アカウント名:
パスワード:
まあただより一般的な話として、ここまで致命的なセキュリティ問題が判明したときでも経営者なり上司なりより立場の弱い身として意に逆らってシステム止められるかってのは、正直難しいですよね。もちろんリスクなり何なりを説明して納得して同意してもらえればいいにしても、今回のように緊急性を理解してもらえずに警察呼ばれて下手したら逮捕、システムは他の人間に再起動させられてセキュリティホールそのままという筋もありえなくはなかったわけで。警察に「これこれこういうリスクがありきわめて危険な状態だったのでシステムを落とした」と説明したところで、こういう場合で緊急避難が通じるかどうかと。
まあそれより何より、今回は「ついったを監視するだけの簡単な取締役です」が偶然巫女テスターさん(17) [srad.jp]を救ったってのが。
まあただより一般的な話として、ここまで致命的なセキュリティ問題が判明したときでも経営者なり上司なりより立場の弱い身として意に逆らってシステム止められるかってのは、正直難しいですよね。
同じく、Twitterでリアルタイムで見てましたけど、自分だったら上司に報告して結論出るのが来月って言われたらもう俺のせいじゃない!って開き直ってるなぁとか思ってました。 この決断が出来るのは会社員としてはアレかもしれないけど、職業人としては凄いなぁとプロ意識を感じました。 いや警察呼ばれた辺りのツィート見たときはどうなることかと。 この結末に落ち着いてくれて本当に良かったです。良い前例になったという意味でも。
・・・てか、タレコミはここまでだけど、今朝の後日談も酷い。
問題のプロジェクトの作業に実際に携わった関係者からヒアリングしようとしたら「コード書いた人 [twitter.com]
>私が同じ立場だったら、服装を正して、さらに上の立場の人のところに直談判です。
私が同じ立場なら、顧客の上の立場の人のところに直談判は同じですが、自分の会社のできるだけ上の立場の人を捕まえて、同席させるってのを付け加えます。同席してくれないなら、自社内での自分の立場がその程度か、事案に対する理解が無いので、何かあった場合に庇ってもらえる可能性が低いです。
私が同じ立場だったら、服装を正して、さらに上の立場の人のところに直談判です。どこまでも上に話し合いに行きます。 あるいは、相手が問題の重要性を理解してくれるまで徹底的に説得するか。 何が何でも、言葉のやりとりでルール内で解決させるのが、大人の仕事です。
なるほど・・・これが一番正しいやり方な気がします。個人としても会社員としても。
本件で、むしろ好印象だったのは周囲の大人たちで、営業さんも社長さんも若い彼女のフォローをしているところでした。
# だがちょっと待って欲しい。本当に「若い彼女」なのだろうか? # 所詮Twitter上での出来事、全てが真実とは限らない・・・そう(17歳)の部分とか。 # スキルや判断能力的に、実は三(以下自粛
>私と比較すると干支で1周以上年下と推測される人です。
76歳以上の大先輩殿、乙でございます。
26 + 60 = 86歳ではないのですか?
や、そこは76歳以上の大先輩殿、乙女でございます。だろ。
(老い老い……)(小声で)
17歳教は30歳以上じゃないと入れなかったはずでは...
というか何進数表記での「17歳」なのでしょうか? とか書くと呪われるのでしょうねぇ.
「若い」と書いて「ガキ」と読むんです
欠陥がいつまでも治らないケースにも見えますね...談判なんてめんどくさい言葉が出てくる時点でもうちょっと。
そのパターンのようですね。
いやもう、課長と部長に報告したし、埒があかないから更に上に話させてくれと再三掛け合って駄目だった結果がアレなんですけどね…… RT @f_moriya: ゆずさん(@Yuzu_n)の件なんだけど、/.Jでは上に報告するのが筋、ってのが大半の意見だろうけど(略) [twitter.com]
# 話が他所に膨らみ過ぎたのでアカウント削除予定だそうで、ちょっと悪いことをしてしまったかなぁ。 # 俺も/.に聞け辺りでタレこもうかと思ってたので(--
いや、その上長と客の専務のレベルが同じぐらい阿呆なだけだろう。
こんなシステムを1秒でも長く動かすのはナンセンスだ。その間にデータが盗まれていない事をどうやって保証するのかね?
.
まぁ、もっとも。ペネトレーションテストなら、「システムがダウンするようなテスト」を叩き込んでシステムを停めるべきであって、ジェントルに shutdown するのは甘いな、とは思いますが。
ここに書いている人全員が忘れているのは、こういう脆弱なシステムは、「テストに通らない」だけじゃなく「真面目にテストするとコケる」ものなのだ、と言う事実だ。
> まぁ、もっとも。ペネトレーションテストなら、「システムがダウンするようなテスト」を叩き込んでシステムを停めるべきであって、ジェントルに shutdown するのは甘いな、とは思いますが。
テスト系をとめてもしょうがないのでは?#本番系で「システムがダウンするようなテスト」を流すのは正気でないですし。
テスト系をとめてもしょうがないのでは?
ペネトレーションテストを「テスト系」で実施していたなら、最初からこのような大騒ぎにはならない、というあたりに想いを馳せたまえ。
ペネトレーションテストを「テスト系」で実施していたなら、
実運用しているサービスでペネトレーションテストをやったら、場合によってはデータベースの整合性を破壊するなどの問題を起こし、誤課金などの大迷惑をユーザーにかけることになる可能性があります。ユーザーをそのようなリスクにさらすような行為は断固として断り、テスト系を要求するのが技術者倫理というものですね。
仮に、ユーザーをそのようなリスクにさらす行為をしておきながら、セキュリティホールを見つけた途端に突然善人ぶりはじめ、「個人情報漏えいのリスクがー」と叫んでサービスを止めた人がいたら、そんなのは笑い話です。
本人も「本番系のサーバー」と言っているぐらいだし、そこまで馬鹿じゃないでしょう。あなたの主張は、巫女の人に対する侮辱になっていることに、早く気付くべきですね。
あなたの主張は、巫女の人に対する侮辱になっていることに、早く気付くべきですね。
バグがあるにしてもどのようにバグがあるのかすらわからない系に対するペネトレーションテストで、システムダウンさせてしまう可能性が0と考えている段階で、セキュリティについて何もわかっていない証拠ですね。
そんな阿呆が「巫女の人に対する侮辱」かどうかを判別できると考えること自体、おこがましい。
# そもそも、テスト系と本番系が分離してあるなら、最初に分離するのは諸ユーザーのパスワードだ。# 特に root のそれは絶対合致させない。ので、本番サーバーを落とすなど不可能だ。
その仕事を請けるべきでなかった、は「技術者倫理」の範囲外ですよ。だって仕事を取ってくるのは営業だもの。
今回の話だって営業が別に立ってるのは明らかだし、その部分で技術者本人に責任を求めるのは不当でしょう。
そもそもエンジニアがテスト環境を要求しても顧客側に蹴られるなんてのは、もはや日常風景ですよ。
ペネトレーションテストで、システムダウンさせてしまう可能性が0と考えている
そのようなことは #1954786 には書いてありませんが。
# そもそも、テスト系と本番系が分離してあるなら、最初に分離するのは諸ユーザーのパスワードだ。 # 特に root のそれは絶対合致させない。ので、本番サーバーを落とすなど不可能だ。
ペネトレーションテストというのは、rootや他のユーザーのパスワードを知らない状態で、外部から攻撃をかけてみるテストのことです。ペネトレーションテストで落とせる、ということは、パスワードを知らない人が外部から攻撃をかけて落とすことが可能なセキュリティホールが存在することを意味します。
「rootのパスワードがわからなければ、本番サーバーを落とすことなど不可能だ」などと主張する人がセキュリティについて語るとか、ギャグですか。
技術系のウェブサイトとかで説明されている概要説明読んでるだけだと、外部から攻撃をかけてみるもの「のみ」がペネテだと思い込みそうだけど本番系の内側からやるペネテってありますよ。
実際そういうテスト、受けたことあるんで。もちろんサービスインの前ですが。
あとセキュリティホールってサーバを落とせるもの「のみ」を言うんじゃなくて寧ろ「中の情報を抜ける」ものの方がよっぽど問題視されるし、今回の事例はそっちを発見したという話でサーバを落とせるホールが見つかった、じゃないでしょう?
どう対応すべきかについては、非常に難しいと思いますが、こういった場合はJPCERT/CCのガイドラインに従い、IPAに通報するべきなんだろうと思います。
http://www.jpcert.or.jp/vh/index.html [jpcert.or.jp]
#ここまでコメント読んでいたものの、JPCERT/CCに誰も触れていないのにびっくり・・・
私も過去に通報したけど、ガン無視された
うちが怪しいシステムに出会ったときはIPAに通報したら、仕事してくれましたよ。最終的には脆弱性ではない、という結論でしたが(実際バグではありました)
ただ、今回のケースでIPA通報が正しい選択とは思えないのは同意。そんな迅速に動ける組織ではないでしょうし。英雄的越権行為はあらゆる人が立場上「NG」と言わねばならないのでしょうが、それがなければ現在のフランスは存在しないわけで。悩ましいネタです。
> 私が同じ立場だったら、服装を正して、さらに上の立場の人のところに直談判です。どこまでも上に話し合いに行きます。> あるいは、相手が問題の重要性を理解してくれるまで徹底的に説得するか。> 何が何でも、言葉のやりとりでルール内で解決させるのが、大人の仕事です。
その結果,PSNのような大規模情報漏洩にまで発展しても,まだそんな戯言をクチに出来ますか?
で、独断でシステムを止めた結果、他の被害が発生したらどうするのよ。その分の補償を個人でしてくれるのか?たとえば止め方が悪くて、システム停止によってかえって情報漏えいを引き起こしたら?システム停止の余波で別のシステムが止まって、人死にが出たら?
独断で事を起こすってのは、そこまで全部責任を持つ覚悟を持つってことだぞ。
まだまだだな。彼女のことを「若い」なって言ってしまったらそれこそ思うツボだぞ17歳だって主張してるんだし
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
※ただしPHPを除く -- あるAdmin
タレこもうとしたら先を越されたでござるの巻 (スコア:2, すばらしい洞察)
まあただより一般的な話として、ここまで致命的なセキュリティ問題が判明したときでも経営者なり上司なりより立場の弱い身として意に逆らってシステム止められるかってのは、正直難しいですよね。
もちろんリスクなり何なりを説明して納得して同意してもらえればいいにしても、今回のように緊急性を理解してもらえずに警察呼ばれて下手したら逮捕、システムは他の人間に再起動させられてセキュリティホールそのままという筋もありえなくはなかったわけで。警察に「これこれこういうリスクがありきわめて危険な状態だったのでシステムを落とした」と説明したところで、こういう場合で緊急避難が通じるかどうかと。
まあそれより何より、今回は「ついったを監視するだけの簡単な取締役です」が偶然巫女テスターさん(17) [srad.jp]を救ったってのが。
>意に逆らってシステム止められるか (スコア:4, 興味深い)
同じく、Twitterでリアルタイムで見てましたけど、自分だったら上司に報告して結論出るのが来月って言われたらもう俺のせいじゃない!って開き直ってるなぁとか思ってました。
この決断が出来るのは会社員としてはアレかもしれないけど、職業人としては凄いなぁとプロ意識を感じました。
いや警察呼ばれた辺りのツィート見たときはどうなることかと。
この結末に落ち着いてくれて本当に良かったです。良い前例になったという意味でも。
・・・てか、タレコミはここまでだけど、今朝の後日談も酷い。
Re:>意に逆らってシステム止められるか (スコア:5, すばらしい洞察)
私が同じ立場だったら、服装を正して、さらに上の立場の人のところに直談判です。どこまでも上に話し合いに行きます。
あるいは、相手が問題の重要性を理解してくれるまで徹底的に説得するか。
何が何でも、言葉のやりとりでルール内で解決させるのが、大人の仕事です。
本件で、むしろ好印象だったのは周囲の大人たちで、営業さんも社長さんも若い彼女のフォローをしているところでした。
大人として、若い彼女をフォローしています。
ルールをたった1度飛び越えた彼女を潰さずに済んだところが素晴らしい。
そして、彼女を放免せず、事を起こした責任としてか、ちゃんと修正業務に彼女を就かせているところなど、素晴らしい大人の対応です。
Re:>意に逆らってシステム止められるか (スコア:3, 興味深い)
>私が同じ立場だったら、服装を正して、さらに上の立場の人のところに直談判です。
私が同じ立場なら、顧客の上の立場の人のところに直談判は同じですが、
自分の会社のできるだけ上の立場の人を捕まえて、同席させるってのを付け加えます。
同席してくれないなら、自社内での自分の立場がその程度か、事案に対する理解が無いので、
何かあった場合に庇ってもらえる可能性が低いです。
Re:>意に逆らってシステム止められるか (スコア:2, おもしろおかしい)
なるほど・・・これが一番正しいやり方な気がします。個人としても会社員としても。
# だがちょっと待って欲しい。本当に「若い彼女」なのだろうか?
# 所詮Twitter上での出来事、全てが真実とは限らない・・・そう(17歳)の部分とか。
# スキルや判断能力的に、実は三(以下自粛
Re:>意に逆らってシステム止められるか (スコア:1)
2年前くらいに書いたプロフィールだと推測すると26歳くらいでしょうか。
私と比較すると干支で1周以上年下と推測される人です。若い若い・・・。
Re:>意に逆らってシステム止められるか (スコア:3, おもしろおかしい)
>私と比較すると干支で1周以上年下と推測される人です。
76歳以上の大先輩殿、乙でございます。
Re: (スコア:0)
26 + 60 = 86歳ではないのですか?
Re: (スコア:0)
や、そこは
76歳以上の大先輩殿、乙女でございます。
だろ。
Re:>意に逆らってシステム止められるか (スコア:1)
(老い老い……)(小声で)
Re: (スコア:0)
17歳教は30歳以上じゃないと入れなかったはずでは...
Re: (スコア:0)
というか何進数表記での「17歳」なのでしょうか?とか書くと呪われるのでしょうねぇ.Re: (スコア:0)
「若い」と書いて「ガキ」と読むんです
Re:>意に逆らってシステム止められるか (スコア:1)
欠陥がいつまでも治らないケースにも見えますね...談判なんてめんどくさい言葉が出てくる時点でもうちょっと。
談判しても駄目だったら (スコア:0)
そのパターンのようですね。
# 話が他所に膨らみ過ぎたのでアカウント削除予定だそうで、ちょっと悪いことをしてしまったかなぁ。
# 俺も/.に聞け辺りでタレこもうかと思ってたので(--
Re: (スコア:0)
Re:談判しても駄目だったら (スコア:1)
いや、その上長と客の専務のレベルが同じぐらい阿呆なだけだろう。
こんなシステムを1秒でも長く動かすのはナンセンスだ。
その間にデータが盗まれていない事をどうやって保証するのかね?
.
まぁ、もっとも。ペネトレーションテストなら、「システムがダウンするようなテスト」を叩き込んでシステムを停めるべきであって、ジェントルに shutdown するのは甘いな、とは思いますが。
ここに書いている人全員が忘れているのは、こういう脆弱なシステムは、「テストに通らない」だけじゃなく「真面目にテストするとコケる」ものなのだ、と言う事実だ。
fjの教祖様
Re: (スコア:0)
> まぁ、もっとも。ペネトレーションテストなら、「システムがダウンするようなテスト」を叩き込んでシステムを停めるべきであって、ジェントルに shutdown するのは甘いな、とは思いますが。
テスト系をとめてもしょうがないのでは?
#本番系で「システムがダウンするようなテスト」を流すのは正気でないですし。
Re:談判しても駄目だったら (スコア:1)
ペネトレーションテストを「テスト系」で実施していたなら、最初からこのような大騒ぎにはならない、というあたりに想いを馳せたまえ。
fjの教祖様
Re: (スコア:0)
実運用しているサービスでペネトレーションテストをやったら、場合によってはデータベースの整合性を破壊するなどの問題を起こし、誤課金などの大迷惑をユーザーにかけることになる可能性があります。ユーザーをそのようなリスクにさらすような行為は断固として断り、テスト系を要求するのが技術者倫理というものですね。
仮に、ユーザーをそのようなリスクにさらす行為をしておきながら、セキュリティホールを見つけた途端に突然善人ぶりはじめ、「個人情報漏えいのリスクがー」と叫んでサービスを止めた人がいたら、そんなのは笑い話です。
本人も「本番系のサーバー」と言っているぐらいだし、そこまで馬鹿じゃないでしょう。あなたの主張は、巫女の人に対する侮辱になっていることに、早く気付くべきですね。
Re:談判しても駄目だったら (スコア:1)
バグがあるにしてもどのようにバグがあるのかすらわからない系に対するペネトレーションテストで、システムダウンさせてしまう可能性が0と考えている段階で、セキュリティについて何もわかっていない証拠ですね。
そんな阿呆が「巫女の人に対する侮辱」かどうかを判別できると考えること自体、おこがましい。
# そもそも、テスト系と本番系が分離してあるなら、最初に分離するのは諸ユーザーのパスワードだ。
# 特に root のそれは絶対合致させない。ので、本番サーバーを落とすなど不可能だ。
fjの教祖様
Re:談判しても駄目だったら (スコア:1)
その仕事を請けるべきでなかった、は「技術者倫理」の範囲外ですよ。
だって仕事を取ってくるのは営業だもの。
今回の話だって営業が別に立ってるのは明らかだし、
その部分で技術者本人に責任を求めるのは不当でしょう。
そもそもエンジニアがテスト環境を要求しても顧客側に蹴られる
なんてのは、もはや日常風景ですよ。
Re: (スコア:0)
そのようなことは #1954786 には書いてありませんが。
ペネトレーションテストというのは、rootや他のユーザーのパスワードを知らない状態で、外部から攻撃をかけてみるテストのことです。ペネトレーションテストで落とせる、ということは、パスワードを知らない人が外部から攻撃をかけて落とすことが可能なセキュリティホールが存在することを意味します。
「rootのパスワードがわからなければ、本番サーバーを落とすことなど不可能だ」などと主張する人がセキュリティについて語るとか、ギャグですか。
Re:談判しても駄目だったら (スコア:1)
技術系のウェブサイトとかで説明されている概要説明読んでるだけだと、
外部から攻撃をかけてみるもの「のみ」がペネテだと思い込みそうだけど
本番系の内側からやるペネテってありますよ。
実際そういうテスト、受けたことあるんで。
もちろんサービスインの前ですが。
あとセキュリティホールってサーバを落とせるもの「のみ」を言うんじゃなくて
寧ろ「中の情報を抜ける」ものの方がよっぽど問題視されるし、今回の事例は
そっちを発見したという話でサーバを落とせるホールが見つかった、じゃないでしょう?
Re:>意に逆らってシステム止められるか (スコア:1, すばらしい洞察)
どう対応すべきかについては、非常に難しいと思いますが、
こういった場合はJPCERT/CCのガイドラインに従い、IPAに通報するべきなんだろうと思います。
http://www.jpcert.or.jp/vh/index.html [jpcert.or.jp]
#ここまでコメント読んでいたものの、JPCERT/CCに誰も触れていないのにびっくり・・・
Re: (スコア:0)
ネットの噂話レベルだと、連絡を受付けるだけでアクションとってもらえなかった、なんていう話も見かけたよ。
Re: (スコア:0)
私も過去に通報したけど、ガン無視された
Re:>意に逆らってシステム止められるか (スコア:1)
うちが怪しいシステムに出会ったときはIPAに通報したら、仕事してくれましたよ。
最終的には脆弱性ではない、という結論でしたが(実際バグではありました)
ただ、今回のケースでIPA通報が正しい選択とは思えないのは同意。そんな迅速に動ける組織ではないでしょうし。
英雄的越権行為はあらゆる人が立場上「NG」と言わねばならないのでしょうが、それがなければ現在のフランスは存在しないわけで。悩ましいネタです。
Re:>意に逆らってシステム止められるか (スコア:1)
周りの大人たちと、正義漢の強い(いい意味で)青い若者(ご本人が若いのかは知らないですが)の
対応が素晴らしいのだと。
社会通念上というか、会社員として正しい対応だったのかについては決して褒められる対応ではないと思います。
が、ダメなものはダメと切り捨ててしまうのは若い人のやる気をそいでしまい、なにをやっても駄目だと
あきらめ感につながるのではないかと思います。
自分にあてはめると、部下がこんな行動をしたら、まず責めてしまうのが目に浮かんでしまって恥ずかしいです。
Re: (スコア:0)
ということは千早を羽織るということか?
#詳しい人求む
Re: (スコア:0)
> 私が同じ立場だったら、服装を正して、さらに上の立場の人のところに直談判です。どこまでも上に話し合いに行きます。
> あるいは、相手が問題の重要性を理解してくれるまで徹底的に説得するか。
> 何が何でも、言葉のやりとりでルール内で解決させるのが、大人の仕事です。
その結果,PSNのような大規模情報漏洩にまで発展しても,
まだそんな戯言をクチに出来ますか?
Re: (スコア:0)
で、独断でシステムを止めた結果、他の被害が発生したらどうするのよ。その分の補償を個人でしてくれるのか?
たとえば止め方が悪くて、システム停止によってかえって情報漏えいを引き起こしたら?
システム停止の余波で別のシステムが止まって、人死にが出たら?
独断で事を起こすってのは、そこまで全部責任を持つ覚悟を持つってことだぞ。
Re: (スコア:0)
俺達だと人道的倫理と職業的倫理を天秤にかけて、自分の社会的な評価を考えて
「大人な」職業的倫理を選択してしまう。
個人的に何らかの影響を業界に与えることができるかもしれないケースと思っている。
下種で恐縮だが俺の手を汚すことなく、という点で素晴らしい。
Re: (スコア:0)
まだまだだな。
彼女のことを「若い」なって言ってしまったらそれこそ思うツボだぞ
17歳だって主張してるんだし