アカウント名:
パスワード:
PC使わないのが最高のサイバーセキュリティ対策とわかってらっしゃる、的なおもおか狙いがなさげ
産業機械とかプラント管理に当たり前にコンピュータが使われてて、しかもそれらはLANで管理用のPC互換マシンと繋がってるわけですよ。そのLANが完全に閉じたネットワークであっても、メンテナンス用のUSB端子があれば、そこから不当なマルウェアを突っ込ませ、タイミングを見て破壊活動が出来てしまう。そういう事例が、既に00年代にイランであって、STUXNETと総称されてますけど、ウラン濃縮施設の破壊と情報の盗み取りを目的として、イスラエル当局とアメリカ当局がそれをやったと言われてる。
セキュリティ問題を見てきた人たちにとっては基礎教養と言ってもいい事件だったんですが、それを突っ込まれた時に「PC使わなきゃいいだろう」「ネットに繋がなきゃいいだろう」と言うのは、不勉強と勉強する気のなさを自白したようなものだと思いますけど。
該当のやり取り(2:51:30~) [shugiintv.go.jp]からすると「(攻撃者が)使えないように封印されています」って正解を想定して理解度をはかる目的だったようで、これらすると「(攻撃者が)使えないように(封印)されています」的な助言を「(利用者に)使わせない(事になっている)」って伝言ゲームで跳躍しちゃったっぽくも見える。
大臣が言ってしまった「使わせない」は「攻撃者が使うことが出来ず、正規運用者も使う必要がないようにする」とも「正規運用者のUSB利用を禁じる(弊害は無視、攻撃者の利用も無視)」とも「攻撃者も正規運用者も使えないようにするが弊害は想定しない」とも「攻撃者が使えないようにする(正規運用者のUSB利用は許す)」とも取れてしまう。こういう拡大解釈出来てしまう物言いが命令として実行された場合、何が起こるかわかったものではないという部分で大臣の発言は致命的なんだけど・・・質問者の想定もまた似たような問題を抱えているってーのがなんともね。
そもそもSTUXNETは伝染能力を持っているから攻撃者がUSBを標的機に刺すって想定じゃ駄目なんだよね。(おそらく業務上の必要性から)正当な運用者が感染機から標的機にUSBを介して感染させてしまうことも狙っているはず。だから必要な対策は業務上のデータ交換を安全に行う手段の導入もセットにしないと、最悪、業務に支障をきたして莫大な損害を及ぼすか、実行不能で無視され危険な状態に陥るだけになる。ついでに、実際の所筐体のポート潰すだけでは電気的には存在しちゃってる訳で、使えないと安心して良いのかも微妙に思える。
全部人任せで済ますんなら当人がなにか知っている必要はない(存在意義も薄れるがそれはそれとする)けれど、人任せにするならちゃんと人任せにして自分の判断や表現を口に出してはいけない。彼の問題点は釣り出されたとは言え適切な人間にエスカレーションならぬデリゲーションして自身での回答を避けるか、質問を他人に投げてその返答をそのまま読み上げるプロキシに徹しなければならなかったのにそれを実行できなかった事。担当者の代弁者としてもまともに機能できず、困ったときだけ委任者の立場を振りかざす。こんなんされたら分かってないのに口を出すって害悪を想定するのは当然ではある。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
スラド民にもゆとりがない昨今 (スコア:3)
PC使わないのが最高のサイバーセキュリティ対策と
わかってらっしゃる、的なおもおか狙いがなさげ
Re: (スコア:2)
産業機械とかプラント管理に当たり前にコンピュータが使われてて、しかもそれらはLANで管理用のPC互換マシンと繋がってるわけですよ。
そのLANが完全に閉じたネットワークであっても、メンテナンス用のUSB端子があれば、そこから不当なマルウェアを突っ込ませ、タイミングを見て破壊活動が出来てしまう。
そういう事例が、既に00年代にイランであって、STUXNETと総称されてますけど、ウラン濃縮施設の破壊と情報の盗み取りを目的として、イスラエル当局とアメリカ当局がそれをやったと言われてる。
セキュリティ問題を見てきた人たちにとっては基礎教養と言ってもいい事件だったんですが、それを突っ込まれた時に「PC使わなきゃいいだろう」「ネットに繋がなきゃいいだろう」と言うのは、不勉強と勉強する気のなさを自白したようなものだと思いますけど。
Re:スラド民にもゆとりがない昨今 (スコア:0)
該当のやり取り(2:51:30~) [shugiintv.go.jp]からすると
「(攻撃者が)使えないように封印されています」って正解を想定して理解度をはかる目的だったようで、これらすると
「(攻撃者が)使えないように(封印)されています」的な助言を「(利用者に)使わせない(事になっている)」って伝言ゲームで跳躍しちゃったっぽくも見える。
大臣が言ってしまった「使わせない」は
「攻撃者が使うことが出来ず、正規運用者も使う必要がないようにする」とも
「正規運用者のUSB利用を禁じる(弊害は無視、攻撃者の利用も無視)」とも
「攻撃者も正規運用者も使えないようにするが弊害は想定しない」とも
「攻撃者が使えないようにする(正規運用者のUSB利用は許す)」とも取れてしまう。
こういう拡大解釈出来てしまう物言いが命令として実行された場合、
何が起こるかわかったものではないという部分で大臣の発言は致命的なんだけど・・・
質問者の想定もまた似たような問題を抱えているってーのがなんともね。
そもそもSTUXNETは伝染能力を持っているから攻撃者がUSBを標的機に刺すって想定じゃ駄目なんだよね。
(おそらく業務上の必要性から)正当な運用者が感染機から標的機にUSBを介して感染させてしまうことも狙っているはず。
だから必要な対策は業務上のデータ交換を安全に行う手段の導入もセットにしないと、
最悪、業務に支障をきたして莫大な損害を及ぼすか、実行不能で無視され危険な状態に陥るだけになる。
ついでに、実際の所筐体のポート潰すだけでは電気的には存在しちゃってる訳で、使えないと安心して良いのかも微妙に思える。
全部人任せで済ますんなら当人がなにか知っている必要はない(存在意義も薄れるがそれはそれとする)けれど、
人任せにするならちゃんと人任せにして自分の判断や表現を口に出してはいけない。
彼の問題点は釣り出されたとは言え適切な人間にエスカレーションならぬデリゲーションして自身での回答を避けるか、
質問を他人に投げてその返答をそのまま読み上げるプロキシに徹しなければならなかったのにそれを実行できなかった事。
担当者の代弁者としてもまともに機能できず、困ったときだけ委任者の立場を振りかざす。
こんなんされたら分かってないのに口を出すって害悪を想定するのは当然ではある。