アカウント名:
パスワード:
> 半数以上の脆弱性が放置されている
脆弱性を放置した結果生ずるリスクと脆弱性への対応費用を評価して割に合わないというなら脆弱性を修正しないという判断もアリだと思うけどね
使う側は使う側でリスクマネジメントすればいいだけの話だし
すべてのリスクを知るのに必要なコストが0ならば、その手もありだね。
実際には、すべてのリスクを知るのに必要なコストは0ではない。というか非常に高い。さらに対策を考えなくてはいけなくて、そのために必要な知識を得るのも非常にコストが高い。# ここでいうコストは「お値段」だけじゃなくて、時間、学習という行為がもたらす苦痛、なんかも含む。
まぁ、最終的に思いついた対策を実施するためのコストというのもあるんだけれど、実はそれは全コストの中でもっとも安かったりする。
.
実は一番高いコストは、「以上のコストを払ってでもリスクマネジメントをするべきか?」という問いに対する答を理解するために必要なコストだったりする。このコストが安いなら、世のお母さんは「勉強しなさいっ」と子供をしかる必要もなく、君のように短慮な発想で「リスクマネジメントすりゃいいじゃん」なんぞと言い出す奴も出ず、ゆえにこのような話が出ること自体なく…
結果として、/.J はまるでつまらないサイトになるはずなんですよ。
okkyさんのコメントは、「証明は各自でやっておくように」的な問題と思ったのでやってみた。
>このコストが安いなら、世のお母さんは「勉強しなさいっ」と子供をしかる必要もなく
「リスク」を「勉強しないことから引き起こされる不利な事柄」とすると、「コスト」は「勉強しないと何がやばいかをすべて挙げ」、「対策を考える」ことになるのかな。
で、問題のこれ↓>実は一番高いコストは、「以上のコストを払ってでもリスクマネジメントをするべきか?」という問いに対する答を理解するために必要なコストだったりする。
これを勉強の例で言うなら「『勉強しない
「利用者側がリスクマネジメントすりゃいい」という提案に対しての反応なので、「利用者がリスクマネジメントするには、リスクを知る必要がある」というのが出発点になる。
まあ当たり前の話で「/.はSSLを使ってないけど、リスクマネジメントすりゃ良い」という発言には、暗黙の前提として「SSLを使っていないとどういうリスクが起こりうるか」を知っている必要がある。# SSLを知らない人が、SSLを使わずにパスワードを入力する事に対するリスクを知ることは出来ないので、リスクマネジメントが必要であるという事すら判らない。
つまり、リスクマネジメントをする為に必要な知識を得るのが非常にコストが高いというのも、まあ当たり前の話。例えば単なるネットサーフィンをするに当たって、Webがらみの全ての脆弱性とリスクに関して把握しておいて「まあ俺がヨドバシで買ったWindows XPにルートキットは入ってなかったろうし、それでUbuntuをダウンロードしたサイトは(中略)だから/.で捨てパスワードを入力しても良い」とかいう事になる。
で、以下の問いは
実は一番高いコストは、「以上のコストを払ってでもリスクマネジメントをするべきか?」という問いに対する答を理解するために必要なコストだったりする。
こう変換できる。コストA = 『リスクを知ること・そのリスクの対策を考えること・リスクを理解すること・対策を立てるために知識を得ること・その時間を使うこと・その意欲を保つこと』問いA = 「コストAを払っても、リスクマネジメントをするべきか?」答えA = 問いAに対する答え一番高いコスト = 答えAを理解する為に必要なコスト
つまり、「『ばかげたコストを払って利用者側がリスクマネジメントするのは不合理』という答えを理解するには、コストを払ってこなかったお前には無理=まあそのコストが一番高いんだけどね」という非常に韜晦じみた皮肉(セキュリティに関しての啓蒙が上手くいかない事への自虐?)なわけですな。# なぜならばかげたコストであることを知るためにはコストAのコストを払ってその高さを理解する必要があるわけで……
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人
脆弱性を放置してもいいんじゃないの? (スコア:1, 興味深い)
> 半数以上の脆弱性が放置されている
脆弱性を放置した結果生ずるリスクと脆弱性への対応費用を評価して
割に合わないというなら脆弱性を修正しないという判断もアリだと思うけどね
使う側は使う側でリスクマネジメントすればいいだけの話だし
Re: (スコア:4, 興味深い)
すべてのリスクを知るのに必要なコストが0ならば、その手もありだね。
実際には、すべてのリスクを知るのに必要なコストは0ではない。というか非常に高い。
さらに対策を考えなくてはいけなくて、そのために必要な知識を得るのも非常にコストが高い。
# ここでいうコストは「お値段」だけじゃなくて、時間、学習という行為がもたらす苦痛、なんかも含む。
まぁ、最終的に思いついた対策を実施するためのコストというのもあるんだけれど、実はそれは全コストの中でもっとも安かったりする。
.
実は一番高いコストは、「以上のコストを払ってでもリスクマネジメントをするべきか?」という問いに対する答を理解するために必要なコストだったりする。
このコストが安いなら、世のお母さんは「勉強しなさいっ」と子供をしかる必要もなく、君のように短慮な発想で「リスクマネジメントすりゃいいじゃん」なんぞと言い出す奴も出ず、ゆえにこのような話が出ること自体なく…
結果として、/.J はまるでつまらないサイトになるはずなんですよ。
fjの教祖様
Re: (スコア:0)
okkyさんのコメントは、「証明は各自でやっておくように」的な問題と思ったのでやってみた。
>このコストが安いなら、世のお母さんは「勉強しなさいっ」と子供をしかる必要もなく
「リスク」を「勉強しないことから引き起こされる不利な事柄」とすると、「コスト」は「勉強しないと何がやばいかをすべて挙げ」、「対策を考える」ことになるのかな。
で、問題のこれ↓
>実は一番高いコストは、「以上のコストを払ってでもリスクマネジメントをするべきか?」という問いに対する答を理解するために必要なコストだったりする。
これを勉強の例で言うなら「『勉強しない
わかりづらい(Re:脆弱性を放置してもいいんじゃないの? (スコア:2)
「利用者側がリスクマネジメントすりゃいい」という提案に対しての反応なので、「利用者がリスクマネジメントするには、リスクを知る必要がある」というのが出発点になる。
まあ当たり前の話で「/.はSSLを使ってないけど、リスクマネジメントすりゃ良い」という発言には、暗黙の前提として「SSLを使っていないとどういうリスクが起こりうるか」を知っている必要がある。
# SSLを知らない人が、SSLを使わずにパスワードを入力する事に対するリスクを知ることは出来ないので、リスクマネジメントが必要であるという事すら判らない。
つまり、リスクマネジメントをする為に必要な知識を得るのが非常にコストが高いというのも、まあ当たり前の話。
例えば単なるネットサーフィンをするに当たって、Webがらみの全ての脆弱性とリスクに関して把握しておいて「まあ俺がヨドバシで買ったWindows XPにルートキットは入ってなかったろうし、それでUbuntuをダウンロードしたサイトは(中略)だから/.で捨てパスワードを入力しても良い」とかいう事になる。
で、以下の問いは
こう変換できる。
コストA = 『リスクを知ること・そのリスクの対策を考えること・リスクを理解すること・対策を立てるために知識を得ること・その時間を使うこと・その意欲を保つこと』
問いA = 「コストAを払っても、リスクマネジメントをするべきか?」
答えA = 問いAに対する答え
一番高いコスト = 答えAを理解する為に必要なコスト
つまり、「『ばかげたコストを払って利用者側がリスクマネジメントするのは不合理』という答えを理解するには、コストを払ってこなかったお前には無理=まあそのコストが一番高いんだけどね」という非常に韜晦じみた皮肉(セキュリティに関しての啓蒙が上手くいかない事への自虐?)なわけですな。
# なぜならばかげたコストであることを知るためにはコストAのコストを払ってその高さを理解する必要があるわけで……