アカウント名:
パスワード:
技術屋さんと運用屋さんとで責任のなすりつけあいをしていて、 被害者 (個人情報が公開させられてしまった人たち) のことを考えている人がいないような気がします。
100% (あるいは、99.999% くらいでもかまわない) 確実なことが言えないのなら、また、 「技術の発展」なるもののために個人情報を漏洩のリスクに さらすことを肯定するのなら、「起こってしまった後」 にどうフォローするのか、ということをしっかりと考えてほしい。
これは運用屋さんへの注文であると同時に、技術屋さんへの 注文でもあります。どういう運用をしていると どんなリスクが生じるのか、とかを正しく評価できるのは 技術屋さんしかいないと思うからです。それから、 人間 (運用者) は必ずミスするものだという前提に 立ったシステム設計とかって、 なされているのでしょうか。これは、まさしく技術屋さんの 仕事です。
覆水盆に返らず、といって、何もしないのでしょうか?
たとえば暗証番号が漏れていることが分かった場合、 早急に本人に連絡を取るとともに、当該アカウントや口座を (必要であれば) 一時停止するといったフォローが必要になりますし、 ほかにも、賠償とか責任者の処分といった問題が出てくることでしょう。 というか、出てきてほしい。 ほかに、技術的に可能なこと、あるいは、運用的に可能なことを 技術的に手助けすることが可能なことは、ないでしょうか。 ほんとにないのなら、仕方ないけど。
技術屋さんが、技術屋さんでない人の無知を笑うのは、 簡単なことです。技術屋さんのほうがものをよく知ってて当然なのですから。 が、もし運用に問題があるようなケースが多発するような場合、 それは、技術屋さんが、人間がいかにミスを犯しやすいかということについて 見積もりを誤っていたから、ということになるかもしれません。
たとえば銀行のシステムの場合、暗証番号が大量に漏れた、 などという話は聞いたことがありません。ぼくが知らないだけかもしれませんが。 (あるいは、もしあっても、社会的影響が大きすぎるために報道しないとか?) 個人情報を扱うほかのシステムについても、 扱う個人情報の重要さに応じて、それなりの堅牢さを持ったシステムが 作れないのかな、と素人ながらに思うのです。 ~
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
基本的なセキュリティーがなっていない (スコア:2, すばらしい洞察)
Apacheのパッチ?MSIEの脆弱性?そんなものはどうでもいい。
それよりも、世間一般に秘密にしておきたい情報をインターネットに流すことの重大さに気づかなければならない。自分が
// Give me chocolates!
Re:基本的なセキュリティーがなっていない (スコア:1)
技術屋さんと運用屋さんとで責任のなすりつけあいをしていて、 被害者 (個人情報が公開させられてしまった人たち) のことを考えている人がいないような気がします。
100% (あるいは、99.999% くらいでもかまわない) 確実なことが言えないのなら、また、 「技術の発展」なるもののために個人情報を漏洩のリスクに さらすことを肯定するのなら、「起こってしまった後」 にどうフォローするのか、ということをしっかりと考えてほしい。
これは運用屋さんへの注文であると同時に、技術屋さんへの 注文でもあります。どういう運用をしていると どんなリスクが生じるのか、とかを正しく評価できるのは 技術屋さんしかいないと思うからです。それから、 人間 (運用者) は必ずミスするものだという前提に 立ったシステム設計とかって、 なされているのでしょうか。これは、まさしく技術屋さんの 仕事です。
セキュリティはそれぞれの人の意識次第かと… (スコア:1, 興味深い)
>「起こってしまった後」にどうフォローするのか、ということをしっかりと考えてほしい。
覆水盆に返らず。流れ出てしまった情報はもう止め様がないですね。
事後策として今後の漏洩をとめることはできますけど、
漏れてしまったものを回収することは不可能です…。
自分が友達と会話してて、
思わず言っちゃいけないことを言ってしまった後、
「言っちゃダメだよ!」って釘さしても、
翌日クラスのみんなが知っていた、
そういう経験ありませんか?
それと一緒ですね、残念ですが。
>人間 (運用者) は必ずミスするものだという前提に立ったシステム設計とかって、なされているのでしょうか。
人間がミスすることを前提にある程度カバーすることはできます。
が、それを100%カバーするシステムは現実的に不可能でしょうね。
あるとすれば「全自動」でしょう。
結果すら人間が見られないほどの全自動であれば可能でしょうね。
それが非現実的な解であることは言うまでもありませんが。
もっと言えば、設計段階での見落とし、
コーディングミスも防ぐのが非常に難しいですね。
とはいえ、
悪意に基づかないもの
(セキュリティホールとか情報をお金でうるヤツとか)
以外で、簡単に情報が漏洩するような仕組み
(引数にIDを渡すだけで誰でも見られる仕組みとか)
を作らないことと、
セキュリティホールの情報に敏感になること、
何より情報を保持する個人自身が情報漏えいに敏感になるべきでしょう。
どんなに堅牢なシステムでも、
ユーザがパスワードを生年月日にしていて、
かつ自分のホームページに生年月日が書いてあれば、
そりゃ「盗んでください」と言っている様なものです。
また、明らかに怪しいサイトにデータを渡すのも、
これまた自分の身を自ら危険にさらす行為です。
出会い系サイトで電話番号とか平気で書き込む人がいますが、
あそこから個人を特定できる人だっていることをお忘れずに…。
技術者と、運用者と、そして個人本人。
この3身が一体にならなければ完全な保護はおろか、
通常の保護すらままならないでしょうね。
責任は全ての人間にあります。
誰かに頼むことはすべからく「責任逃れ」であることを、
まず自分の周りを律することから始めることを、
私も含めて肝に銘じたいものです。
Re:セキュリティはそれぞれの人の意識次第かと… (スコア:1)
覆水盆に返らず、といって、何もしないのでしょうか?
たとえば暗証番号が漏れていることが分かった場合、 早急に本人に連絡を取るとともに、当該アカウントや口座を (必要であれば) 一時停止するといったフォローが必要になりますし、 ほかにも、賠償とか責任者の処分といった問題が出てくることでしょう。 というか、出てきてほしい。 ほかに、技術的に可能なこと、あるいは、運用的に可能なことを 技術的に手助けすることが可能なことは、ないでしょうか。 ほんとにないのなら、仕方ないけど。
技術屋さんが、技術屋さんでない人の無知を笑うのは、 簡単なことです。技術屋さんのほうがものをよく知ってて当然なのですから。 が、もし運用に問題があるようなケースが多発するような場合、 それは、技術屋さんが、人間がいかにミスを犯しやすいかということについて 見積もりを誤っていたから、ということになるかもしれません。
たとえば銀行のシステムの場合、暗証番号が大量に漏れた、 などという話は聞いたことがありません。ぼくが知らないだけかもしれませんが。 (あるいは、もしあっても、社会的影響が大きすぎるために報道しないとか?) 個人情報を扱うほかのシステムについても、 扱う個人情報の重要さに応じて、それなりの堅牢さを持ったシステムが 作れないのかな、と素人ながらに思うのです。 ~
Re:セキュリティはそれぞれの人の意識次第かと… (スコア:0)
フォローは、今でもそれぞれ企業の予算や事情に応じて考えられていると思いますよ。
人が助かるために手助けをする事はできますが、根本的に救う事は難しいと思います。