アカウント名:
パスワード:
今回のことからわかることは、不正アクセス防止法はうまく機能しないということではないでしょうか。
勝手試験を容認する人も多いみたいですが、これは試験を行うためには「業として守秘契約の上で許可された者が行わなければ問題が起こる」例でもあると思う。
今回の件でもし当人から「試験をしたい」との申し出があったとしても、それは拒絶するのが学校としては正しい対応でしょう。 (当人に許可しない=試験をしない、と決め付けないで頂きたい)。
入っている内容が他の生徒の個人情報である以上、他の生徒に見せる訳にはいかないし、それを見ようとする事を許し
きちんとした証拠を残さずに勝手にやるから、「悪意ある」と誤解される事が増えるわけで。
#自分から筋を通さない理由を、勝手な予測&決め付けだけってのでは普通肯定出来ないでしょ?
この例では当事者は学生で、閲覧可能となりうるデータってのは、学生への閲覧不可なデータですよね? となれば彼には試験させる事自体が問題です。 彼が目にする事が即ち情報漏えいですから。
そういう事から、これは残念ながら「善意のハッカー」である故に保護されたり行動を容認されたりして良いとは限らないって事例の一つではないかと。
となれば、やはり善意とはいえ許可を与えられていない処に浸入する事自体をマズイとしなければ色々問題があるって事では?
例えば、自分のプロバイダを「善意で試験」するのが2ch当たりで喧嘩した相手だったりすると、一ユーザーであっても拒否したく無いですか? 試験の結果として彼が貴方の個人情報にアクセス出来る可能性があるのですから。 その場合、彼が他でそれを使用しなくとも、彼に情報が知られた時点で自分に採っては既に「被害」なんですよ。 いや、今ならストーカーなんかが同様の手口で犠牲者を漁るって可能性も否定できないですし。 「セキュリティチェックさえしてやれば他人の情報に触り放題」ってのは、それなりに喜ぶ人間も多そうで怖いですよ。
で、別にこれは「通報するな」って意味でもなければ「試験はしない」って意味でも無い筈。 そう見える例が幾らか存在する事を拡大解釈して、大抵は自分都合で一般化しているだけです。
そう、通報するのもアリだし、通常は試験がされても何ら問題はありません。 只、「試験者として不適当な人間」と言うのは必ず存在するってだけです。 これは、自称セキュリティ専門家が情報を漏洩したり、善意の通報者が他人の成績ファイルをプリントしたりしている実情からも明らか。 必ず考える必要が有ることだし、それなしでの試験はそれ自体が情報を預けてくれているユーザーに対する加害に他なりません。 #誰だって正体不明の人間に自分の情報にアクセス出来るかもしれない事は、試させたくも無いはず。 勝手試験を行う人間には安全性の裏付けも、被害発生時に損害賠償を行う担保能力も不明な存在なのですから。
となれば、その問題点を取り払った選択肢が必要な訳で。 ま、取り敢えずは試験者の免許制度と保険加入。 後はユーザーに依る監査制度辺りを真面目にやらない限りは、まともな対処は出来ないでは無いかと思われます。
で、上に書いてある理由で判る様に、 「善意の通報者」は容認出来るとしても「善意の試験者」は容認自体が害だと思われます。 故に「通報する為には試験が必要」という、通報の義務も無ければそれを委託されたわけでも無いのに、勝手な理屈で浸入を試みる輩は、素直に不正アクセスで処理して構わない。いや、処理しなくては成らないと思います。
どんな改善の為の行動であっても、それを顧客やユーザーの危険を担保に行う事、それ自体が許されない。 故に個人情報保護法等が存在する訳なのですから。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
本気か?、北海道新聞よ (スコア:3, すばらしい洞察)
本気か?と思わず聞きたくなる意見ですな、これ。外部からの部外者の侵入じゃあるまいし、内部の人間が管理者に意見することもやるなってか?
Re:本気か?、北海道新聞よ (スコア:2, すばらしい洞察)
正規の権限がなく、他人のIDを用いてアクセスしているわけですから。それに成績管理の資料は本来生徒が見ていいような書類ではないです。
基本的に以前不正アクセスで捕まった大学の先生と同じような問題かと・・・。
Re:本気か?、北海道新聞よ (スコア:2, すばらしい洞察)
しかし、杜撰な管理に対する「内部告発者保護」という視点も必要なのではないでしょうか?保護者やマスコミに流したわけでもなく、学校管理の要となる教頭に事態を正しく伝達している、問題の中学生のセンスはGoodだと思ってしまう。
# マスコミに流れたのはなぜだろう?
Copyright (c) 2001-2014 Parsley, All rights reserved.
手続き的にまずいと思う (スコア:1)
脆弱性を示すのであれば、実際にアクセスする前にしかるべき責任者に連絡して、責任者の前で実演してみせるべきです。管理者が機密漏洩は無い/管理者が責任をとれるという状況にしないと、勝手にアクセスした人もグレーです。
正しいことなら何でも許されるというのは危ない考え方です。きちんと手続きをとるべきです。今回は生徒の情報ということで「中の人」と考えている人もいるようですが、生徒は中の人ではないですね。生徒には個人情報の管理責任はないので「適正な管理を要求できる」人でしかありません。それに自分の情報のみを取り出したのではなく、ほかの生徒の情報も取り出しているというなら、ほかの生徒の個人情報に不正にアクセスしているわけです。
もし、正しい手続きを踏んでももみ消されるなら、きちんと指摘したことを記録に残して(証人を立てて)、外部のしかるべきところに連絡するとか、何か終きたときに追いつめるべきですね。
Re:手続き的にまずいと思う (スコア:2, すばらしい洞察)
合法な正しい手続きでの指摘はほぼ不可能でしょう。何もわかっていない状態で、「とりあえず、試してみますね」と管理者を呼びつけて、延々とハッキングにつき合わせるなんてことは現実的じゃないし、事前に試してあったらその時点で不正アクセスになっちゃうし。
この生徒が、最初の不正アクセスをする前に遡ったとして、この生徒はどうするべきだったと思いますか?合法で可能なのは「なにもしない」ということだけでしょう。パスワードが簡単すぎたという結果を除けば、それが最善だったのでしょうが、それでは、他の悪意をもった生徒が気づいたらもっとひどいことになっていましたよね。
「正しいことなら何でも許されるというのは危ない考え方です。」には同意しますが、法律を守ってさえいればよいというのはあまりに性善説にたよりすぎな気がします。
今回のことからわかることは、不正アクセス防止法はうまく機能しないということではないでしょうか。
Re:手続き的にまずいと思う (スコア:1)
最初にタレこみを読んだときにはOffice事件と同一視してましたが、(これよりも冴えたやり方が他にあるにしても)学生の行動はこれでよかったと思います。現実的にも。
Re:手続き的にまずいと思う (スコア:0)
勝手試験を容認する人も多いみたいですが、これは試験を行うためには「業として守秘契約の上で許可された者が行わなければ問題が起こる」例でもあると思う。
今回の件でもし当人から「試験をしたい」との申し出があったとしても、それは拒絶するのが学校としては正しい対応でしょう。
(当人に許可しない=試験をしない、と決め付けないで頂きたい)。
入っている内容が他の生徒の個人情報である以上、他の生徒に見せる訳にはいかないし、それを見ようとする事を許し
Re:手続き的にまずいと思う (スコア:1)
連絡すると管理者はテストアクセスの許可するの?
例えば、/.に「俺の個人情報の管理がどの様に守られているのか心配ですので、サーバーに穴があるかチェックしたいのですがよろしいですか?」と言えば許可をくれるのかな?
俺の曖昧な記憶だと、某法成立時の議論では某中学生の様な行為を罰する方向では無かった様な気がしています。
もし、管理が不十分だったとしても、データを預けている者が手出し不能と某法を解釈すると、データ漏れの時の管理責任はかなり大きなものとなるのでは?
個人情報保護法の閲覧や削除権を合わせて考えると、成績データの削除権は学生にあるのかな?
削除権があると考えると、学校としては電算化した意味がなくなるような気がするし、削除権も無く穴チェックも出来ないと考えると、個人情報の保護責任はサーバー管理者にゆだねられるだけって事になりそうな気が。
学生は処罰され、校長とサーバー管理者は何も無しって裁きならば、片手落ちの様な気がするな。処罰とかは今後の話になるんだろうけど。
Re:手続き的にまずいと思う (スコア:1)
他にも出ているように、教育委員会と学校というのは一体となって組織防衛に走ることが珍しくありません。
「責任者」と仰いますが、その「責任者」がきちんとその指摘に対応し、指摘した側に不利益がないことが保証される仕組みがないと結局「正しい手続き」は機能しません。あなたが「もし、正しい手続きを踏んでももみ消されるなら~」と指摘されている通りになり、かつ「外部のしかるべきところ」が実質的に存在しないという状況になるでしょう(中学生に議会とかは荷が重いでしょうし)
Re:手続き的にまずいと思う (スコア:1)
別に難しいもんではなく、責任者に連絡するとか、学校なら担任に話をする。そんな程度でも良いんですよ。
きちんとした証拠を残さずに勝手にやるから、「悪意ある」と誤解される事が増えるわけで。
#自分から筋を通さない理由を、勝手な予測&決め付けだけってのでは普通肯定出来ないでしょ?
Re:手続き的にまずいと思う (スコア:1)
今回に関していえば、この少年の行為は非難されるべきではありますが、(私もそうであるように)学校側の言い方に引っかかった人も多いのではないでしょうか。
「少年の行為は違法の可能性があるが、まずは学校側が真摯に反省し、勉強をしたうえで少年を適切に指導する」とでも言っておけば、丸くおさまるのではないかと。
まあ、今後の課題として、改めて善意のハッカーが保護されるようなルールと環境作りが必要であることが浮き彫りになったのではないでしょうか。
Re:手続き的にまずいと思う (スコア:1)
>ルールと環境作りが必要であることが浮き彫りになったのではないでしょうか。
実はこの例では全然そう思いません。というか一見逆の結論になりましたが。
この例では当事者は学生で、閲覧可能となりうるデータってのは、学生への閲覧不可なデータですよね?
となれば彼には試験させる事自体が問題です。
彼が目にする事が即ち情報漏えいですから。
そういう事から、これは残念ながら「善意のハッカー」である故に保護されたり行動を容認されたりして良いとは限らないって事例の一つではないかと。
となれば、やはり善意とはいえ許可を与えられていない処に浸入する事自体をマズイとしなければ色々問題があるって事では?
例えば、自分のプロバイダを「善意で試験」するのが2ch当たりで喧嘩した相手だったりすると、一ユーザーであっても拒否したく無いですか?
試験の結果として彼が貴方の個人情報にアクセス出来る可能性があるのですから。
その場合、彼が他でそれを使用しなくとも、彼に情報が知られた時点で自分に採っては既に「被害」なんですよ。
いや、今ならストーカーなんかが同様の手口で犠牲者を漁るって可能性も否定できないですし。
「セキュリティチェックさえしてやれば他人の情報に触り放題」ってのは、それなりに喜ぶ人間も多そうで怖いですよ。
Re:手続き的にまずいと思う (スコア:1)
おそらく、セキュリティの向上に重きを置くか、社会秩序に重きを置くかのバランスなのでしょう。技術志向の強い人間は、どうしてもこのようなケースで惨憺たる技術レベルの学校側に批判的になってしまいますが、社会秩序の観点では生徒の行為は容認されるべきではないという視点を忘れずにいなくてはならないと改めて感じました。
一方で、「ホンモノの」犯罪者もいるわけですから、「サイバーノーガード戦法」や「カカクメソッド」が通用しないような意識の改革といったモノも必要だと思います。これらがまかり通り、管理者の責任が問われないような社会では、様々なものが無防備に犯罪にさらされてしまいます。意識を向上させるためにも、やはりある程度「善意の通報者」を利用する仕組みは有効だと思います。
Re:手続き的にまずいと思う (スコア:2, 興味深い)
これの対策として直接「勝手試験容認」になる理由が判らないんですが。
個人情報の漏洩被害は漏洩先が唯一一人であったとしても漏洩であり被害です。
であるのであれば、試験する者自体を管理者が管理出来なければ、それ自体が大きなセキュリティホールであるという事に成ります。
その点に置いて不正アクセスを浸入を持って規定するってのは間違っては居いないかと思います。
で、別にこれは「通報するな」って意味でもなければ「試験はしない」って意味でも無い筈。
そう見える例が幾らか存在する事を拡大解釈して、大抵は自分都合で一般化しているだけです。
そう、通報するのもアリだし、通常は試験がされても何ら問題はありません。
只、「試験者として不適当な人間」と言うのは必ず存在するってだけです。
これは、自称セキュリティ専門家が情報を漏洩したり、善意の通報者が他人の成績ファイルをプリントしたりしている実情からも明らか。 必ず考える必要が有ることだし、それなしでの試験はそれ自体が情報を預けてくれているユーザーに対する加害に他なりません。
#誰だって正体不明の人間に自分の情報にアクセス出来るかもしれない事は、試させたくも無いはず。
勝手試験を行う人間には安全性の裏付けも、被害発生時に損害賠償を行う担保能力も不明な存在なのですから。
となれば、その問題点を取り払った選択肢が必要な訳で。
ま、取り敢えずは試験者の免許制度と保険加入。
後はユーザーに依る監査制度辺りを真面目にやらない限りは、まともな対処は出来ないでは無いかと思われます。
で、上に書いてある理由で判る様に、
「善意の通報者」は容認出来るとしても「善意の試験者」は容認自体が害だと思われます。
故に「通報する為には試験が必要」という、通報の義務も無ければそれを委託されたわけでも無いのに、勝手な理屈で浸入を試みる輩は、素直に不正アクセスで処理して構わない。いや、処理しなくては成らないと思います。
どんな改善の為の行動であっても、それを顧客やユーザーの危険を担保に行う事、それ自体が許されない。
故に個人情報保護法等が存在する訳なのですから。