アカウント名:
パスワード:
巫女テスター(17歳)、欠陥システムをサーバーごとシャットダウンするに至った顛末とその後のお話 [togetter.com]もどうぞ。
http://twitter.com/#!/Yuzu_n/status/69004346381176832 [twitter.com]
「Twitter見てて、なんか巫女さんの仕事先の会社のシステムは酷いんだなぁ、と思っていたら派遣にシステム止められて障害になってると専務が泣きついてきた」とか社長さんに言われまして。なんというかありがとうございました。
http://twitter.com/#!/Yuzu_n/status/69048921279823872 [twitter.com]
客先は
社長の脳裏には、岡崎市立図書館事件があったんじゃないだろうか?
刑事告発することで、批判が集中し、誹謗中傷で評判を落とされたり、嫌がらせ電話もたくさん来たりして、業務にもっと支障がでるのを恐れたのではないだろうか。
時期的に社長の脳裏にあったのは、ソニーなんでは?セキュリティに対しては対応を間違ってはイケない、と。しかもTwitterで呟くの知ってるんだから叩くと更なる被害をもたらしそう、だと。
私には専務が正しくて社長は早まったとしか見えない。この巫女、今後も図に乗るかもよ。
専務も社長も正しいと思うよ。ムチと飴で、この後社長から「こういうことは二度としないように」と言えばいいんだよ。もちろん、次からはこの会社に発注しないでしょう。経緯を知った別の会社も避けるでしょうね。しばらくすればTwitterに業務内容を呟くことが何を意味するか勉強ができるはずなので巫女にとってもいい事かと。
しばらくすればTwitterに業務内容を呟くことが何を意味するか
この批判が結構多いみたいだけどさ、糞ソース見つけた!とか会社のシステムが脆弱性だらけで泣きたい!とか、その程度のことが業務内容の漏洩に該当するってどんだけ低レベルよ。 (会社が特定できてしまうとか、見る人が見ればわかるビジネスロジックだとかならともかく。)
そんなことを漏洩だと騒ぎ立てる前に、何が漏れては不味い情報なのか?どこをガードしなければならないのか?をちゃんと考えて線引きすべきだろ? これは個人情報、これは業務知識なので守らなくてはいけない。これは業界の一般話、とかさ。
# Twitterだと、過去の発言と照らし合わせて特定できるのでは?という考えはあるだろうが、とりあえず今回の発言だけを見てレス。
後、今回の話は確かに会社員としては問題がある行為だとは思うけど、「会社が生肉を雑に扱っているのを見つけてしまいました」というのと同じような事象として考えると、個人としては正しいと思う。 会社員としては、上司に報告して対策してくれなかったらお手上げ、が正しいだろうけど、それって人として正しいことなのかと。 この判断は、それはそれで立派なものだと考えますよ。
# ただし、人として正しかろうが会社として正しくないので干される・・・という判断は否定できないが(--; # まあそれでも見過ごせなかったのでしょうね。
ジェットコースターの非破壊検査を受託してクラック見つけて「ああ、ソレ稼ぎどきだから来月会議してそれから決めるわ」って言われた時に、「判断は俺のペイのうちには入ってないから無視。友人にはあの遊園地は行かないように勧めるけど」ってのは、社会人としては問題なくても人でなしでしょう。んなもん、神代の時代から民草を導く神の仲介者である巫女さんが無視できるわけなかろう。データベースの中にクレジットカード情報と一緒に平文で書かれている名前は、タダのデータじゃなくて、その向こうに実在する人なわけだし。
「あっぱれ!でも契約は契約だから罪に問われても仕方がないか。悪法も法だし」って感じられる人が少ないなら、内部告発が少ない社会なのもやむを得ないかなあと思う。 # 社会人として正しければ他人が(会社ではない)被害を受けようが問題無いってのは、かなり訓練されてきてるよ。 # まあ、アレをありのままを呟いているはずだというナイーブな人が多いのみると、2chの有名なセリフは真理だね:-P
大丈夫、クラックがあるからと言って、直ちに事故る訳ではない
> て「ああ、ソレ稼ぎどきだから来月会議してそれから決めるわ」って言われた時に
本当に言われたならそうだけど、実際のところ疑わしいと思いませんか?正直自分のことを17歳や巫女と称してその時点で疑わしいのにtweetだけは真正とでも?
人間誰しも間違えるもんですよ。今回の件が、もし銀行だったら止めたか、病院だったら止めたか、原発だったら止めたか、といったらきっと止めなかったでしょう。そこには判断があったはず。同じようにその会社の人だって判断するんですよ。当然判断が一致しないこともあるでしょう。その時どっちを優先するのか、どっちが正しいのかって必ずしも(今回のように)自明ではないですよね。だからこそステークホルダーなんて人たちがいて、責任を取る役の人がいて、フローがあったりするんではないでしょうか。俺が正しいといえる世界って案外狭いものなのではないかと思うのですがいかがでしょう。
どうしようもないときに実力行使に及ぶのがどうかと思う社会だから、実力行使のために裁判所や警察、公的機関に相談しても、門前払いするお国柄なんだな
さらに行使しようとした人は私刑にさらされる
実力行使のために裁判所や警察、公的機関に相談しても、門前払いするお国柄なんだな
裁判所は相談しに行くところではありません。相談するなら弁護士。また、ルールに反した実力行使をしても良いか、相談しに行ったら、「するな」と言うでしょう。法治国家なんだから、法を逸脱してはいけませんよ。
基本的に、実力行使というのは自己中心的なんですよ。正当防衛のような一部の例外を除き、面倒臭くても、ルールに則った手続きを取ってください。
法律的には、セキュリティホールを残すことは犯罪じゃないのに対し、承認を得ないでサーバを止めるのは威力業務妨害で犯罪なんです。現状においては、セキュリティホールが見つかっても何もしないというのは企業倫理の問題でしかありません。
ACCS不正アクセス事件のようなことも考えると、セキュリティホールに対する何らかの法整備は必要でしょう。法を逸脱することに寛容になるのではなくて。
おいおい、今回の事件をどう解釈すれば「運転中のジェットコースターを爆破」って喩えが出て来るんだよ「動力室の発電をぶっ千切った」あたりでしょ?
> 普通、名前なんてのは平文でデータベースに入ってる
それは,あなたの知っている狭い世界の「普通」でしょ。
>2chの祭りの個人特定や周辺の晒しっぷりからすれば舞台というか警察の対象がこっちに移るだけでは?
※いい加減警察も重い腰あげろよ。
線引き云々の前にそういう些細なことも洩らさないのがまともな企業だと思うよ。この程度やあんなことと勝手な尺度を持ってこられても困ってしまう。
>専務も社長も正しいと思うよ。これに同感。職権が違うから判断は異なるのはこの場合仕方ない。
中小のオーナー社長ってのは大会社と違って自己責任さえ認識すれば社の判断をほぼ何でもできる。そこが雇われの専務とは違う。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie
警察を呼ぶ専務、理解を示す社長 (スコア:4, おもしろおかしい)
巫女テスター(17歳)、欠陥システムをサーバーごとシャットダウンするに至った顛末とその後のお話 [togetter.com]もどうぞ。
http://twitter.com/#!/Yuzu_n/status/69004346381176832 [twitter.com]
http://twitter.com/#!/Yuzu_n/status/69048921279823872 [twitter.com]
モデレータは基本役立たずなの気にしてないよ
Re: (スコア:5, すばらしい洞察)
対応する姿勢があったと考えられるにも関わらず、いくら脆弱性を発見したから
といって、勝手に停止して壊すなんて行為は威力業務妨害だよね。
情報漏えいを防いだとか言ってる割には、ツイッターに情報を漏えいさせてる
ところとか、もうアホかと。
ペネトレーションテストで深刻な脆弱性を発見したら、極秘(絶対に外部には
知られてはならない)に関係上長に報告し、対策方法があるのならすぐに
それを提示、無いならサービスの一時停止を提案するというのが正しいやり方。
社長の脳裏には、岡崎市立図書館事件があったんじゃないだろうか?
刑事告発することで、批判が集中し、誹謗中傷で評判を落とされたり、
嫌がらせ電話もたくさん来たりして、業務にもっと支障がでるのを恐れた
のではないだろうか。
私には専務が正しくて社長は早まったとしか見えない。
この巫女、今後も図に乗るかもよ。
少なくとも自分が発注元なら、この巫女を使ってる会社には絶対に発注しない。
Re:警察を呼ぶ専務、理解を示す社長 (スコア:4, すばらしい洞察)
社長の脳裏には、岡崎市立図書館事件があったんじゃないだろうか?
刑事告発することで、批判が集中し、誹謗中傷で評判を落とされたり、
嫌がらせ電話もたくさん来たりして、業務にもっと支障がでるのを恐れた
のではないだろうか。
時期的に社長の脳裏にあったのは、ソニーなんでは?
セキュリティに対しては対応を間違ってはイケない、と。
しかもTwitterで呟くの知ってるんだから叩くと更なる被害をもたらしそう、だと。
私には専務が正しくて社長は早まったとしか見えない。
この巫女、今後も図に乗るかもよ。
専務も社長も正しいと思うよ。
ムチと飴で、この後社長から「こういうことは二度としないように」と言えばいいんだよ。
もちろん、次からはこの会社に発注しないでしょう。
経緯を知った別の会社も避けるでしょうね。
しばらくすればTwitterに業務内容を呟くことが何を意味するか勉強ができるはずなので
巫女にとってもいい事かと。
「お役所のソースは糞ばかりだ!」「国家機密漏洩罪で逮捕する」 (スコア:5, 興味深い)
この批判が結構多いみたいだけどさ、糞ソース見つけた!とか会社のシステムが脆弱性だらけで泣きたい!とか、その程度のことが業務内容の漏洩に該当するってどんだけ低レベルよ。
(会社が特定できてしまうとか、見る人が見ればわかるビジネスロジックだとかならともかく。)
そんなことを漏洩だと騒ぎ立てる前に、何が漏れては不味い情報なのか?どこをガードしなければならないのか?をちゃんと考えて線引きすべきだろ?
これは個人情報、これは業務知識なので守らなくてはいけない。これは業界の一般話、とかさ。
# Twitterだと、過去の発言と照らし合わせて特定できるのでは?という考えはあるだろうが、とりあえず今回の発言だけを見てレス。
後、今回の話は確かに会社員としては問題がある行為だとは思うけど、「会社が生肉を雑に扱っているのを見つけてしまいました」というのと同じような事象として考えると、個人としては正しいと思う。
会社員としては、上司に報告して対策してくれなかったらお手上げ、が正しいだろうけど、それって人として正しいことなのかと。
この判断は、それはそれで立派なものだと考えますよ。
# ただし、人として正しかろうが会社として正しくないので干される・・・という判断は否定できないが(--;
# まあそれでも見過ごせなかったのでしょうね。
まあ巫女さんだからね (Re:「お役所のソースは糞ばかりだ!」「国家機密漏洩罪で逮捕する」 (スコア:5, すばらしい洞察)
ジェットコースターの非破壊検査を受託してクラック見つけて「ああ、ソレ稼ぎどきだから来月会議してそれから決めるわ」って言われた時に、「判断は俺のペイのうちには入ってないから無視。友人にはあの遊園地は行かないように勧めるけど」ってのは、社会人としては問題なくても人でなしでしょう。
んなもん、神代の時代から民草を導く神の仲介者である巫女さんが無視できるわけなかろう。
データベースの中にクレジットカード情報と一緒に平文で書かれている名前は、タダのデータじゃなくて、その向こうに実在する人なわけだし。
「あっぱれ!でも契約は契約だから罪に問われても仕方がないか。悪法も法だし」って感じられる人が少ないなら、内部告発が少ない社会なのもやむを得ないかなあと思う。
# 社会人として正しければ他人が(会社ではない)被害を受けようが問題無いってのは、かなり訓練されてきてるよ。
# まあ、アレをありのままを呟いているはずだというナイーブな人が多いのみると、2chの有名なセリフは真理だね:-P
Re:まあ巫女さんだからね (Re:「お役所のソースは糞ばかりだ!」「国家機密漏洩罪で逮捕する」 (スコア:1, 参考になる)
あーあー聞きたくない聞きたくない、そんな報告書は受け取りたくない~って言われるから、いかに相手が拒否できない方法で報告するかは、各人のスキルだな。
上ってのは下に責任を押し付けられないと分かると、自らの保身のために動きが良くなるんですよ。
一番大切なのは、決して勝手に外部に話を漏らさないこと。外圧がかかれば動くだろう、なんてのは下手な考えですよ。
こういうのって上司は教えてくれないのか? 普通は勝手に何かやるのではなく、相談して許可を得るだろ? その過程で指導してもらえるじゃん。
Re:まあ巫女さんだからね (Re:「お役所のソースは糞ばかりだ!」「国家機密漏洩罪で逮捕する」 (スコア:1)
大丈夫、クラックがあるからと言って、直ちに事故る訳ではない
TomOne
Re:まあ巫女さんだからね (Re:「お役所のソースは糞ばかりだ!」「国家機密漏洩罪で逮捕する」 (スコア:1, おもしろおかしい)
> て「ああ、ソレ稼ぎどきだから来月会議してそれから決めるわ」って言われた時に
本当に言われたならそうだけど、実際のところ疑わしいと思いませんか?正直自分のことを17歳や巫女と称してその時点で疑わしいのにtweetだけは真正とでも?
Re: (スコア:0)
人間誰しも間違えるもんですよ。
今回の件が、もし銀行だったら止めたか、病院だったら止めたか、原発だったら止めたか、といったらきっと止めなかったでしょう。
そこには判断があったはず。
同じようにその会社の人だって判断するんですよ。
当然判断が一致しないこともあるでしょう。
その時どっちを優先するのか、どっちが正しいのかって必ずしも(今回のように)自明ではないですよね。
だからこそステークホルダーなんて人たちがいて、責任を取る役の人がいて、フローがあったりするんではないでしょうか。
俺が正しいといえる世界って案外狭いものなのではないかと思うのですがいかがでしょう。
Re: (スコア:0)
Re: (スコア:0)
Re: (スコア:0)
どうしようもないときに実力行使に及ぶのがどうかと思う社会だから、
実力行使のために裁判所や警察、公的機関に相談しても、門前払いするお国柄なんだな
さらに行使しようとした人は私刑にさらされる
Re: (スコア:0)
Re:まあ巫女さんだからね (Re:「お役所のソースは糞ばかりだ!」「国家機密漏洩罪で逮捕する」 (スコア:1, すばらしい洞察)
裁判所は相談しに行くところではありません。相談するなら弁護士。また、ルールに反した実力行使をしても良いか、相談しに行ったら、「するな」と言うでしょう。法治国家なんだから、法を逸脱してはいけませんよ。
基本的に、実力行使というのは自己中心的なんですよ。正当防衛のような一部の例外を除き、面倒臭くても、ルールに則った手続きを取ってください。
法律的には、セキュリティホールを残すことは犯罪じゃないのに対し、承認を得ないでサーバを止めるのは威力業務妨害で犯罪なんです。現状においては、セキュリティホールが見つかっても何もしないというのは企業倫理の問題でしかありません。
ACCS不正アクセス事件のようなことも考えると、セキュリティホールに対する何らかの法整備は必要でしょう。法を逸脱することに寛容になるのではなくて。
Re: (スコア:0)
ってレベルのたとえ話だね。
Re: (スコア:0)
おいおい、今回の事件をどう解釈すれば「運転中のジェットコースターを爆破」って喩えが出て来るんだよ
「動力室の発電をぶっ千切った」あたりでしょ?
Re: (スコア:0)
どんだけアホなんだ。
普通、名前なんてのは平文でデータベースに入ってる
もんだし、ツイッターの公開アカウントでばらすのと
近しい友人に注意するのは全然違うだろ。
Re: (スコア:0)
> 普通、名前なんてのは平文でデータベースに入ってる
それは,あなたの知っている狭い世界の「普通」でしょ。
Re: (スコア:0)
Re: (スコア:0)
>2chの祭りの個人特定や周辺の晒しっぷりからすれば
舞台というか警察の対象がこっちに移るだけでは?
※いい加減警察も重い腰あげろよ。
Re: (スコア:0)
線引き云々の前に
そういう些細なことも洩らさないのがまともな企業だと思うよ。
この程度やあんなことと勝手な尺度を持ってこられても困ってしまう。
Re:警察を呼ぶ専務、理解を示す社長 (スコア:1, すばらしい洞察)
>専務も社長も正しいと思うよ。
これに同感。
職権が違うから判断は異なるのはこの場合仕方ない。
中小のオーナー社長ってのは大会社と違って自己責任さえ認識すれば社の判断をほぼ何でもできる。
そこが雇われの専務とは違う。