アカウント名:
パスワード:
ガチガチのセキュリティをかけているごく一部の上場企業以外は、どこも個人情報を扱うことが困難になるのではないか
情報処理業界(広い意味で)って、趣味がプログラミングのオタクか、 趣味が遊びで試験は一夜漬けという人で成り立っている気がします。 稀に変わり者がいるという程度なんでしょうね。
ただ、そのことが、法的責任を負うほどの注意義務違反がACCSにあったことにつながるのかはわからない。少なくとも、私はそこまでの注意義務違反はないのではないかと思ってる。もし注意義務違反だというような認定が下って、(ACCSの被害者に対する)損害賠償が成立するというようなことになれば
管理者向け機能を全部取っ払ったモノを通常の領域に置き、 同スクリプトの管理者機能を残したモノを認証かかる領域におきます。 ただこれだけの事で、誰でも見れるところからマズイ事される可能性は無いわけで、
通常の機能のCGIから漏れたという事実をまず知りなさい。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日々是ハック也 -- あるハードコアバイナリアン
法的解釈以前に・・・ (スコア:5, すばらしい洞察)
「道義的」責任についてはどう思ってるのかね?>久保田くん
個人情報を扱うからこそ,セキュリティが必要になるのだと
思ってたんだけど,君の世界では違ってるんですか?>久保田くん
Re:法的解釈以前に・・・ (スコア:2, すばらしい洞察)
セキュリティ対策は、実施するエンジニアについても、実施させる経営陣についても、属人的な性格が強いもの。技術があって、経営陣が馬鹿でなくて、少々のお金があれば、個人情報をばらまくなんて大恥を掻く事がないセキュリティ対策は施せます。
逆に図体がでかい方が色々危険だと思いますね。小さくて堅い所と同じだけの事を上場企業がやろうとすれば、とんでもない金が掛かります。
Re:法的解釈以前に・・・ (スコア:1, すばらしい洞察)
ここはオタクの集まりなのでそう言えるけど、
一般からすればコンピュータは難解なもので理解
しがたいものですね。
どんなに経営者がタコであっても上場企業の金のある所なら、
もしかすると大丈夫さって事になるのではないでしょうかね。
逆に金がなくても
弱点を理解しそれに合わせて(設定を含めて)対策してればでしょうけど。
こういうのができる人ってここのオタクの一部か技術者かでしょ。
#どんなマシーンであれ設定ができ監理できる人間を用意できる所って
#それ程多く無いのでは?
#ガチガチのセキュリティーで多くのサイトが排除されたら、
#雇用促進につながるのでいいじゃないでしょうかね。
#水も金で買う時代なんだし。セキュリティーも安くないと。
Re:法的解釈以前に・・・ (スコア:3, すばらしい洞察)
>一般からすればコンピュータは難解なもので理解
>しがたいものですね。
残念ながらセキュリティーを固めると言う点においては一般の人でも
理解できるものです。
理解している人が特殊な能力を有していると思っているのは
理解する努力を怠っている人間の言い訳です。
ちょっと大きな書店に行けばどれを買って良い分からない位に
書籍が販売されています。
何も車輪の再発明のような事を求めているわけではないのです。
ましてや、今回の問題の背景にはセキュリティの甘さについて
既に指摘をされていたという背景があります。
決して、できるはずのない事をしていなかったという訳ではない
と思います。
李 露星
Re:法的解釈以前に・・・ (スコア:1, すばらしい洞察)
>理解できるものです。
> 理解している人が特殊な能力を有していると思っているのは
>理解する努力を怠っている人間の言い訳です。
コンピュータを取り扱う全ての人がプログラムの中身まで把握し、
常に脆弱性がないのかチェックするということは現実的ではないでしょう。
理解する努力を怠っていると、そこまで言えるのか大いに疑問です。
> ちょっと大きな書店に行けばどれを買って良い分からない位に
>書籍が販売されています。
> 何も車輪の再発明のような事を求めているわけではないのです。
「どれを買って良いか分からない」と自分でも自覚していながら、
他人に対しては理解する努力を要求するというのは厚かましくないですか?
> ましてや、今回の問題の背景にはセキュリティの甘さについて
>既に指摘をされていたという背景があります。
> 決して、できるはずのない事をしていなかったという訳ではない
>と思います。
嘘言って批判の材料にしちゃいけません。
officeは事前に脆弱性を指摘する前に不正侵入し、情報を盗み、
侵入方法と盗んだ情報を公開し、その後にACCSに指摘したのです。
事実はきちんと把握してから意見を述べたほうがよろしいかと思います。
なお、ACCSの過失が全くないとは言えないですが、それをofficeがやった
行為の正当化をする理由には全くなりません。
Re:法的解釈以前に・・・ (スコア:0)
そんな必要はありません。管理者もしくはそれに委任された人がわかってりゃOK。
> 常に脆弱性がないのかチェックするということは現実的ではないでしょう。
現実的ですよ。つうかそれくらいやってもらわんと困る。
解る奴雇ってなくても年に一回外注でペネトレするだけでも充分だろ。LACとかINSIとか。いろんなSIerでもペネトレのサービスあるみたいだし。
> 理解する努力を怠っていると、そこまで言えるのか大いに疑問です。
というわけで、管理はガタガタだったと思
Re:法的解釈以前に・・・ (スコア:1)
>
>数のこと言ってるだけじゃないかな。
数の事を言っているだけです。
李 露星
Re:法的解釈以前に・・・ (スコア:1)
そういったふざけた所のモノを使って、自分のサービスを
提供していたんだろ?
# 欠陥車問題も、欠陥部品を製造した別会社の問題であって、その
# 車のメーカの問題ではないというなら、メーカも結構楽になる
# だろうね。
Re:法的解釈以前に・・・ (スコア:0)
>嘘言って批判の材料にしちゃいけません。
どこが嘘だといっているのですか?
>少なくともファーストサーバには通知が行ってました。
>そこで脆弱性情報が止まっていたのはファーストの責任でACCSのせいじゃないってだけ。
>事実はきちんと把握してから意見を述べたほうがよろしいかと思います。
あなたの指摘の中では、
Re:法的解釈以前に・・・ (スコア:0)
コンピュータの本には沢山の専門用語が並びます。
最近の高校では情報の授業があるので今後は期待できますが
それより前の人間に果たして読んで分かる内容でしょうか?
それと少なからず書籍に書
Re:何も一冊の本だけで理解しろとは言わない。 (スコア:3, すばらしい洞察)
>それより前の人間に果たして読んで分かる内容でしょうか?
分からなきゃおかしい。
予備知識がある人間よりも理解するのが遅いというのは仕方がない事ですが、
扱う事柄の専門用語が出てきただけで理解する努力を放棄するようでは、
一体今まで何をしてきたのかと問いたくなります。
(趣味や遊びならばそれでも充分構わないと思います)
子供の頃、分からない言葉が出たときは辞書を引けと習いませんでしたか?
大人になっても同じです。
李 露星
Re:何も一冊の本だけで理解しろとは言わない。 (スコア:0)
>>それより前の人間に果たして読んで分かる内容でしょうか?
進学校では、「情報の授業は、やったこと」にして、
数学や英語に潰される運命にあるようです。
>分からなきゃおかしい。
自分には、わからないんだと蓋を閉じる人が多いのでは?
> 予備知識がある人間よりも理解するのが遅いというのは仕方がない事ですが、
>扱う事柄の専門用語が
数学とか(オフトピ) (スコア:0)
(簿記以外の)数学が出たとたんに
「あー、数学はだめ」
とかおっしゃるやからがよくいます。
そして彼らはそれをなぜか誇らしげに言うのは
何故なんでしょう。
Re:何も一冊の本だけで理解しろとは言わない。 (スコア:2, すばらしい洞察)
>趣味が遊びで試験は一夜漬けという人で成り立っている気がします。
>稀に変わり者がいるという程度なんでしょうね。
それは議論のすり替え。「仕事としてやっているのだから、“専門用語が出てきただけで理解する努力を放棄”するな。趣味や遊び(でやっていることならば、努力しなくても)十分構わない」でしょ?
Foot to the Home
変なもの部 [slashdot.jp]
Re:何も一冊の本だけで理解しろとは言わない。 (スコア:1)
>趣味が遊びで試験は一夜漬けという人で成り立っている気がします。
気のせいです。
仕事以外ではプログラムなんてやらない人も多いですし、仕事=プログラムではない人間なんて山程いますが?
Re:何も一冊の本だけで理解しろとは言わない。 (スコア:2, すばらしい洞察)
自分がそうだからそういう人のいる業界に行こうと思って飛び込んだら、
自分が変わり者だったよ!(しまじろうのAA略)
セキュリティのキモは
・どれだけ事前にビビリ倒すかという妄想力
・妄想を膨らませるための情報収集力
・びびった内容に優先度を付けて対策を可能なところまでで打ち切る決断力
だと思っているので、技術知識とは別に関係ないと思います。
管理職的知識というか。
Re:数学とか(オフトピ) (スコア:0)
数学が出来ない者が上位にある社会だから。
数学が出来る、あるいはその他の理系的ジャンルの能力が高い事で、
この社会で高い評価を受
Re:法的解釈以前に・・・ (スコア:1)
危険を認識し、しかるべき専門家に対策させる。
あとは、対策するのにどの程度の金がかかるか認識する。
それだけでいいんじゃないでしょうか。
金がないと言っているところの多くは、本当にないのではなく最初の資金確保の時点で計算に入れていないだけ。
テレビを見るのにテレビの中身まで知る必要はない。
しかし、テレビの本体の他にアンテナを立てる必要があることは知ってないといけない。
それを知らずにテレビだけ買ってきて「アンテナも要るんかい。なんて金がかかるんだ。めんどくさいんだ」と騒いでるだけ。
Re:法的解釈以前に・・・ (スコア:0)
>あとは、対策するのにどの程度の金がかかるか認識する。
チミチミ、大事なことを見逃していないかい?
巷では既に似非専門家が跋扈しているのだから、その専門家を
見定める力を身につけなきゃならんのよ。そのためのコストを
頭に入れているかい?
>テレビを見るのにテレビの中身まで知る必要はない。
御意。だけどよりよい費用対効果を求めるなら、中身にどんな
技術が投入されているか知る方がいいだろう。似たような技術
を使っているより安い製品があれば当然選択肢に入るだろ
Re:法的解釈以前に・・・ (スコア:1)
>見定める力を身につけなきゃならんのよ。そのためのコストを
>頭に入れているかい?
弁護士だって医者だってヤブとそうでないのがいるわけで、
そのへんを見極めたいならどの分野でも普通に要求される能力でしょう。
#少しでも判断しやすくするために制度を充実させろって話はあるにしても
>だけどよりよい費用対効果を求めるなら、中身にどんな
>技術が投入されているか知る方がいいだろう。
>また、ユーザが賢くないとサービス提供側も成長しない。
確かに。
しかし、全員にそれを要求するのは無理でしょ。
結局、自分が必要なだけ知ればいいということになる(ならざるを得ない)。
不安ならとことん勉強すればいい。
自分が頼んだ専門家が信頼できるなら最悪(自分に責任があることを認識した上で)丸投げでもかまわない。
ひょっとしたら丸投げした相手にぼられてるのかもしんないけど、
それが嫌ならやっぱりがんばって勉強するしかない。
#もしくは別の人に判断してもらう(そしてその人をさらに別の人に…(ぉ))
Re:法的解釈以前に・・・ (スコア:1)
> もしかすると大丈夫さって事になるのではないでしょうかね。
もしかすると大丈夫さ、と思うのはタコな経営者。
技術的なことをよくわからなくても「対策しないといけないんじゃないか」
と思わないと一流の経営者とはいえない。
そのあたりのことをわかってないと、上場企業の経営者としては失格なのでは?
Re:法的解釈以前に・・・ (スコア:0)
> しがたいものですね。
ACCSって、コンピュータ業界の法人ですよ~。
その時点でよその業界と同じに扱われることを期待するのはおかしいと
Re:法的解釈以前に・・・ (スコア:1)
そもそも、そんな発言する人がエラいとこが運営する「著作権・プライバシー相談室」だなんて…
Re:法的解釈以前に・・・ (スコア:1)
何かにつけてトンデモ発言を繰り返す理事というのは
ACCA内部では問題にならんのだろうか?
Re:法的解釈以前に・・・ (スコア:2, おもしろおかしい)
久保田氏に (余計なもの) モデレートをプレゼントしたいところですね。んー、それとも (フレームのもと) がちょうどいいのか。
Re:法的解釈以前に・・・ (スコア:0)
ACCA [acca.ne.jp]はこの際関係ないと思いますけど………
#so-net@ACCAー>BフレなのでAC(ぇ
Re:法的解釈以前に・・・ (スコア:0)
Re:法的解釈以前に・・・ (スコア:1)
それは的はずれ。
今回のセキュリティホールは、「CGIでサーバー上の任意のファイルを読み出せる」というもの。
護るべき情報を、認証によってWEBサーバから直接読めないようにしていたとしても、
認証していない、誰にでも見れる所にあるCGIから
そのファイルを読み出されたらおしまいだよ。
Re:法的解釈以前に・・・ (スコア:0)
管理者向け機能を全部取っ払ったモノを通常の領域に置き、
同スクリプトの管理者機能を残したモノを認証かかる領域におきます。
ただこれだけの事で、誰でも見れるところからマズイ事される可能
Re:法的解釈以前に・・・ (スコア:0)
通常の機能のCGIから漏れたという事実をまず知りなさい。
Re:法的解釈以前に・・・ (スコア:0)
# わからねぇヤツは黙っとけな気分
Re:法的解釈以前に・・・ (スコア:0)
ガチガチのセキュリティをかけているごく一部の上場企業以外は
個人情報を扱えないようになるが?
↓
だから、個人情報を扱うためにはガチガチのセキュリティなんて
ものは必要がないんだよ。
↓
YahooBBだってガチガチのセキュリティを設けていなかったが、
我々ACCS同様そこまでの注意義務違反なんてものは無かったはず。
なんだか無理矢理ですが。
他コメント
Re:法的解釈以前に・・・ (スコア:0)