アカウント名:
パスワード:
とりあえず表はね。
後は内容。 実際に試験を請け負う為にはどういう条件があるのか? 変な下請け使えばそれなりに流失被害なんかは起こりえるから、その辺りの保障は?とか。 それでも被害発生時は総務省を訴えれば良いので、
あと、 >「攻撃は侵入時点で終えるため、システム障害や個人情報の流出などの実際の被害は招かない」 ってのに対しても、当然お上のお墨付きが有るので自己申告
そもそも勝手テスター相手だと責任を問うだけ無駄ですし。 元々企業レベルの損害に対する担保能力なんてこれっぽっちも無いと考える方が妥当ですから。
で、対する者は裁判で勝ったとしても取る物すら無いと思われる者達ですから、十分にアドバン
ちょっと違うかな。
そういうのは実際に運用する上で考えなければいけない物ではありますが、今の議論では関係無いです。
何故ならその辺りは「公的裏付けのある試験者」と「裏付けの無い試験者」でどちらでも条件は同じだから。 ですが、実際に金をふんだくるに置いては金を持っているか持っていないかが大きい。 ですから、前者の方が安心できると
表題読んでくださいな。根本的前提です。
>「そこまで責任負わないよ」って言うことが通るのであれば >いくら損害が補償できても安心できないでしょう そんなのは通らないのは既に裁判でも色々判例は有りますし、不当契約についてはスラドではそれなりに話題が出ていると思いますが。 というか、素直に、んなのはお役所であれ通りませんから。
>そして、自分の個人情報を所持している会社にセキュリティホールがあったら..それにはどうやって対応するのでしょう? >まともに取り合ってもらえなかったらど
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日本発のオープンソースソフトウェアは42件 -- ある官僚
侵入者の立場が明確なのは良い。 (スコア:2, 興味深い)
また、問題発生時の責任分担も判りやすいし、責任の担保能力についても問題は無い。
とりあえず表はね。
後は内容。
実際に試験を請け負う為にはどういう条件があるのか?
変な下請け使えばそれなりに流失被害なんかは起こりえるから、その辺りの保障は?とか。
それでも被害発生時は総務省を訴えれば良いので、
Re:侵入者の立場が明確なのは良い。 (スコア:0)
クラッキングを受けたシステムは再セットアップが必要になる悪寒・・・
Re:侵入者の立場が明確なのは良い。 (スコア:0)
「攻撃は侵入時点で終えるため、システム障害や個人情報の流出などの実際の被害は招かない」らしいですよ。
#クラッキングの過程で、意図せずクラッシュさせる可能性はないのだろうか…
Re:侵入者の立場が明確なのは良い。 (スコア:1)
当然あると思う。
けど、自称「セキュリティ専門家」と違って責任分担と損害賠償の請求先がはっきりするのは良いのでは?
あと、
>「攻撃は侵入時点で終えるため、システム障害や個人情報の流出などの実際の被害は招かない」
ってのに対しても、当然お上のお墨付きが有るので自己申告
Re:侵入者の立場が明確なのは良い。 (スコア:1)
さすがに免責契約結ぶのでは、費用国もちで障害保障までしたら検査される側有利すぎ(笑)
危険な試験は、いきなり本番からというのではなく、まぁまずは実機と同様の試験環境で、アタックして落ちる等の問題のない事を検証してから実機アタックとかにしてほしい気もしますが..
Re:侵入者の立場が明確なのは良い。 (スコア:1)
故に、「下請けがボケて個人情報流失」ってな状況であれば十分に責任を問えるでしょう。
そもそも勝手テスター相手だと責任を問うだけ無駄ですし。
元々企業レベルの損害に対する担保能力なんてこれっぽっちも無いと考える方が妥当ですから。
Re:侵入者の立場が明確なのは良い。 (スコア:1)
アタックによる被害(停止/輻輳による遅延)等の傷害は保証してたらわざと弱いサーバーを用意して損害賠償を(まて(苦笑
Re:侵入者の立場が明確なのは良い。 (スコア:1)
民事裁判で争えば良いだけじゃないですか?
通常免責であったとしても、過度の過誤や明らかな故意で問題が発生した場合には、ちゃんと損害賠償は認められているパターンが多いと思いますけど?
というか、それ以前に無条件の免責事項なんて普通契約書には無いでしょ?
で、対する者は裁判で勝ったとしても取る物すら無いと思われる者達ですから、十分にアドバン
Re:侵入者の立場が明確なのは良い。 (スコア:1)
問題はこれを判断できる人がいるのかどうかでしょうね
そして、安全な試験だけでは意味が無くなる物もあるでしょう
無論、強度段階を示し、どこまでやりますか?と言う事前相談ありきでしょうが...
ソフトがあまりにも脆弱で落ちたのか、それとも攻撃があまりにも苛烈で落ちたのか、果たしてその苛烈な攻撃は過失により起きた物なのか、または本当に苛烈だったのか?
正確な判断基準はまだ無いのではないのでしょうか?
私は一定以下の試験であれば、試験実施者の過失は無いと言い切れる基準が無いのが現状だと考えます。
Re:侵入者の立場が明確なのは良い。 (スコア:1)
>そして、安全な試験だけでは意味が無くなる物もあるでしょう
>無論、強度段階を示し、どこまでやりますか?と言う事前相談ありきでしょ?うが...
ちょっと違うかな。
そういうのは実際に運用する上で考えなければいけない物ではありますが、今の議論では関係無いです。
何故ならその辺りは「公的裏付けのある試験者」と「裏付けの無い試験者」でどちらでも条件は同じだから。
ですが、実際に金をふんだくるに置いては金を持っているか持っていないかが大きい。
ですから、前者の方が安心できると
Re:侵入者の立場が明確なのは良い。 (スコア:1)
私が対象としているのは、すべての試験者が負わなければならない対象の傷害時の責任がどこまで及ぶかです。
この場合、国であろうと業者であろうと未承認試験者であろうと関係ありません。
確かに、賠償可能であると言う事は安心感にはつながりますが
「そこまで責任負わないよ」って言うことが通るのであれば
いくら損害が補償できても安心できないでしょう
ちなみに「未承認試験者」ですが、現在は混沌とした状態でしょうねぇ
本来は、勝手に試験する方も、試験せずに放置しているサーバー管理側も同様に問題視さ
Re:侵入者の立場が明確なのは良い。 (スコア:1)
表題読んでくださいな。根本的前提です。
>「そこまで責任負わないよ」って言うことが通るのであれば
>いくら損害が補償できても安心できないでしょう
そんなのは通らないのは既に裁判でも色々判例は有りますし、不当契約についてはスラドではそれなりに話題が出ていると思いますが。
というか、素直に、んなのはお役所であれ通りませんから。
>そして、自分の個人情報を所持している会社にセキュリティホールがあったら..それにはどうやって対応するのでしょう?
>まともに取り合ってもらえなかったらど
Re:侵入者の立場が明確なのは良い。 (スコア:1)
>、素直に、んなのはお役所であれ通りませんから
でどのレベルで不当であり、どのレベルで正当なのでしょう
前の発言ではそれが決まってないのが問題だと言っているのですが..そして現在それを判断できる人がいるのでしょうか?
試験レベルを超えて、故意に破壊行為を行う事は明確に賠償責任を問われるでしょう。
ただしこれがセキュリティホールの試験の性質上、試験によってはサーバーで動作しているサービス自体が危うくなる可能性もあります。
逆に安全な試験のみであれば、試験自体が名目のみの骨抜きになると言う本末転倒な状況にもなりえます
責任が明確になっていることも賠償できることも良いことですが
ある程度免除されないと誰も強度の高い試験はできないでしょう。
賠償が怖くて骨抜きになっている試験を合格しても、無意味としか言えないですしねぇ
まぁ国としては対応してますと言えるし、企業としては宣伝になるから骨抜き試験だけでも良いのかな?(苦笑)
>被害発生時の為の行動を取るのが正解でしょう
漏洩事件で問題になってるのは漏洩時に現状回復が不可能だからじゃないでしょうか?
漏洩したデーターが即座にすべて削除できれば、問題ないのですが、結局は賠償金以上の保証はできないのが現状でしょう
裁判も同様、問題発生を防ぐことはできないのでは?
無論その会社から賠償金をとれる可能性はありますが、裁判では問題を発生させないと言う点では、時間がかかりすぎるように思えます。
>管理者側で把握している人間以外にセキュリティ試験をさせる事自体が危険
というのであれば、やはりサーバー管理側に定期的な試験を実施し、判明したセキュリティホールは最低でも2-3ヶ月以内程度に対応/対応状況をユーザーに公開すると言うことを義務づけないと駄目だと言うことでしょうね
個人情報をインターネットを使って収集/管理するという利点を得る対価としての当然のコストでしょう
無論個人情報を扱わないのであれば、ここまで厳密な管理は不要だと思いますよ
漏れても他人に迷惑かけるわけじゃないでしょうから
アタックの踏み台にされるという問題は別途存在しますが...