パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

経産省が『(善玉)ハッカー』の指針作成へ」記事へのコメント

  •  ガイドラインを遵守したとして、ほかに法的に責任を問われる行動を行っていない場合に、刑事・民事両方の責任を問われないことが保証されないと、結局うまく機能しないと思われます。
     匿名での報告をどう扱うかも問題でしょう。特に、アタックの結果としてシステムに影響を与えたり、機密情報が漏洩していた場合の取り扱いは難しそうです。
    • by Anonymous Coward
      批評家などのwebや記事で個人や団体を批評するという仕事でも、
      どのようにガイドラインを作ろうとも、名誉毀損や威力業務妨害
      などで訴えられる可能性は常にあります
      そりゃ、ガイドラインがないよりはあったほうが仕事がしやすい
      とは思いますが、「ガイドラインがあったとしても訴えられる
      可能性はあるだろ ガクガクブルブル」とビビっているような人とか
      河合容疑者のように他人とのコミュニケーションをとる能力に
      欠けている方は、そうい
      • 自社のサイトの脆弱性チェックは金出してちゃんとやれって事でしょうね

        しかし、この指針事態いるのでしょうか?
        訴えられる可能性があるなら、他人のサイトのセキュリティチェックなんて事はリスクが高くてやれないと思うのですが...

        こんな指針を出すくらいなら、情報漏えいした側の罰則規定を厳しく設けて
        個人情報を扱うサイトのセキュリティチェックは、しっかりやるというのは当たり前という風潮にしたほうがましだと思います

        気軽にサイトを立ち上げられなくなると思
        • >しかし、この指針事態いるのでしょうか?

          あればあってで便利なのでは?
          セキュリティチェックする方としては安全地帯が解るのだし、管理者からしたら許容範囲を超えている奴ってのが一目瞭然となる訳だから。

          逆に言えば、きちんとした契約無しでの勝手チェックの限界の規定になるのでしょうけど、そもそもそれ以上の事をする理由って興味本とか正義感を感じたいが為の趣味とか以外無いだろうから、適度な閾値を用意してくれる事自体は良いと思うけど。

          >訴えられる可能性があるなら、他人のサイトのセキュリティチェックなんて事はリスクが高くてやれな

          • >責任負担の意思が無い人は、最初からセキュリティチェックなぞしない方が良いでは?

            まぁ有ろうと無かろうと、他人のサイトのセキュリティチェックを勝手にしかも無料でやるような事は私には考えられないことです
            負担だけで利益がないのであれば、放置という考えは普通じゃないのでしょうか?

            そして、法的にNGとはならない指針をだすならまだしも
            元記事> 経産省は「あくまで法解釈は司法の役割で、(指針が)100%違法でないと保証するものではない」

            つまり法的にNGとならないことを司法には確認しないということです。
            この指針どおりにやってもつかまる可能性はあ
            • そして、法的にNGとはならない指針をだすならまだしも
              元記事> 経産省は「あくまで法解釈は司法の役割で、(指針が)100%違法でないと保証するものではない」
              つまり法的にNGとならないことを司法には確認しないということです。
              なぜ「保証」が「確認」に変化するの?
              三権分立の原則があるので、行政は司法判断に立ち入ることができないといっているように読めますが。
              このような指針をだすのであれば、年々増加するセキュリティホールへの対策、チェック方法も含め、安全に運用するための基準作成対策義務を負わせるほうのが良いのではとも思います。
              作成対策義務が生じる基準に、ガイドラインがほしいですね。
              「セキュリティ専門家」な方々は、この手のガイドラインの事例作りには事欠かないはずですから、貢献できるはずですし。
              会社がつぶれるほどの犠牲者がでないとまともに対策する風潮ってできないのでしょうか?
              まともな対策というのが具体的に何なのか、あげられていないからではないでしょうか。
              前に /.-J で管理者がどうあるべきかタレコんでみた [srad.jp]けれど、対策の内容まで踏み込んだ意見はなかったんじゃないかな。
              親コメント
              • >三権分立の原則があるので、行政は司法判断に立ち入ることができないといっているように読めますが。

                当然、法律に照らし合わせて判断することは行政にはできませし、してはなりませんよね
                しかし、指針の内容を司法に、判断してもらうことは可能なのではないでしょうか?

                そして、指摘しきれないグレーになる部分を事前に公開することにより、指針の安全性が増すことになります。

                >> 方法も含め、安全に運用するための基準作成対策義務を負わせるほうのが良いのではとも思います。

                >作成対策義務が生じる基準に、ガイドラインがほしいですね。

                えぇこれは濁点うちみす&”を”つけ忘れですすみません(^^;
                正確には..

                >方法も含め、安全に運用するための基準を作成、対策義務を負わるるほうのが良いのではとも思います。

                と書きたかったものです。失礼しました。

                なので運用基準を作成することには大賛成です。
                運用基準を作成し、一定の水準までセキュリティを向上するように促し、その反面、個人情報を扱うための義務を付与する必要があると考えます。

                >まともな対策というのが具体的に何なのか、あげられていないからではないでしょうか。

                それこそ、基準作成の意味がでるところでしょうね
                常に新しいツールが作られ、セキュリティホールも常に生まれています。

                作成時の注意事項、検出方法、運用方法、構築時の注意点、チェック機関の査定方法などそれぞれ大量のノウハウがあるでしょう
                どこまでできるのか?
                商売ねたにもなりそうな事ですから、どこまでスキル所持者が協力してもらえるのか?

                ってことになりますが、何も無い今より少しはましになるかもしれません

                すくなくとも、善玉ハッカーの方針作成をするよりは意味のあるものとなると思うのです

                >対策の内容まで踏み込んだ意見はなかったんじゃないかな。
                商売ねたにすらなりそうですがら、わかってる人は躊躇したとか?(苦笑)
                親コメント

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

処理中...