パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ACCS個人情報流出事件でACCS側のインタビュー」記事へのコメント

  • 法的解釈以前に・・・ (スコア:5, すばらしい洞察)

    by KAMUI (3084) on 2004年03月20日 0時00分 (#517832) 日記
    個人情報を扱いながらその流出を招いた
    「道義的」責任についてはどう思ってるのかね?>久保田くん

    ガチガチのセキュリティをかけているごく一部の上場企業以外は、どこも個人情報を扱うことが困難になるのではないか
    個人情報を扱うからこそ,セキュリティが必要になるのだと
    思ってたんだけど,君の世界では違ってるんですか?>久保田くん
    • by cassandro (6035) on 2004年03月20日 0時41分 (#517871)
       「上場企業」なんて言っている時点で終わりの様な気がします。

       セキュリティ対策は、実施するエンジニアについても、実施させる経営陣についても、属人的な性格が強いもの。技術があって、経営陣が馬鹿でなくて、少々のお金があれば、個人情報をばらまくなんて大恥を掻く事がないセキュリティ対策は施せます。

       逆に図体がでかい方が色々危険だと思いますね。小さくて堅い所と同じだけの事を上場企業がやろうとすれば、とんでもない金が掛かります。
      親コメント
      • by Anonymous Coward on 2004年03月20日 2時46分 (#517930)
        一見正しい感じもするが違う気もする。

        ここはオタクの集まりなのでそう言えるけど、
        一般からすればコンピュータは難解なもので理解
        しがたいものですね。

        どんなに経営者がタコであっても上場企業の金のある所なら、
        もしかすると大丈夫さって事になるのではないでしょうかね。

        逆に金がなくても
        弱点を理解しそれに合わせて(設定を含めて)対策してればでしょうけど。
        こういうのができる人ってここのオタクの一部か技術者かでしょ。

        #どんなマシーンであれ設定ができ監理できる人間を用意できる所って
        #それ程多く無いのでは?
        #ガチガチのセキュリティーで多くのサイトが排除されたら、
        #雇用促進につながるのでいいじゃないでしょうかね。
        #水も金で買う時代なんだし。セキュリティーも安くないと。
        親コメント
        • by Li Luxing (7797) on 2004年03月20日 3時16分 (#517944)
          >ここはオタクの集まりなのでそう言えるけど、
          >一般からすればコンピュータは難解なもので理解
          >しがたいものですね。

           残念ながらセキュリティーを固めると言う点においては一般の人でも
          理解できるものです。
           理解している人が特殊な能力を有していると思っているのは
          理解する努力を怠っている人間の言い訳です。

           ちょっと大きな書店に行けばどれを買って良い分からない位に
          書籍が販売されています。
           何も車輪の再発明のような事を求めているわけではないのです。

           ましてや、今回の問題の背景にはセキュリティの甘さについて
          既に指摘をされていたという背景があります。
           決して、できるはずのない事をしていなかったという訳ではない
          と思います。
          --
          李 露星
          親コメント
          • by Anonymous Coward on 2004年03月20日 3時29分 (#517945)
            > 残念ながらセキュリティーを固めると言う点においては一般の人でも
            >理解できるものです。
            > 理解している人が特殊な能力を有していると思っているのは
            >理解する努力を怠っている人間の言い訳です。

            コンピュータを取り扱う全ての人がプログラムの中身まで把握し、
            常に脆弱性がないのかチェックするということは現実的ではないでしょう。
            理解する努力を怠っていると、そこまで言えるのか大いに疑問です。

            > ちょっと大きな書店に行けばどれを買って良い分からない位に
            >書籍が販売されています。
            > 何も車輪の再発明のような事を求めているわけではないのです。

            「どれを買って良いか分からない」と自分でも自覚していながら、
            他人に対しては理解する努力を要求するというのは厚かましくないですか?

            > ましてや、今回の問題の背景にはセキュリティの甘さについて
            >既に指摘をされていたという背景があります。
            > 決して、できるはずのない事をしていなかったという訳ではない
            >と思います。

            嘘言って批判の材料にしちゃいけません。
            officeは事前に脆弱性を指摘する前に不正侵入し、情報を盗み、
            侵入方法と盗んだ情報を公開し、その後にACCSに指摘したのです。
            事実はきちんと把握してから意見を述べたほうがよろしいかと思います。

            なお、ACCSの過失が全くないとは言えないですが、それをofficeがやった
            行為の正当化をする理由には全くなりません。
            親コメント
            • > コンピュータを取り扱う全ての人がプログラムの中身まで把握し、

              そんな必要はありません。管理者もしくはそれに委任された人がわかってりゃOK。

              > 常に脆弱性がないのかチェックするということは現実的ではないでしょう。

              現実的ですよ。つうかそれくらいやってもらわんと困る。
              解る奴雇ってなくても年に一回外注でペネトレするだけでも充分だろ。LACとかINSIとか。いろんなSIerでもペネトレのサービスあるみたいだし。


              > 理解する努力を怠っていると、そこまで言えるのか大いに疑問です。

              というわけで、管理はガタガタだったと思
              • >> 「どれを買って良いか分からない」と自分でも自覚していながら、
                >
                >数のこと言ってるだけじゃないかな。

                 数の事を言っているだけです。
                --
                李 露星
                親コメント
              • >次にスクリプトの提供者であるファーストサーバがちゃんとメンテしたり情報を流してなかった。

                そういったふざけた所のモノを使って、自分のサービスを
                提供していたんだろ?

                # 欠陥車問題も、欠陥部品を製造した別会社の問題であって、その
                # 車のメーカの問題ではないというなら、メーカも結構楽になる
                # だろうね。
                親コメント
              • >> officeは事前に脆弱性を指摘する前に不正侵入し、情報を盗み、
                >嘘言って批判の材料にしちゃいけません。

                どこが嘘だといっているのですか?

                >少なくともファーストサーバには通知が行ってました。
                >そこで脆弱性情報が止まっていたのはファーストの責任でACCSのせいじゃないってだけ。
                >事実はきちんと把握してから意見を述べたほうがよろしいかと思います。

                あなたの指摘の中では、
          • 本を読んで理解出来れば苦労はないと思います。

            コンピュータの本には沢山の専門用語が並びます。
            最近の高校では情報の授業があるので今後は期待できますが
            それより前の人間に果たして読んで分かる内容でしょうか?

            それと少なからず書籍に書
            • by Li Luxing (7797) on 2004年03月20日 9時03分 (#517998)
              >最近の高校では情報の授業があるので今後は期待できますが
              >それより前の人間に果たして読んで分かる内容でしょうか?

               分からなきゃおかしい。
               予備知識がある人間よりも理解するのが遅いというのは仕方がない事ですが、
              扱う事柄の専門用語が出てきただけで理解する努力を放棄するようでは、
              一体今まで何をしてきたのかと問いたくなります。
              (趣味や遊びならばそれでも充分構わないと思います)

               子供の頃、分からない言葉が出たときは辞書を引けと習いませんでしたか?
               大人になっても同じです。
              --
              李 露星
              親コメント
              • >>最近の高校では情報の授業があるので今後は期待できますが
                >>それより前の人間に果たして読んで分かる内容でしょうか?

                進学校では、「情報の授業は、やったこと」にして、
                数学や英語に潰される運命にあるようです。

                >分からなきゃおかしい。

                自分には、わからないんだと蓋を閉じる人が多いのでは?

                > 予備知識がある人間よりも理解するのが遅いというのは仕方がない事ですが、
                >扱う事柄の専門用語が
              • 専門用語で思考停止ってのと同様に、
                (簿記以外の)数学が出たとたんに
                「あー、数学はだめ」
                とかおっしゃるやからがよくいます。
                そして彼らはそれをなぜか誇らしげに言うのは
                何故なんでしょう。
              • >情報処理業界(広い意味で)って、趣味がプログラミングのオタクか、
                >趣味が遊びで試験は一夜漬けという人で成り立っている気がします。
                >稀に変わり者がいるという程度なんでしょうね。
                 それは議論のすり替え。「仕事としてやっているのだから、“専門用語が出てきただけで理解する努力を放棄”するな。趣味や遊び(でやっていることならば、努力しなくても)十分構わない」でしょ?
                 
                --
                Foot to the Home
                変なもの部 [slashdot.jp]
                親コメント
              • >情報処理業界(広い意味で)って、趣味がプログラミングのオタクか、
                >趣味が遊びで試験は一夜漬けという人で成り立っている気がします。

                気のせいです。

                仕事以外ではプログラムなんてやらない人も多いですし、仕事=プログラムではない人間なんて山程いますが?
                親コメント
              • 変なところだけ反応
                情報処理業界(広い意味で)って、趣味がプログラミングのオタクか、
                趣味が遊びで試験は一夜漬けという人で成り立っている気がします。
                稀に変わり者がいるという程度なんでしょうね。

                自分がそうだからそういう人のいる業界に行こうと思って飛び込んだら、
                自分が変わり者だったよ!(しまじろうのAA略)

                セキュリティのキモは
                ・どれだけ事前にビビリ倒すかという妄想力
                ・妄想を膨らませるための情報収集力
                ・びびった内容に優先度を付けて対策を可能なところまでで打ち切る決断力
                だと思っているので、技術知識とは別に関係ないと思います。
                管理職的知識というか。
                親コメント
              • > そして彼らはそれをなぜか誇らしげに言うのは何故なんでしょう。

                数学が出来ない者が上位にある社会だから。

                数学が出来る、あるいはその他の理系的ジャンルの能力が高い事で、
                この社会で高い評価を受
            • 応用までやる必要なんてあるんかね。
              危険を認識し、しかるべき専門家に対策させる。
              あとは、対策するのにどの程度の金がかかるか認識する。
              それだけでいいんじゃないでしょうか。
              金がないと言っているところの多くは、本当にないのではなく最初の資金確保の時点で計算に入れていないだけ。

              テレビを見るのにテレビの中身まで知る必要はない。
              しかし、テレビの本体の他にアンテナを立てる必要があることは知ってないといけない。
              それを知らずにテレビだけ買ってきて「アンテナも要るんかい。なんて金がかかるんだ。めんどくさいんだ」と騒いでるだけ。
              親コメント
              • >危険を認識し、しかるべき専門家に対策させる。
                >あとは、対策するのにどの程度の金がかかるか認識する。

                チミチミ、大事なことを見逃していないかい?
                巷では既に似非専門家が跋扈しているのだから、その専門家を
                見定める力を身につけなきゃならんのよ。そのためのコストを
                頭に入れているかい?

                >テレビを見るのにテレビの中身まで知る必要はない。

                御意。だけどよりよい費用対効果を求めるなら、中身にどんな
                技術が投入されているか知る方がいいだろう。似たような技術
                を使っているより安い製品があれば当然選択肢に入るだろ
              • >巷では既に似非専門家が跋扈しているのだから、その専門家を
                >見定める力を身につけなきゃならんのよ。そのためのコストを
                >頭に入れているかい?

                弁護士だって医者だってヤブとそうでないのがいるわけで、
                そのへんを見極めたいならどの分野でも普通に要求される能力でしょう。
                #少しでも判断しやすくするために制度を充実させろって話はあるにしても

                >だけどよりよい費用対効果を求めるなら、中身にどんな
                >技術が投入されているか知る方がいいだろう。
                >また、ユーザが賢くないとサービス提供側も成長しない。

                確かに。
                しかし、全員にそれを要求するのは無理でしょ。
                結局、自分が必要なだけ知ればいいということになる(ならざるを得ない)。
                不安ならとことん勉強すればいい。
                自分が頼んだ専門家が信頼できるなら最悪(自分に責任があることを認識した上で)丸投げでもかまわない。
                ひょっとしたら丸投げした相手にぼられてるのかもしんないけど、
                それが嫌ならやっぱりがんばって勉強するしかない。
                #もしくは別の人に判断してもらう(そしてその人をさらに別の人に…(ぉ))
                親コメント
        • by Joga (8113) on 2004年03月20日 22時18分 (#518273)
          > どんなに経営者がタコであっても上場企業の金のある所なら、
          > もしかすると大丈夫さって事になるのではないでしょうかね。

          もしかすると大丈夫さ、と思うのはタコな経営者。
          技術的なことをよくわからなくても「対策しないといけないんじゃないか」
          と思わないと一流の経営者とはいえない。
          そのあたりのことをわかってないと、上場企業の経営者としては失格なのでは?
          親コメント
        • > 一般からすればコンピュータは難解なもので理解
          > しがたいものですね。

          ACCSって、コンピュータ業界の法人ですよ~。
          その時点でよその業界と同じに扱われることを期待するのはおかしいと
    • ただ、そのことが、法的責任を負うほどの注意義務違反がACCSにあったことにつながるのかはわからない。少なくとも、私はそこまでの注意義務違反はないのではないかと思ってる。もし注意義務違反だというような認定が下って、(ACCSの被害者に対する)損害賠償が成立するというようなことになれば
      漏れておいて注意義務違反でないことが「前提」であり、さらに認定が下らないとそのことを認めないのかい?と。その程度の認識じゃないんですか? > 「道義的」責任

      そもそも、そんな発言する人がエラいとこが運営する「著作権・プライバシー相談室」だなんて…
      親コメント
    • 久保田もなんでこういう余計なことを言うんだろう。
      何かにつけてトンデモ発言を繰り返す理事というのは
      ACCA内部では問題にならんのだろうか?
      親コメント
    • 俺は個人サイトしか運営してないし、他人様の大切な個人情報を扱わないよう注意しているが、それでも、(他人の個人情報の責任を追う事に比べればはるかにどーでも良い)自分の情報を守るために、BASIC認証ぐらいは(かけるべきところに)かけている。
      • >BASIC認証ぐらいは(かけるべきところに)かけている。
        それは的はずれ。

        今回のセキュリティホールは、「CGIでサーバー上の任意のファイルを読み出せる」というもの。

        護るべき情報を、認証によってWEBサーバから直接読めないようにしていたとしても、
        認証していない、誰にでも見れる所にあるCGIから
        そのファイルを読み出されたらおしまいだよ。
        親コメント
        • んーと、人の作った全機能ひとまとめのフリースクリプトを使う場合、
          管理者向け機能を全部取っ払ったモノを通常の領域に置き、
          同スクリプトの管理者機能を残したモノを認証かかる領域におきます。

          ただこれだけの事で、誰でも見れるところからマズイ事される可能
          • 管理者向け機能を全部取っ払ったモノを通常の領域に置き、 同スクリプトの管理者機能を残したモノを認証かかる領域におきます。
            ただこれだけの事で、誰でも見れるところからマズイ事される可能性は無いわけで、
            君のような無知に無自覚な馬鹿は氏んでくれませんか?

            通常の機能のCGIから漏れたという事実をまず知りなさい。

    • そうすると、こういう事にもなりかねないな。

       ガチガチのセキュリティをかけているごく一部の上場企業以外は
       個人情報を扱えないようになるが?
         ↓
       だから、個人情報を扱うためにはガチガチのセキュリティなんて
       ものは必要がないんだよ。
         ↓
       YahooBBだってガチガチのセキュリティを設けていなかったが、
       我々ACCS同様そこまでの注意義務違反なんてものは無かったはず。

      なんだか無理矢理ですが。

      他コメント
    • 久保田君って意識が設立時の私的機関ぽいところから全く変わってない気がする。設立時に直接ACCSに乗り込んで話してきた連中から聞いた話なのでかなりうろ覚えだけど、「相変わらず」と言いたくなるぐらい変わってないと言うか・・・。

Stay hungry, Stay foolish. -- Steven Paul Jobs

処理中...