パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

経産省が『(善玉)ハッカー』の指針作成へ」記事へのコメント

  •  ガイドラインを遵守したとして、ほかに法的に責任を問われる行動を行っていない場合に、刑事・民事両方の責任を問われないことが保証されないと、結局うまく機能しないと思われます。
     匿名での報告をどう扱うかも問題でしょう。特に、アタックの結果としてシステムに影響を与えたり、機密情報が漏洩していた場合の取り扱いは難しそうです。
    • by Anonymous Coward on 2004年02月17日 18時34分 (#497546)
      批評家などのwebや記事で個人や団体を批評するという仕事でも、
      どのようにガイドラインを作ろうとも、名誉毀損や威力業務妨害
      などで訴えられる可能性は常にあります
      そりゃ、ガイドラインがないよりはあったほうが仕事がしやすい
      とは思いますが、「ガイドラインがあったとしても訴えられる
      可能性はあるだろ ガクガクブルブル」とビビっているような人とか
      河合容疑者のように他人とのコミュニケーションをとる能力に
      欠けている方は、そういう仕事からは離れたほうが、おたがいに
      幸せになれると思います。
      たまに見かける「(言い方がどうであれ)折角指摘しているん
      だから、管理者は礼儀をもって耳をかたむけなさい」とかいう
      Subject: [memo:7034]もいるけど、他人とやりとりを
      する段階で、「内容さえよければ言い方はどうでもいい」と
      いう人も引っ込んでいてください。
      親コメント
      • by mocchino (13752) on 2004年02月17日 19時38分 (#497602)
        自社のサイトの脆弱性チェックは金出してちゃんとやれって事でしょうね

        しかし、この指針事態いるのでしょうか?
        訴えられる可能性があるなら、他人のサイトのセキュリティチェックなんて事はリスクが高くてやれないと思うのですが...

        こんな指針を出すくらいなら、情報漏えいした側の罰則規定を厳しく設けて
        個人情報を扱うサイトのセキュリティチェックは、しっかりやるというのは当たり前という風潮にしたほうがましだと思います

        気軽にサイトを立ち上げられなくなると思うかもしれませんが
        個人情報を扱わなければその心配は無いわけで、利益の発生しない一般的なWebサイトの運営には問題が無いでしょう
        逆にその情報を元に利益を生もうとするならコストを払えってことです。

        #セキュリティ的には、Webサーバーに個人情報を蓄積するようにしてある時点で、だめだと思うんですけどねぇ~
        #メール等で他サーバーに送信するようにするだけでもかなりましになると思うのですが...
        親コメント
        • >しかし、この指針事態いるのでしょうか?

          あればあってで便利なのでは?
          セキュリティチェックする方としては安全地帯が解るのだし、管理者からしたら許容範囲を超えている奴ってのが一目瞭然となる訳だから。

          逆に言えば、きちんとした契約無しでの勝手チェックの限界の規定になるのでしょうけど、そもそもそれ以上の事をする理由って興味本とか正義感を感じたいが為の趣味とか以外無いだろうから、適度な閾値を用意してくれる事自体は良いと思うけど。

          >訴えられる可能性があるなら、他人のサイトのセキュリティチェックなんて事はリスクが高くてやれないと思うのですが...

          責任負担の意思が無い人は、最初からセキュリティチェックなぞしない方が良いでは?
          企業としても自分のリソースだけならまだしも、顧客のものとなれば問題発生時に責任を問わないとならないですから、流石にフリーハンドって訳にはいかないでしょうから、当然、それに伴うポカをやらけせば訴えられるでしょう。

          >こんな指針を出すくらいなら、情報漏えいした側の罰則規定を厳しく設けて 個人情報を扱うサイトのセキュリティチェックは、
          しっかりやるというのは当たり前という風潮にしたほうがましだと思います

          風潮ってか、個人情報保護法はその考えですよ。
          単に自由と安全が欲しいイタズラ本意のプチ・クラッカー連中は文句付けたいだけなんで、そんなのは眼中に無いようですが、現実としては全く持って放置されている訳でも無いですよ。

          親コメント
          • >責任負担の意思が無い人は、最初からセキュリティチェックなぞしない方が良いでは?

            まぁ有ろうと無かろうと、他人のサイトのセキュリティチェックを勝手にしかも無料でやるような事は私には考えられないことです
            負担だけで利益がないのであれば、放置という考えは普通じゃないのでしょうか?

            そして、法的にNGとはならない指針をだすならまだしも
            元記事> 経産省は「あくまで法解釈は司法の役割で、(指針が)100%違法でないと保証するものではない」

            つまり法的にNGとならないことを司法には確認しないということです。
            この指針どおりにやってもつかまる可能性はあります

            指針をだすと言うのは、実行者の負担しか負わない善意のチェックを期待するって事です
            でも善意者が捕まる可能性もあるかも知れない指針出すより、そんな善意?なチェックを必要としないようになる事のほうが大事でしょう

            運用会社にすれば、そのセキュリティチェックの基準が無いからどこに頼んでいいか分からないので放置状態と言うこともあるかもしれまん

            このような指針をだすのであれば、年々増加するセキュリティホールへの対策、チェック方法も含め、安全に運用するための基準作成対策義務を負わせるほうのが良いのではとも思います。
            そして、違反者には一定年度個人情報を扱えない/扱う業務に関われない、などの罰則を規定する等の事の方がユーザーとしては安心できます。

            >風潮ってか、個人情報保護法はその考えですよ。

            でも、保護法に違反した場合の罰則って、30万以下の罰金ですよね、これって会社に痛手になるほどのものなのでしょうか?
            まぁ刑事事件として取り扱われる事により、その会社の信用が落ちるという点で十分な罰則と言うのかもしれませんが..

            やはりダメージを与えると言う点では、被害者が民事で集団訴訟でも起こさないとだめなんですかねぇ~
            会社がつぶれるほどの犠牲者がでないとまともに対策する風潮ってできないのでしょうか?
            親コメント
            • そして、法的にNGとはならない指針をだすならまだしも
              元記事> 経産省は「あくまで法解釈は司法の役割で、(指針が)100%違法でないと保証するものではない」
              つまり法的にNGとならないことを司法には確認しないということです。
              なぜ「保証」が「確認」に変化するの?
              三権分立の原則があるので、行政は司法判断に立ち入ることができないといっているように読めますが。
              このような指針をだすのであれば、年々増加するセキュリティホールへの対策、チェック方法も含め、安全に運用するための基準作成対策義務を負わせるほうのが良いのではとも思います。
              作成対策義務が生じる基準に、ガイドラインがほしいですね。
              「セキュリティ専門家」な方々は、この手のガイドラインの事例作りには事欠かないはずですから、貢献できるはずですし。
              会社がつぶれるほどの犠牲者がでないとまともに対策する風潮ってできないのでしょうか?
              まともな対策というのが具体的に何なのか、あげられていないからではないでしょうか。
              前に /.-J で管理者がどうあるべきかタレコんでみた [srad.jp]けれど、対策の内容まで踏み込んだ意見はなかったんじゃないかな。
              親コメント
              • >三権分立の原則があるので、行政は司法判断に立ち入ることができないといっているように読めますが。

                当然、法律に照らし合わせて判断することは行政にはできませし、してはなりませんよね
                しかし、指針の内容を司法に、判断してもらうことは可能なのではないでしょうか?

                そして、指摘しきれないグレーになる部分を事前に公開することにより、指針の安全性が増すことになります。

                >> 方法も含め、安全に運用するための基準作成対策義務を負わせるほうのが良いのではとも思います。

                >作成対策義務が生じる基準に、ガイドラインがほしいですね。

                えぇこれは濁点うちみす&”を”つけ忘れですすみません(^^;
                正確には..

                >方法も含め、安全に運用するための基準を作成、対策義務を負わるるほうのが良いのではとも思います。

                と書きたかったものです。失礼しました。

                なので運用基準を作成することには大賛成です。
                運用基準を作成し、一定の水準までセキュリティを向上するように促し、その反面、個人情報を扱うための義務を付与する必要があると考えます。

                >まともな対策というのが具体的に何なのか、あげられていないからではないでしょうか。

                それこそ、基準作成の意味がでるところでしょうね
                常に新しいツールが作られ、セキュリティホールも常に生まれています。

                作成時の注意事項、検出方法、運用方法、構築時の注意点、チェック機関の査定方法などそれぞれ大量のノウハウがあるでしょう
                どこまでできるのか?
                商売ねたにもなりそうな事ですから、どこまでスキル所持者が協力してもらえるのか?

                ってことになりますが、何も無い今より少しはましになるかもしれません

                すくなくとも、善玉ハッカーの方針作成をするよりは意味のあるものとなると思うのです

                >対策の内容まで踏み込んだ意見はなかったんじゃないかな。
                商売ねたにすらなりそうですがら、わかってる人は躊躇したとか?(苦笑)
                親コメント
      • by Anonymous Coward on 2004年02月17日 19時58分 (#497617)
        >引っ込んでいてください。
        自分の言葉には忠実にありたいものですね :-)
        親コメント
      • セキュリティホールmemoのMLに何か言いたいなら
        こんなところで言わず向こうで言えばいいのに。

ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家

処理中...