います。
会社がつぶれるほどの犠牲者がでないとまともに対策する風潮ってできないのでしょうか?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー
ガイドラインを遵守したとして (スコア:3, すばらしい洞察)
匿名での報告をどう扱うかも問題でしょう。特に、アタックの結果としてシステムに影響を与えたり、機密情報が漏洩していた場合の取り扱いは難しそうです。
Re:ガイドラインを遵守したとして (スコア:-1, オフトピック)
どのようにガイドラインを作ろうとも、名誉毀損や威力業務妨害
などで訴えられる可能性は常にあります。
そりゃ、ガイドラインがないよりはあったほうが仕事がしやすい
とは思いますが、「ガイドラインがあったとしても訴えられる
可能性はあるだろ ガクガクブルブル」とビビっているような人とか
河合容疑者のように他人とのコミュニケーションをとる能力に
欠けている方は、そうい
Re:ガイドラインを遵守したとして (スコア:2, 興味深い)
しかし、この指針事態いるのでしょうか?
訴えられる可能性があるなら、他人のサイトのセキュリティチェックなんて事はリスクが高くてやれないと思うのですが...
こんな指針を出すくらいなら、情報漏えいした側の罰則規定を厳しく設けて
個人情報を扱うサイトのセキュリティチェックは、しっかりやるというのは当たり前という風潮にしたほうがましだと思います
気軽にサイトを立ち上げられなくなると思うかもしれませんが
個人情報を扱わなければその心配は無いわけで、利益の発生しない一般的なWebサイトの運営には問題が無いでしょう
逆にその情報を元に利益を生もうとするならコストを払えってことです。
#セキュリティ的には、Webサーバーに個人情報を蓄積するようにしてある時点で、だめだと思うんですけどねぇ~
#メール等で他サーバーに送信するようにするだけでもかなりましになると思うのですが...
Re:ガイドラインを遵守したとして (スコア:1)
あればあってで便利なのでは?
セキュリティチェックする方としては安全地帯が解るのだし、管理者からしたら許容範囲を超えている奴ってのが一目瞭然となる訳だから。
逆に言えば、きちんとした契約無しでの勝手チェックの限界の規定になるのでしょうけど、そもそもそれ以上の事をする理由って興味本とか正義感を感じたいが為の趣味とか以外無いだろうから、適度な閾値を用意してくれる事自体は良いと思うけど。
>訴えられる可能性があるなら、他人のサイトのセキュリティチェックなんて事はリスクが高くてやれないと思うのですが...
責任負担の意思が無い人は、最初からセキュリティチェックなぞしない方が良いでは?
企業としても自分のリソースだけならまだしも、顧客のものとなれば問題発生時に責任を問わないとならないですから、流石にフリーハンドって訳にはいかないでしょうから、当然、それに伴うポカをやらけせば訴えられるでしょう。
>こんな指針を出すくらいなら、情報漏えいした側の罰則規定を厳しく設けて 個人情報を扱うサイトのセキュリティチェックは、
しっかりやるというのは当たり前という風潮にしたほうがましだと思います
風潮ってか、個人情報保護法はその考えですよ。
単に自由と安全が欲しいイタズラ本意のプチ・クラッカー連中は文句付けたいだけなんで、そんなのは眼中に無いようですが、現実としては全く持って放置されている訳でも無いですよ。
Re:ガイドラインを遵守したとして (スコア:1)
まぁ有ろうと無かろうと、他人のサイトのセキュリティチェックを勝手にしかも無料でやるような事は私には考えられないことです
負担だけで利益がないのであれば、放置という考えは普通じゃないのでしょうか?
そして、法的にNGとはならない指針をだすならまだしも
元記事> 経産省は「あくまで法解釈は司法の役割で、(指針が)100%違法でないと保証するものではない」
つまり法的にNGとならないことを司法には確認しないということです。
この指針どおりにやってもつかまる可能性はあります
指針をだすと言うのは、実行者の負担しか負わない善意のチェックを期待するって事です
でも善意者が捕まる可能性もあるかも知れない指針出すより、そんな善意?なチェックを必要としないようになる事のほうが大事でしょう
運用会社にすれば、そのセキュリティチェックの基準が無いからどこに頼んでいいか分からないので放置状態と言うこともあるかもしれまん
このような指針をだすのであれば、年々増加するセキュリティホールへの対策、チェック方法も含め、安全に運用するための基準作成対策義務を負わせるほうのが良いのではとも思います。
そして、違反者には一定年度個人情報を扱えない/扱う業務に関われない、などの罰則を規定する等の事の方がユーザーとしては安心できます。
>風潮ってか、個人情報保護法はその考えですよ。
でも、保護法に違反した場合の罰則って、30万以下の罰金ですよね、これって会社に痛手になるほどのものなのでしょうか?
まぁ刑事事件として取り扱われる事により、その会社の信用が落ちるという点で十分な罰則と言うのかもしれませんが..
やはりダメージを与えると言う点では、被害者が民事で集団訴訟でも起こさないとだめなんですかねぇ~
会社がつぶれるほどの犠牲者がでないとまともに対策する風潮ってできないのでしょうか?
Re:ガイドラインを遵守したとして (スコア:1)
三権分立の原則があるので、行政は司法判断に立ち入ることができないといっているように読めますが。 作成対策義務が生じる基準に、ガイドラインがほしいですね。
「セキュリティ専門家」な方々は、この手のガイドラインの事例作りには事欠かないはずですから、貢献できるはずですし。 まともな対策というのが具体的に何なのか、あげられていないからではないでしょうか。
前に /.-J で管理者がどうあるべきかタレコんでみた [srad.jp]けれど、対策の内容まで踏み込んだ意見はなかったんじゃないかな。
Re:ガイドラインを遵守したとして (スコア:1)
当然、法律に照らし合わせて判断することは行政にはできませし、してはなりませんよね
しかし、指針の内容を司法に、判断してもらうことは可能なのではないでしょうか?
そして、指摘しきれないグレーになる部分を事前に公開することにより、指針の安全性が増すことになります。
>> 方法も含め、安全に運用するための基準作成対策義務を負わせるほうのが良いのではとも思います。
>作成対策義務が生じる基準に、ガイドラインがほしいですね。
えぇこれは濁点うちみす&”を”つけ忘れですすみません(^^;
正確には..
>方法も含め、安全に運用するための基準を作成、対策義務を負わるるほうのが良いのではとも思います。
と書きたかったものです。失礼しました。
なので運用基準を作成することには大賛成です。
運用基準を作成し、一定の水準までセキュリティを向上するように促し、その反面、個人情報を扱うための義務を付与する必要があると考えます。
>まともな対策というのが具体的に何なのか、あげられていないからではないでしょうか。
それこそ、基準作成の意味がでるところでしょうね
常に新しいツールが作られ、セキュリティホールも常に生まれています。
作成時の注意事項、検出方法、運用方法、構築時の注意点、チェック機関の査定方法などそれぞれ大量のノウハウがあるでしょう
どこまでできるのか?
商売ねたにもなりそうな事ですから、どこまでスキル所持者が協力してもらえるのか?
ってことになりますが、何も無い今より少しはましになるかもしれません
すくなくとも、善玉ハッカーの方針作成をするよりは意味のあるものとなると思うのです
>対策の内容まで踏み込んだ意見はなかったんじゃないかな。
商売ねたにすらなりそうですがら、わかってる人は躊躇したとか?(苦笑)