アカウント名:
パスワード:
とりあえず表はね。
後は内容。 実際に試験を請け負う為にはどういう条件があるのか? 変な下請け使えばそれなりに流失被害なんかは起こりえるから、その辺りの保障は?とか。 それでも被害発生時は総務省を訴えれば良いので、
あと、 >「攻撃は侵入時点で終えるため、システム障害や個人情報の流出などの実際の被害は招かない」 ってのに対しても、当然お上のお墨付きが有るので自己申告よりは安全性は高い。 し、ダメだった時は監督責任を問えるしね。
そもそも、「証明の為にデータを抜き出す必要がある」と考える可能性が無いってのが素晴しい。 結局情報は広がれば広がるほど漏洩の可能性は増えるからね。
そう考えれば、ほとんどの事項で勝手テスターより圧倒的にマシな物だと思うのだけど。
そもそも勝手テスター相手だと責任を問うだけ無駄ですし。 元々企業レベルの損害に対する担保能力なんてこれっぽっちも無いと考える方が妥当ですから。
で、対する者は裁判で勝ったとしても取る物すら無いと思われる者達ですから、十分にアドバンテージは有る。と言うより比較にならないでしょう。
>アタックによる被害(停止/輻輳による遅延)等の傷害は保証してたらわざと弱いサーバーを用意して損害賠償を(まて(苦笑 別に珍しい考えでは無いと思いますよ。 昔から良くあるパターンの詐欺ですね。
かと言って、試験者側の問題を語っているときに、被試験者のそれも犯罪者の例を出すのはどうかと。 無理矢理相手側の印象を悪くしようとしているように見えますから。
ちょっと違うかな。
そういうのは実際に運用する上で考えなければいけない物ではありますが、今の議論では関係無いです。
何故ならその辺りは「公的裏付けのある試験者」と「裏付けの無い試験者」でどちらでも条件は同じだから。 ですが、実際に金をふんだくるに置いては金を持っているか持っていないかが大きい。 ですから、前者の方が安心できると言っているのです。
>双方が当事者ですから、それを考慮するのは何ら問題のないように思えますが コレも前記と同じで、「公的裏付けのある試験者」と「裏付けの無い試験者」で差は無い筈ですが? 但し、それは思いっきり善意的に判断して、であって、現実的には公的裏付けを受けて継続的に業務を行っている者の信用度は、裏付けの無い試験者とは比べ物にならないのは判るはず。 で、何故前記のものにのみそう言う話を持って行くのですか? 一般的に条件としては後者の方が悪い筈であるにも関わらず。 その辺りを持って蛇足と判断しました。
>逆にそう言う被験者もいるかもしれないと言う可能性を考えないのは間抜けなだけかと、 私の持論では「勝手試験をやる試験者なんぞ百害あって一利なし。故に全て不正アクセスで捕まえるべし」 なのですが。何度も書いてますし。
そう、最初の「善意の試験者」という自己申告から一切信用しませんので。
試験なんてのはきちんとした業務で行い、外部委託を行うのであればそれなりの契約なしでは行うべきではありません。でなければ試験名目のユーザーへの加害が発生するでしょう。 それを避けるためには、
(1)管理者に依る試験の管理 (2)試験者自体の身分確認 (3)問題発生時の責任分担 (4)損害に対する保障の為の担保
程度は必要だと思われます。
で、ここで良く擁護されるボランティア試験者に置いては、ほとんどの者がこの条件をクリア出来ないでしょう。
そうでなくとも勝手試験者容認の方は往々にして、一番最初の状況で「相手の自己申告をそのまま信用する」という「間抜けな」選択肢を要求しているんですよ。
表題読んでくださいな。根本的前提です。
>「そこまで責任負わないよ」って言うことが通るのであれば >いくら損害が補償できても安心できないでしょう そんなのは通らないのは既に裁判でも色々判例は有りますし、不当契約についてはスラドではそれなりに話題が出ていると思いますが。 というか、素直に、んなのはお役所であれ通りませんから。
>そして、自分の個人情報を所持している会社にセキュリティホールがあったら..それにはどうやって対応するのでしょう? >まともに取り合ってもらえなかったらどうしましょう? まず当事者に連絡をする。 それでダメなら公的機関を通す。 でもダメなら、 「それらを行ったという証拠を保全する。」 です。
相手が応じてくれないと言って、それだけで他人に危害を加える権利が発生する訳ではありませんから。 ですので、被害発生時の為の行動を取るのが正解でしょう。
どうしても事前に行動が起こしたいのならば、次は「裁判」が適当でしょう。 裁判所命令に逆らえる根性の有る会社は少ないですから。
>未承認試験を完全に排除したいのであれば、一定水準の試験を常に実施し、 >ユーザーからの試験要求があったら即座に対応or実施済みであることを通知する事がサーバー管理側に義務づけられる必要があるでしょう この辺りは難しいんですけどね。 即座ってのは何かとか、そもそも何が問題なのか?とか。 実はシステムの不備自体は問題では無い。 それに付随してクリティカルな情報が漏れるのが問題なんです。 って事で、これらの話は個人情報保護法とかの関連でやるべきでしょうし、本当ならプライバシーマークなんかがきちんと機能すれば良いだけの話ではあるとは思います。
>または、試験を実施したいと言うユーザーの要望を受け付ける事が義務となるかですね これは無理でしょうね。
試験者になるにはそれなりの立場である事が必須となると思います。 何故なら、試験の結果としてそのユーザー自体が他のユーザーの情報を閲覧したならば、当然それを被害と取る他のユーザーが居るはずですから。
もしその申し入れをした者が最初から攻撃を意図していたとすれば、試験名目でありさえすればノーリスクで幾らでも穴を探せる訳です。 で実際に攻撃をするのが、そいつから銃砲を得た他の人間だったら? 全てのサイトでの危険度は明らかに上がるでしょう。
他にも色々考えられますが、要は 「管理者側で把握している人間以外にセキュリティ試験をさせる事自体が危険」 という事であり、 「自己申告者に試験をさせる事自体が、他ユーザーに対する安全性保全の軽視。」 だという事です。 #免許制とかで有る程度はカバーできるとは思いますが。
「ストーカーは対象者と同じプロバイダに入って試験を申請さえすれば、好きなだけ情報を得る為の挑戦が出来る。」 なんて状況はマズイでしょうから。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
開いた括弧は必ず閉じる -- あるプログラマー
侵入者の立場が明確なのは良い。 (スコア:2, 興味深い)
また、問題発生時の責任分担も判りやすいし、責任の担保能力についても問題は無い。
とりあえず表はね。
後は内容。
実際に試験を請け負う為にはどういう条件があるのか?
変な下請け使えばそれなりに流失被害なんかは起こりえるから、その辺りの保障は?とか。
それでも被害発生時は総務省を訴えれば良いので、
Re:侵入者の立場が明確なのは良い。 (スコア:0)
クラッキングを受けたシステムは再セットアップが必要になる悪寒・・・
Re:侵入者の立場が明確なのは良い。 (スコア:0)
「攻撃は侵入時点で終えるため、システム障害や個人情報の流出などの実際の被害は招かない」らしいですよ。
#クラッキングの過程で、意図せずクラッシュさせる可能性はないのだろうか…
Re:侵入者の立場が明確なのは良い。 (スコア:1)
当然あると思う。
けど、自称「セキュリティ専門家」と違って責任分担と損害賠償の請求先がはっきりするのは良いのでは?
あと、
>「攻撃は侵入時点で終えるため、システム障害や個人情報の流出などの実際の被害は招かない」
ってのに対しても、当然お上のお墨付きが有るので自己申告よりは安全性は高い。
し、ダメだった時は監督責任を問えるしね。
そもそも、「証明の為にデータを抜き出す必要がある」と考える可能性が無いってのが素晴しい。
結局情報は広がれば広がるほど漏洩の可能性は増えるからね。
そう考えれば、ほとんどの事項で勝手テスターより圧倒的にマシな物だと思うのだけど。
Re:侵入者の立場が明確なのは良い。 (スコア:1)
さすがに免責契約結ぶのでは、費用国もちで障害保障までしたら検査される側有利すぎ(笑)
危険な試験は、いきなり本番からというのではなく、まぁまずは実機と同様の試験環境で、アタックして落ちる等の問題のない事を検証してから実機アタックとかにしてほしい気もしますが..
Re:侵入者の立場が明確なのは良い。 (スコア:1)
故に、「下請けがボケて個人情報流失」ってな状況であれば十分に責任を問えるでしょう。
そもそも勝手テスター相手だと責任を問うだけ無駄ですし。
元々企業レベルの損害に対する担保能力なんてこれっぽっちも無いと考える方が妥当ですから。
Re:侵入者の立場が明確なのは良い。 (スコア:1)
アタックによる被害(停止/輻輳による遅延)等の傷害は保証してたらわざと弱いサーバーを用意して損害賠償を(まて(苦笑
Re:侵入者の立場が明確なのは良い。 (スコア:1)
民事裁判で争えば良いだけじゃないですか?
通常免責であったとしても、過度の過誤や明らかな故意で問題が発生した場合には、ちゃんと損害賠償は認められているパターンが多いと思いますけど?
というか、それ以前に無条件の免責事項なんて普通契約書には無いでしょ?
で、対する者は裁判で勝ったとしても取る物すら無いと思われる者達ですから、十分にアドバンテージは有る。と言うより比較にならないでしょう。
>アタックによる被害(停止/輻輳による遅延)等の傷害は保証してたらわざと弱いサーバーを用意して損害賠償を(まて(苦笑
別に珍しい考えでは無いと思いますよ。
昔から良くあるパターンの詐欺ですね。
かと言って、試験者側の問題を語っているときに、被試験者のそれも犯罪者の例を出すのはどうかと。
無理矢理相手側の印象を悪くしようとしているように見えますから。
Re:侵入者の立場が明確なのは良い。 (スコア:1)
問題はこれを判断できる人がいるのかどうかでしょうね
そして、安全な試験だけでは意味が無くなる物もあるでしょう
無論、強度段階を示し、どこまでやりますか?と言う事前相談ありきでしょうが...
ソフトがあまりにも脆弱で落ちたのか、それとも攻撃があまりにも苛烈で落ちたのか、果たしてその苛烈な攻撃は過失により起きた物なのか、または本当に苛烈だったのか?
正確な判断基準はまだ無いのではないのでしょうか?
私は一定以下の試験であれば、試験実施者の過失は無いと言い切れる基準が無いのが現状だと考えます。
>かと言って、試験者側の問題を語っているときに、被試験者のそれも犯罪者の例を出すのはどうかと。
>無理矢理相手側の印象を悪くしようとしているように見えますから
試験というのは、試験側も、試験対象物件もあってこそです。
双方が当事者ですから、それを考慮するのは何ら問題のないように思えますが
逆にそう言う被験者もいるかもしれないと言う可能性を考えないのは間抜けなだけかと、また普通に試験しても落ちるようなサーバーを故意でなくつなげて居る場合もあるでしょう
まぁ最初に国が泥をかぶってくれると言うのであれば、そう言う点でも悪いことでは無いのかもしれません
必要とあれば試験対象基準を出してきてくれるでしょうし
願わくばそれが、サーバーの最低基準となってくれるとありがたい
Re:侵入者の立場が明確なのは良い。 (スコア:1)
>そして、安全な試験だけでは意味が無くなる物もあるでしょう
>無論、強度段階を示し、どこまでやりますか?と言う事前相談ありきでしょ?うが...
ちょっと違うかな。
そういうのは実際に運用する上で考えなければいけない物ではありますが、今の議論では関係無いです。
何故ならその辺りは「公的裏付けのある試験者」と「裏付けの無い試験者」でどちらでも条件は同じだから。
ですが、実際に金をふんだくるに置いては金を持っているか持っていないかが大きい。
ですから、前者の方が安心できると言っているのです。
>双方が当事者ですから、それを考慮するのは何ら問題のないように思えますが
コレも前記と同じで、「公的裏付けのある試験者」と「裏付けの無い試験者」で差は無い筈ですが?
但し、それは思いっきり善意的に判断して、であって、現実的には公的裏付けを受けて継続的に業務を行っている者の信用度は、裏付けの無い試験者とは比べ物にならないのは判るはず。
で、何故前記のものにのみそう言う話を持って行くのですか?
一般的に条件としては後者の方が悪い筈であるにも関わらず。
その辺りを持って蛇足と判断しました。
>逆にそう言う被験者もいるかもしれないと言う可能性を考えないのは間抜けなだけかと、
私の持論では
「勝手試験をやる試験者なんぞ百害あって一利なし。故に全て不正アクセスで捕まえるべし」
なのですが。何度も書いてますし。
そう、最初の「善意の試験者」という自己申告から一切信用しませんので。
試験なんてのはきちんとした業務で行い、外部委託を行うのであればそれなりの契約なしでは行うべきではありません。でなければ試験名目のユーザーへの加害が発生するでしょう。
それを避けるためには、
(1)管理者に依る試験の管理
(2)試験者自体の身分確認
(3)問題発生時の責任分担
(4)損害に対する保障の為の担保
程度は必要だと思われます。
で、ここで良く擁護されるボランティア試験者に置いては、ほとんどの者がこの条件をクリア出来ないでしょう。
そうでなくとも勝手試験者容認の方は往々にして、一番最初の状況で「相手の自己申告をそのまま信用する」という「間抜けな」選択肢を要求しているんですよ。
Re:侵入者の立場が明確なのは良い。 (スコア:1)
私が対象としているのは、すべての試験者が負わなければならない対象の傷害時の責任がどこまで及ぶかです。
この場合、国であろうと業者であろうと未承認試験者であろうと関係ありません。
確かに、賠償可能であると言う事は安心感にはつながりますが
「そこまで責任負わないよ」って言うことが通るのであれば
いくら損害が補償できても安心できないでしょう
ちなみに「未承認試験者」ですが、現在は混沌とした状態でしょうねぇ
本来は、勝手に試験する方も、試験せずに放置しているサーバー管理側も同様に問題視されるのが好ましいのですが
現行だとサーバー管理者に試験の実施を要求してもそれは義務ではなく、一定の試験を実施している保証もありません
そして、自分の個人情報を所持している会社にセキュリティホールがあったら..それにはどうやって対応するのでしょう?
まともに取り合ってもらえなかったらどうしましょう?
未承認試験を完全に排除したいのであれば、一定水準の試験を常に実施し、ユーザーからの試験要求があったら即座に対応or実施済みであることを通知する事がサーバー管理側に義務づけられる必要があるでしょう
または、試験を実施したいと言うユーザーの要望を受け付ける事が義務となるかですね
ユーザーに、管理側が、サーバーが問題ないと言う保証ができずにインターネットにつなげられたサーバーに対する試験を否定する事は問題でもあるでしょうね
まぁ、ただし、事前に試験承認を受けようとしないで勝手に試験することは問題ありとされても良いかもしれません。
無論認証のかかったサーバーに対しパスワードアタックをかけて良いって訳ではないですので念のため(苦笑)
Re:侵入者の立場が明確なのは良い。 (スコア:1)
表題読んでくださいな。根本的前提です。
>「そこまで責任負わないよ」って言うことが通るのであれば
>いくら損害が補償できても安心できないでしょう
そんなのは通らないのは既に裁判でも色々判例は有りますし、不当契約についてはスラドではそれなりに話題が出ていると思いますが。
というか、素直に、んなのはお役所であれ通りませんから。
>そして、自分の個人情報を所持している会社にセキュリティホールがあったら..それにはどうやって対応するのでしょう?
>まともに取り合ってもらえなかったらどうしましょう?
まず当事者に連絡をする。
それでダメなら公的機関を通す。
でもダメなら、
「それらを行ったという証拠を保全する。」
です。
相手が応じてくれないと言って、それだけで他人に危害を加える権利が発生する訳ではありませんから。
ですので、被害発生時の為の行動を取るのが正解でしょう。
どうしても事前に行動が起こしたいのならば、次は「裁判」が適当でしょう。
裁判所命令に逆らえる根性の有る会社は少ないですから。
>未承認試験を完全に排除したいのであれば、一定水準の試験を常に実施し、
>ユーザーからの試験要求があったら即座に対応or実施済みであることを通知する事がサーバー管理側に義務づけられる必要があるでしょう
この辺りは難しいんですけどね。
即座ってのは何かとか、そもそも何が問題なのか?とか。
実はシステムの不備自体は問題では無い。
それに付随してクリティカルな情報が漏れるのが問題なんです。
って事で、これらの話は個人情報保護法とかの関連でやるべきでしょうし、本当ならプライバシーマークなんかがきちんと機能すれば良いだけの話ではあるとは思います。
>または、試験を実施したいと言うユーザーの要望を受け付ける事が義務となるかですね
これは無理でしょうね。
試験者になるにはそれなりの立場である事が必須となると思います。
何故なら、試験の結果としてそのユーザー自体が他のユーザーの情報を閲覧したならば、当然それを被害と取る他のユーザーが居るはずですから。
もしその申し入れをした者が最初から攻撃を意図していたとすれば、試験名目でありさえすればノーリスクで幾らでも穴を探せる訳です。
で実際に攻撃をするのが、そいつから銃砲を得た他の人間だったら?
全てのサイトでの危険度は明らかに上がるでしょう。
他にも色々考えられますが、要は
「管理者側で把握している人間以外にセキュリティ試験をさせる事自体が危険」
という事であり、
「自己申告者に試験をさせる事自体が、他ユーザーに対する安全性保全の軽視。」
だという事です。
#免許制とかで有る程度はカバーできるとは思いますが。
「ストーカーは対象者と同じプロバイダに入って試験を申請さえすれば、好きなだけ情報を得る為の挑戦が出来る。」
なんて状況はマズイでしょうから。
Re:侵入者の立場が明確なのは良い。 (スコア:1)
>、素直に、んなのはお役所であれ通りませんから
でどのレベルで不当であり、どのレベルで正当なのでしょう
前の発言ではそれが決まってないのが問題だと言っているのですが..そして現在それを判断できる人がいるのでしょうか?
試験レベルを超えて、故意に破壊行為を行う事は明確に賠償責任を問われるでしょう。
ただしこれがセキュリティホールの試験の性質上、試験によってはサーバーで動作しているサービス自体が危うくなる可能性もあります。
逆に安全な試験のみであれば、試験自体が名目のみの骨抜きになると言う本末転倒な状況にもなりえます
責任が明確になっていることも賠償できることも良いことですが
ある程度免除されないと誰も強度の高い試験はできないでしょう。
賠償が怖くて骨抜きになっている試験を合格しても、無意味としか言えないですしねぇ
まぁ国としては対応してますと言えるし、企業としては宣伝になるから骨抜き試験だけでも良いのかな?(苦笑)
>被害発生時の為の行動を取るのが正解でしょう
漏洩事件で問題になってるのは漏洩時に現状回復が不可能だからじゃないでしょうか?
漏洩したデーターが即座にすべて削除できれば、問題ないのですが、結局は賠償金以上の保証はできないのが現状でしょう
裁判も同様、問題発生を防ぐことはできないのでは?
無論その会社から賠償金をとれる可能性はありますが、裁判では問題を発生させないと言う点では、時間がかかりすぎるように思えます。
>管理者側で把握している人間以外にセキュリティ試験をさせる事自体が危険
というのであれば、やはりサーバー管理側に定期的な試験を実施し、判明したセキュリティホールは最低でも2-3ヶ月以内程度に対応/対応状況をユーザーに公開すると言うことを義務づけないと駄目だと言うことでしょうね
個人情報をインターネットを使って収集/管理するという利点を得る対価としての当然のコストでしょう
無論個人情報を扱わないのであれば、ここまで厳密な管理は不要だと思いますよ
漏れても他人に迷惑かけるわけじゃないでしょうから
アタックの踏み台にされるという問題は別途存在しますが...
Re:侵入者の立場が明確なのは良い。 (スコア:1)
自爆アカウントcrash等というのがあれば、そのアカウントにクラックしてログインされたらアウトですね。
そこまでのものは無くても、shutdownとかhaltとか残っているマシンはゴロゴロしていそうですがね。