アカウント名:
パスワード:
・提供されているセキュリティアップデートを当てなかった(提供開始後、検証中だった場合はリスクと検証期間が合理的な範疇であれば除く)・サポート終了したハードやソフトを使用していたこれらが引き金になったセキュリティ事故は運用者に重過失責任を問い、クラッキング被害だった場合は運用者もクラッカーの共犯として扱う、ぐらいの法制化が必要じゃね。
こんなのでも被害者ヅラして逃げるのを許すから、いつまで経っても、サイバーノーガードになるんだよ。
そんな風に守る動機が弱い法律を作ったら隠れて破る悪徳業者だけが生き残るじゃん根本にあるのは国内のIT産業の未熟さでヘタクソにプロの技なんか求めるだけムダ
いや、システム運用側に責任とらせりゃ、むしろ対策するだろ脆弱性を放置してても「クラッカーが悪いんです」で済む現状のほうがやべーわ
そうなんだけど、パッチあてるだの、version更新するだの連絡すると問題あったら困るからあてるなっていってくる客(顧客企業のIT関連部署の人達ですよ)も結構多いんだよね、未だに。それに付き合って何もしないシステム運用側ももちろん問題なんだけどさ。でなかやいまだにWindows7やIEが使われてるなんてことはないですよ。情報安全確保支援士にもっと権限持たせたらまた違ってくるのかしらね。
正しい選択肢は・最初から脆弱性を備えない(無理)・顧客を説得し継続的にパッチを当てる(無理)
現実に選べるのは・客に黙ってシステムをいじりパッチを当てる(トラブルの元)・脆弱性やパッチ情報に対して組織的に耳を塞ぐ(倫理的には真っ黒)・脆弱性を隠し「悪用されなければセーフ」と分の悪い賭けに出る(法的にも黒?)
どうあがいても最初の2つに誘導しない限り隠蔽体質が育つな
隠蔽をなくすには「隠蔽するメリットを潰す」しかないからなぁ隠蔽にデメリットを付加しても、そのデメリットから逃げるために隠蔽が行われるから
「セキュリティパッチの適用を怠りし会社は、経営者は獄門晒し首、社員は死罪、株主全員に遠島申し付け。但し内情を知りて通報せしめた者はこれを免ずる」ぐらいにすれば改善するんじゃね、知らんけど
隠蔽するメリットと言うかだけど、構成に常にアップデートを掛ける運用を安全に継続するためには相応のコストが掛かるのよね。アップデート検証のためのステージング環境を用意して、検証プロセスを通して、アップデートで問題が検出されたら対策の作業が発生するし、アップデートする事で古いソフトウェアがサポート外になる事もある。問題を放置すれば、これらの作業の(そこそこ重い)コストを浮かせる事ができる。結果的に脆弱性を突かれなかった未来ではこのコストは儲けになる。隠蔽が悪である根拠は利用者に損害を与える原因となる為だから、一切の損害が発生しない結果においては隠蔽&ノーガード戦法はビジネスとして正しかったことになる。
なーんかそう考えると、適正なアタックは世界の健全性に寄与するんだなという結論が出てきてしまうな。現状の攻撃の手が手ぬるいから損害期待値が安くなり、自衛に支払うコストが渋られるっていう。
攻撃が激しくなって大量の被害者の泣き寝入りの後に管理者に責任を負わせる(≒サイバーノーガードを許さない)になるよりは、最初からそうしたほうが、社会的にはプラスなんだろうけどね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
いい加減 (スコア:0)
・提供されているセキュリティアップデートを当てなかった(提供開始後、検証中だった場合はリスクと検証期間が合理的な範疇であれば除く)
・サポート終了したハードやソフトを使用していた
これらが引き金になったセキュリティ事故は運用者に重過失責任を問い、クラッキング被害だった場合は運用者もクラッカーの共犯として扱う、ぐらいの法制化が必要じゃね。
こんなのでも被害者ヅラして逃げるのを許すから、いつまで経っても、サイバーノーガードになるんだよ。
Re: (スコア:0)
そんな風に守る動機が弱い法律を作ったら隠れて破る悪徳業者だけが生き残るじゃん
根本にあるのは国内のIT産業の未熟さでヘタクソにプロの技なんか求めるだけムダ
Re: (スコア:0)
いや、システム運用側に責任とらせりゃ、むしろ対策するだろ
脆弱性を放置してても「クラッカーが悪いんです」で済む現状のほうがやべーわ
Re: (スコア:0)
そうなんだけど、パッチあてるだの、version更新するだの連絡すると問題あったら困るからあてるなっていってくる客(顧客企業のIT関連部署の人達ですよ)も結構多いんだよね、未だに。
それに付き合って何もしないシステム運用側ももちろん問題なんだけどさ。
でなかやいまだにWindows7やIEが使われてるなんてことはないですよ。
情報安全確保支援士にもっと権限持たせたらまた違ってくるのかしらね。
Re: (スコア:1)
正しい選択肢は
・最初から脆弱性を備えない(無理)
・顧客を説得し継続的にパッチを当てる(無理)
現実に選べるのは
・客に黙ってシステムをいじりパッチを当てる(トラブルの元)
・脆弱性やパッチ情報に対して組織的に耳を塞ぐ(倫理的には真っ黒)
・脆弱性を隠し「悪用されなければセーフ」と分の悪い賭けに出る(法的にも黒?)
どうあがいても最初の2つに誘導しない限り隠蔽体質が育つな
Re:いい加減 (スコア:0)
隠蔽をなくすには「隠蔽するメリットを潰す」しかないからなぁ
隠蔽にデメリットを付加しても、そのデメリットから逃げるために隠蔽が行われるから
「セキュリティパッチの適用を怠りし会社は、経営者は獄門晒し首、社員は死罪、株主全員に遠島申し付け。但し内情を知りて通報せしめた者はこれを免ずる」ぐらいにすれば改善するんじゃね、知らんけど
Re: (スコア:0)
隠蔽するメリットと言うかだけど、構成に常にアップデートを掛ける運用を安全に継続するためには相応のコストが掛かるのよね。
アップデート検証のためのステージング環境を用意して、検証プロセスを通して、アップデートで問題が検出されたら
対策の作業が発生するし、アップデートする事で古いソフトウェアがサポート外になる事もある。
問題を放置すれば、これらの作業の(そこそこ重い)コストを浮かせる事ができる。
結果的に脆弱性を突かれなかった未来ではこのコストは儲けになる。隠蔽が悪である根拠は利用者に損害を与える原因となる為だから、
一切の損害が発生しない結果においては隠蔽&ノーガード戦法はビジネスとして正しかったことになる。
なーんかそう考えると、適正なアタックは世界の健全性に寄与するんだなという結論が出てきてしまうな。
現状の攻撃の手が手ぬるいから損害期待値が安くなり、自衛に支払うコストが渋られるっていう。
Re: (スコア:0)
攻撃が激しくなって大量の被害者の泣き寝入りの後に管理者に責任を負わせる(≒サイバーノーガードを許さない)になるよりは、最初からそうしたほうが、社会的にはプラスなんだろうけどね。