アカウント名:
パスワード:
巫女テスター(17歳)、欠陥システムをサーバーごとシャットダウンするに至った顛末とその後のお話 [togetter.com]もどうぞ。
http://twitter.com/#!/Yuzu_n/status/69004346381176832 [twitter.com]
「Twitter見てて、なんか巫女さんの仕事先の会社のシステムは酷いんだなぁ、と思っていたら派遣にシステム止められて障害になってると専務が泣きついてきた」とか社長さんに言われまして。なんというかありがとうございました。
http://twitter.com/#!/Yuzu_n/status/69048921279823872 [twitter.com]
客先は
>普通、ペネトレーションテストを依頼している時点で、発見された脆弱性には>対応する姿勢があったと考えられるにも関わらず、いくら脆弱性を発見したから>といって、勝手に停止して壊すなんて行為は威力業務妨害だよね。
そのとおりですね。でも今回はそのままサービス開始してしまうとその「脆弱性への対応」はできてなかったと思われるので、まず前提が違います。
>情報漏えいを防いだとか言ってる割には、ツイッターに情報を漏えいさせてる>ところとか、もうアホかと。
本件のサービス停止により「漏洩が防がれた」とされている情報は、tweetにあった「業務概要」のことではなく、当該業務を発注した会社のサービスを受ける「顧客の個人情報」ですからひとまとめに評価しないほうが分かりやすいかと思います。
>ペネトレーションテストで深刻な脆弱性を発見したら、極秘(絶対に外部には>知られてはならない)に関係上長に報告し、対策方法があるのならすぐに>それを提示、無いならサービスの一時停止を提案するというのが正しいやり方。
これもそのとおり。ただ、今回話題になっているのはサービス停止が必要、かつそれが指令系統上不可能だったら?ということのように思えます。
>社長の脳裏には、岡崎市立図書館事件があったんじゃないだろうか?>刑事告発することで、批判が集中し、誹謗中傷で評判を落とされたり、>嫌がらせ電話もたくさん来たりして、業務にもっと支障がでるのを恐れた>のではないだろうか。
全く違うと思います。そもそも、当該の会社の名前はtweetされていないのですから、仮に刑事告発したことで批判が集中しようが、誹謗中傷されようが痛くも痒くもないはず。
それより、顧客の情報が漏洩してしまう方が恐ろしいと思うのです。
>私には専務が正しくて社長は早まったとしか見えない。>この巫女、今後も図に乗るかもよ。>少なくとも自分が発注元なら、この巫女を使ってる会社には絶対に発注しない。
それも理解はできるのでが、顧客の個人情報よりも自分の職務権限や業務手順を優先する発言にもとれてしまいます。「少なくとも自分が顧客なら、親コメのACさんが発注元の会社のサービスは受けたくない」と思う人も多いのではないでしょうか。
会社経営者として、自分に逆らわない社員・請負はもちろん必要ですが、非常時には「会社の利益のために今何をすべきか」考えて臨機応変に行動してくれる人がありがたい。
畢竟「同じ状況下で自分ならどうするか」が問われているわけですよね…。
停止したことによる損害と、そのままサービスインしてしまった時の損害を比較して、件の社長さんは「自分ならサービス停止する」と思ったのだと思いますよ。
説明しても「来月の会議で検討する」って状態だったそうですが# 相手にわからせるまでが説明だ! いや正論なんですが,なかなかねぇ.
何処のサイトまでとは書きませんが、もう個人特定されてるようです。
この人、今後仕事していけるのかなぁ。こんなの雇うようじゃ、雇う会社自体アレゲっぽいし。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア
警察を呼ぶ専務、理解を示す社長 (スコア:4, おもしろおかしい)
巫女テスター(17歳)、欠陥システムをサーバーごとシャットダウンするに至った顛末とその後のお話 [togetter.com]もどうぞ。
http://twitter.com/#!/Yuzu_n/status/69004346381176832 [twitter.com]
http://twitter.com/#!/Yuzu_n/status/69048921279823872 [twitter.com]
モデレータは基本役立たずなの気にしてないよ
Re: (スコア:5, すばらしい洞察)
対応する姿勢があったと考えられるにも関わらず、いくら脆弱性を発見したから
といって、勝手に停止して壊すなんて行為は威力業務妨害だよね。
情報漏えいを防いだとか言ってる割には、ツイッターに情報を漏えいさせてる
ところとか、もうアホかと。
ペネトレーションテストで深刻な脆弱性を発見したら、極秘(絶対に外部には
知られてはならない)に関係上長に報告し、対策方法があるのならすぐに
それを提示、無いならサービスの一時停止を提案するというのが正しいやり方。
社長の脳裏には、岡崎市立図書館事件があったんじゃないだろうか?
刑事告発することで、批判が集中し、誹謗中傷で評判を落とされたり、
嫌がらせ電話もたくさん来たりして、業務にもっと支障がでるのを恐れた
のではないだろうか。
私には専務が正しくて社長は早まったとしか見えない。
この巫女、今後も図に乗るかもよ。
少なくとも自分が発注元なら、この巫女を使ってる会社には絶対に発注しない。
自分ならどうするか (スコア:4, すばらしい洞察)
>普通、ペネトレーションテストを依頼している時点で、発見された脆弱性には
>対応する姿勢があったと考えられるにも関わらず、いくら脆弱性を発見したから
>といって、勝手に停止して壊すなんて行為は威力業務妨害だよね。
そのとおりですね。
でも今回はそのままサービス開始してしまうとその「脆弱性への対応」は
できてなかったと思われるので、まず前提が違います。
>情報漏えいを防いだとか言ってる割には、ツイッターに情報を漏えいさせてる
>ところとか、もうアホかと。
本件のサービス停止により「漏洩が防がれた」とされている情報は、
tweetにあった「業務概要」のことではなく、
当該業務を発注した会社のサービスを受ける「顧客の個人情報」ですから
ひとまとめに評価しないほうが分かりやすいかと思います。
>ペネトレーションテストで深刻な脆弱性を発見したら、極秘(絶対に外部には
>知られてはならない)に関係上長に報告し、対策方法があるのならすぐに
>それを提示、無いならサービスの一時停止を提案するというのが正しいやり方。
これもそのとおり。ただ、今回話題になっているのは
サービス停止が必要、かつそれが指令系統上不可能だったら?
ということのように思えます。
>社長の脳裏には、岡崎市立図書館事件があったんじゃないだろうか?
>刑事告発することで、批判が集中し、誹謗中傷で評判を落とされたり、
>嫌がらせ電話もたくさん来たりして、業務にもっと支障がでるのを恐れた
>のではないだろうか。
全く違うと思います。
そもそも、当該の会社の名前はtweetされていないのですから、
仮に刑事告発したことで批判が集中しようが、
誹謗中傷されようが痛くも痒くもないはず。
それより、顧客の情報が漏洩してしまう方が恐ろしいと思うのです。
>私には専務が正しくて社長は早まったとしか見えない。
>この巫女、今後も図に乗るかもよ。
>少なくとも自分が発注元なら、この巫女を使ってる会社には絶対に発注しない。
それも理解はできるのでが、
顧客の個人情報よりも自分の職務権限や業務手順を優先する発言にもとれてしまいます。
「少なくとも自分が顧客なら、親コメのACさんが発注元の会社のサービスは受けたくない」と
思う人も多いのではないでしょうか。
会社経営者として、自分に逆らわない社員・請負はもちろん必要ですが、
非常時には「会社の利益のために今何をすべきか」考えて
臨機応変に行動してくれる人がありがたい。
畢竟「同じ状況下で自分ならどうするか」が問われているわけですよね…。
停止したことによる損害と、そのままサービスインしてしまった時の損害を比較して、
件の社長さんは「自分ならサービス停止する」と思ったのだと思いますよ。
Re: (スコア:0)
Re: (スコア:0)
説明しても「来月の会議で検討する」って状態だったそうですが
# 相手にわからせるまでが説明だ! いや正論なんですが,なかなかねぇ.
Re: (スコア:0)
> そもそも、当該の会社の名前はtweetされていないのですから、
> 仮に刑事告発したことで批判が集中しようが、
> 誹謗中傷されようが痛くも痒くもないはず。
それは考えが甘いと思う。
もし逮捕に至れば、あっという間に当該の会社が特定され、ネットで晒される可能性がありますよ。
Re: (スコア:0)
何処のサイトまでとは書きませんが、もう個人特定されてるようです。
この人、今後仕事していけるのかなぁ。
こんなの雇うようじゃ、雇う会社自体アレゲっぽいし。
Re: (スコア:0)