アカウント名:
パスワード:
セキュリティホールを善意から告発した(判定をどうするかは、 疑わしきは罰せず、方式でやらざるをえないだろう)場合は 罪に問わないことを明文化する必要があるんじゃないかな。 他の人も書いているけれど、口で言ったところで、それまで問題が 発生していなければ、 「小賢しい奴がなにか五月蝿いこと言っている」 程度の対応しかしてもらえないだろうし。(学校だしねぇ) もう「実際にできる」ことを実証するしかないというところまで 思い詰めたのかもしれない。 #その辺りの事情ももう少し知りたいのでI.D. 善意の告発者の正当な取扱も、ソーシャルセキュリティの範疇では なかろうか。
1.使用者および関係者がセキュリティ監査を実施する旨を管理者に対し事前に届けた場合、それを拒否することはできない。
いや拒否できないとまずいだろ? 相手は犯罪者の可能性もあるんだよ? それでは状況的には裁判の被告が自分の個人情報がある検察のシステムのセキュリティ監査すら求められるじゃない。 今回の話で言えば生徒に監査をさせた場合に他人の成績表を見てしまった時の保障が取れない。 そのあたりを考えれば監査の要求は良いとしてその監査役は管理者側で決定できないと
それよりも必要なのは、監査の要求手順とかそんなものの方があると思うのだが。 元々攻撃容認と言うのは監査に応じないって事から肯定される場合があると言うだけで、何時でも肯定される訳では無いだろうし。
だからこそ「不正アクセスが重大な違法行為という生徒の認識が欠けていたことは残念」じゃないのかなぁ. 学校としては,実力行使に及ぶ前にするべき事があるということを,この機会を使って教えるべきでしょう.セキュリティの問題点に限らず,内部告発全般にとって,正しい手順を踏むことは告発者のみを守るために重要なことだし. その教育を怠って,単に生徒を警察に告発しておしまいにするようではダメ学校.さて,本件は?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
本気か?、北海道新聞よ (スコア:3, すばらしい洞察)
本気か?と思わず聞きたくなる意見ですな、これ。外部からの部外者の侵入じゃあるまいし、内部の人間が管理者に意見することもやるなってか?
Re:本気か?、北海道新聞よ (スコア:1)
セキュリティホールを善意から告発した(判定をどうするかは、
疑わしきは罰せず、方式でやらざるをえないだろう)場合は
罪に問わないことを明文化する必要があるんじゃないかな。
他の人も書いているけれど、口で言ったところで、それまで問題が
発生していなければ、
「小賢しい奴がなにか五月蝿いこと言っている」
程度の対応しかしてもらえないだろうし。(学校だしねぇ)
もう「実際にできる」ことを実証するしかないというところまで
思い詰めたのかもしれない。
#その辺りの事情ももう少し知りたいのでI.D.
善意の告発者の正当な取扱も、ソーシャルセキュリティの範疇では
なかろうか。
Re:本気か?、北海道新聞よ (スコア:2, すばらしい洞察)
セキュリティーホールを善意から告発する人がいなくなっちゃう。
情報の世界だけでなく、実社会のさまざまな場面で見て見ぬふり
を奨励しているようなものじゃないか。
善意の場合は賞賛されるべきと明示が必要ですね。
Re:本気か?、北海道新聞よ (スコア:3, すばらしい洞察)
つまり、侵入するという行為自体を処罰ないしは晒し者にすることにより、萎縮効果が生じて善意の侵入者(ホワイトハッカー)によるセキュリティホールの指摘がされなくなり、クラッカー天国になる。と。
正直、その指摘はあたりつつあるし、この問題はOffice氏事件の時にもっと真剣に討論されて、「不正アクセス防止法」の条文を変えて対処するべきだったと思いますが。
Re:本気か?、北海道新聞よ (スコア:1)
まぁ漏れたときの慰謝料が500円ではなく一人100万当たり前とかなら、どこでも本気で考えるのでしょうが...
ざっと考えられるのは..
1.使用者および関係者がセキュリティ監査を実施する旨を管理者に対し事前に届けた場合、それを拒否することはできない。ただし、準備期間として一定の期間をテストを遅延することが可能とする
なおその遅延期間は半年を超えない
2.申請窓口は使用者および関係者に必ず告知しなければならない
3.上記体制が整ってない場合は、管理者以外への情報の漏洩およびテスト以外での該当コンピューターの不正使用が見られず、問題発見時点で管理者に届けた場合に限りこれを違法としない
とでもしてくれれば少しは安心かもしれませんねぇ
今のままだとほんと、放置->大量漏洩とかが起きても不思議でなく..
すべてのネットワークが一定水準だったら今のままでも問題ないんだろうけど..
個人情報を扱うところに対しては、公的な強制監査機関でも設けるしかないんでしょうかねぇ~
天下り先できる?(苦笑
Re:本気か?、北海道新聞よ (スコア:1)
>>まぁ漏れたときの慰謝料が500円ではなく一人100万当たり前とかなら、どこでも本気で考えるのでしょうが...
最近、不良債権問題が一段落して閑になった金融庁が、今度は個人情報管理に目をつけた [yomiuri.co.jp]ようです。
つまり、金融機関の場合、個人情報漏洩で最悪トップの首が飛ぶようになった、というわけで、
今後、金融機関では、本気で対策とるようになるんじゃないんでしょうかね?
Re:本気か?、北海道新聞よ (スコア:1)
日本には罰則的慰謝料を課すということはしないので、高額になることはあまり無いんですよねぇ
不要な個人情報は維持費がかかる負債であるという考えが浸透してくれれば良いのですが、そこまで維持してないからこそ未だ資産という意識なのかもしれません
Re:本気か?、北海道新聞よ (スコア:0)
いや拒否できないとまずいだろ?
相手は犯罪者の可能性もあるんだよ?
それでは状況的には裁判の被告が自分の個人情報がある検察のシステムのセキュリティ監査すら求められるじゃない。
今回の話で言えば生徒に監査をさせた場合に他人の成績表を見てしまった時の保障が取れない。
そのあたりを考えれば監査の要求は良いとしてその監査役は管理者側で決定できないと
Re:本気か?、北海道新聞よ (スコア:1)
危険を予測しての連絡とかなら判りますが、「浸入」となるとそうとも言えないでしょう。
それに、悪意有る侵入者に「セキュリティの為」と言えば大丈夫と言うお墨付きを与えるのはヤバ過ぎると思うのですが・・・。
悪意有る侵入者は自分の用件にあるコンピュータを見付けるまで、「善意有るセキュリティチェック」をしていれば責任を問われないって事ですから。
それよりも必要なのは、監査の要求手順とかそんなものの方があると思うのだが。
元々攻撃容認と言うのは監査に応じないって事から肯定される場合があると言うだけで、何時でも肯定される訳では無いだろうし。
Re:本気か?、北海道新聞よ (スコア:0)
この中学生が今回の1件で何を学んだのかを是非追跡取材して欲しいですね。
あと、その後のこの学校のシステムに対する対応と、
Re:本気か?、北海道新聞よ (スコア:0)
Re:本気か?、北海道新聞よ (スコア:0)
馬鹿発見。事後に処罰しても失ったものは戻ってこないだろうが。頭悪いこと言うなよ。
Re:本気か?、北海道新聞よ (スコア:0)
現実に善意の指摘など訴訟リスクがあってできない以上、システムの穴は放っておかれる訳だし、素人の管理者がどうこうできるわけも無い。
それなら専門家による侵入実験を含む監査
Re:本気か?、北海道新聞よ (スコア:0)
相手がホワイトハッカーである証明が取れないのであればクラッカーと判断しないとセキュリティ上はまずかろう。
そうでないと自称ホワイトハッカー実はクラッカーだらけになるぞ。
性善説でノーガードが出来ないのと同様の理由で性善説で自称ホワイトハッカーも信用しては駄目。
犯罪者は大抵やっていないって言うもんだ。
Re:本気か?、北海道新聞よ (スコア:0)
で、誰が彼の行動を善意によるものだったのか判断するの?
officeこと河合一穂被告の行動は善意によるものだったのかあなたなら判断できますか?
できるならその判断は正しいと証明できますか?
Re:本気か?、北海道新聞よ (スコア:1)
Re:本気か?、北海道新聞よ (スコア:1, 興味深い)
印刷して見せるという実力行使以外に中学生が説得する話術や機会や雰囲気があったか?
また、自分が被害者になるという危険性が切迫した心境を生み出してもおかしくないかと
犯人はガキです、文字通り
中学生に、大人が期待し納得する弁論術なんてあるんでしょうか?
最初に言葉で何かしてくれるというのを期待できますか?
正直な所、学校ってのは管理者不在のネットワークがゴロゴロあるります
教員以外に専門の担当者を置く余裕なぞないから、誰か適当に兼任させます
兼任させられた先生なんて、大抵ちょっとパソコンに詳しいからとかいうレベルです
それ以前のケースも見ました
# MS-Wordで文字を打てて、ワードアートやフォントサイズ変えられるだけでも詳しいと言われたり、
# 理数系の先生だからコンピュータも強いでしょう?という滅茶苦茶な理由だったり、
# 例えば、中学なら技術家庭科の先生だったり数学の先生に白羽の矢が立つ
だから、
生徒「パッチ当ててないと、この攻撃ツール使えばサーバーの中身が見放題になっちゃいますよ?」
先生「えー、何言ってるのか解らない?忙しいから後でね(以降音沙汰なし、というか忙しいので放置決定)」
生徒「こういうヤバイ可能性があるか調べて良いですか?目の前で実演しますから、3分貰えれば結果はすぐわかりますよ?」
先生「ダメに決まっているだろ?(生徒の癖に何を生意気な事を言ってやがる・・・)」
とかそんなんですよ?
なにせ数年前に上記の事を実際に言われて体験してますから
そんな対応されていくうちに管理側に失望して、こういった強硬手段に出るなんてそう考えるの難くないです
ガキだから、歯止め利かないし、事の重大さなんて理解できてない事さえもある
悪けりゃ、法律に引っかかる事さえ解ってない
# ACCS事件も似たような動機だったかと記憶しています。
# 大の大人がやった上に、そのシビアな個人情報を見せた先が外部の第三者だったのは致命的に大馬鹿者だったと思いますけど
セキュリティパッチ適用は流石に今時なら少しはマシです(そう思いたい)が、その時点ではボロボロでした
SUSとか自動更新の仕組みを用意すればよいのでしょうが、ヘタすると納入業者さえSUSって何?とかそういうレベルだったりしましたから
ちなみに自分がやった解決策は
いわゆる優秀な生徒を演じて管理担当の先生に売り込みして
管理者アクセスゲット>各教室のPCへ回りパッチ出るたびにWindowsUpdateしまくりと定期的なチェック(スキャンディスク/変なファイルが出来ていないかのチェック)
学校のPCで何か問題が起きたときのサポートも担当の先生経由で私に回ってきてから、解決できないならサポートを呼ぶ
とかいう事やってました
それぐらいである程度の特権(学校でのサービスパック/アップデータ/アプリ/巨大ゲーム体験版のダウンロード/メールクライアントソフトを入れてのメールする事の黙認)や自分の評価が上がったり、尊敬されて自己顕示欲が満たされるなら安いもんでした(笑)
よい子は真似しないように・・・毎月[学校|学級]新聞を自分のクラス以外まで自分が作る事になったり、
先生、私物のパソコンのサポートや、犯罪幇助までやらされかける事になりますから(藁
学校でWarezなんてやろうとするんじゃねえ(懐かしい響きなのは何故だろう?)
ここ(/.-J)は、不正アクセスに関して話題になる度に、
毎回満足に管理して、精力的に改善するのが当たり前な組織が前提みたいになってますが、上記のような組織があるのも理解していただけたら・・・と
正直、今の不正アクセス等禁止法は、そういった組織にとっては、管理側の手を抜く理由として使われてるようにしか見えません
未だに、何時の時代のセキュリティホールだよ?レベルの穴を新たに量産して使っている組織も居ますし(口が裂けても言えない)
Re:本気か?、北海道新聞よ (スコア:0)
必要があるんじゃないか。
善意に基づくものであっても違法行為は認められない
ということを教えてやらねば。
Re:本気か?、北海道新聞よ (スコア:1)
だからこそ「不正アクセスが重大な違法行為という生徒の認識が欠けていたことは残念」じゃないのかなぁ. 学校としては,実力行使に及ぶ前にするべき事があるということを,この機会を使って教えるべきでしょう.セキュリティの問題点に限らず,内部告発全般にとって,正しい手順を踏むことは告発者のみを守るために重要なことだし.
その教育を怠って,単に生徒を警察に告発しておしまいにするようではダメ学校.さて,本件は?
Re:本気か?、北海道新聞よ (スコア:0)
それとも今はそういう教育デモしているのかな?
Re:本気か?、北海道新聞よ (スコア:0)
まあ、確かに中学生には無理かもね。
でも、過去のACCSやら宇宙開発事業団での不正アクセスを見る限りいい年した大人
でも実践出来てないけどね。
このツリー見て
Re:本気か?、北海道新聞よ (スコア:0)
どこをどう読んだらそういう結論が出てくるんですか?
握り潰されるからこそ実際に情報を取得して、危ないということを認識させると