アカウント名:
パスワード:
技術屋さんと運用屋さんとで責任のなすりつけあいをしていて、 被害者 (個人情報が公開させられてしまった人たち) のことを考えている人がいないような気がします。
100% (あるいは、99.999% くらいでもかまわない) 確実なことが言えないのなら、また、 「技術の発展」なるもののために個人情報を漏洩のリスクに さらすことを肯定するのなら、「起こってしまった後」 にどうフォローするのか、ということをしっかりと考えてほしい。
これは運用屋さんへの注文であると同時に、技術屋さんへの 注文でもあります。どういう運用をしていると どんなリスクが生じるのか、とかを正しく評価できるのは 技術屋さんしかいないと思うからです。それから、 人間 (運用者) は必ずミスするものだという前提に 立ったシステム設計とかって、 なされているのでしょうか。これは、まさしく技術屋さんの 仕事です。
覆水盆に返らず、といって、何もしないのでしょうか?
たとえば暗証番号が漏れていることが分かった場合、 早急に本人に連絡を取るとともに、当該アカウントや口座を (必要であれば) 一時停止するといったフォローが必要になりますし、 ほかにも、賠償とか責任者の処分といった問題が出てくることでしょう。 というか、出てきてほしい。 ほかに、技術的に可能なこと、あるいは、運用的に可能なことを 技術的に手助けすることが可能なことは、ないでしょうか。 ほんとにないのなら、仕方ないけど。
技術屋さんが、技術屋さんでない人の無知を笑うのは、 簡単なことです。技術屋さんのほうがものをよく知ってて当然なのですから。 が、もし運用に問題があるようなケースが多発するような場合、 それは、技術屋さんが、人間がいかにミスを犯しやすいかということについて 見積もりを誤っていたから、ということになるかもしれません。
たとえば銀行のシステムの場合、暗証番号が大量に漏れた、 などという話は聞いたことがありません。ぼくが知らないだけかもしれませんが。 (あるいは、もしあっても、社会的影響が大きすぎるために報道しないとか?) 個人情報を扱うほかのシステムについても、 扱う個人情報の重要さに応じて、それなりの堅牢さを持ったシステムが 作れないのかな、と素人ながらに思うのです。 ~
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ見習い
基本的なセキュリティーがなっていない (スコア:2, すばらしい洞察)
Apacheのパッチ?MSIEの脆弱性?そんなものはどうでもいい。
それよりも、世間一般に秘密にしておきたい情報をインターネットに流すことの重大さに気づかなければならない。自分が流していなくても、どっかの企業が勝手にインターネットに流しているかもしれない。意図的に秘匿情報のリークを行っているわけではないのだろうが、実際には漏らしていることになる。
極論するならば、そういう情報を扱うコンピューターをインターネットとつなぐこと自体おかしいのである。
// Give me chocolates!
Re:基本的なセキュリティーがなっていない (スコア:3, すばらしい洞察)
インターネットに流すことは、今のところまだ空気に音声を乗せることよりも一般的ではないことは確かだけど、ネットが空気のようにどこにでもある自然なものになるのはそう遠い未来の話じゃない。
/.Jをうろつくようなセンシンテキな野郎(そして淑女)どもは、そういった未来を手に入れるため、日夜ハゲンデいるってヤツもいるんじゃない?
で、ネットが空気化したとき、やっぱりそこには見られても安全な形式を考案したり、ゼッタイ本人にしかアクセスできない秘密の隠し方とか、そういったテクノロジを確立してより多くの人たちのシアワセを実現することが技術屋の責務だとおもうよ。
Re:基本的なセキュリティーがなっていない (スコア:3, 参考になる)
つまり、技術屋ががんばればコトが解決するというわけではない。
かといって、技術の問題じゃないと切って捨てるのはどうか。
情報を裸のまま晒すのは論外としても、暗号化を施しファイアーウォール等で守られた領域に隠しておくのもダメとなると(このへんが極論)インターネットは滅ぶしかないだろう。
インターネットなんかなくても生きていけるなんていうのは簡単だが、万事そんな調子では技術の進歩はありえない。
技術と運用の両方を高めていってカバーしあうのが基本でしょうな。
#今回の件は明らかに運用面のお話でしょうけど
Team Slashdot Japan Orca部もよろ
Re:基本的なセキュリティーがなっていない (スコア:0)
何を、何の為に、どの程度防御し、どの程度のコストをかけるのか
Re:基本的なセキュリティーがなっていない (スコア:0)
「何から」が抜けてました。
Re:基本的なセキュリティーがなっていない (スコア:1, 参考になる)
あるケースにおいて、ネットワークとの接続を断っておくとのうは、
前向きな対処である事もあると思います。
そんなの運用次第だと思いますが。
Re:基本的なセキュリティーがなっていない (スコア:0)
世の中に*絶対*なんて事は、殆ど無いのでは?
#本人の頭の中だけにとどめておいたって、
#自白剤を投与されてしまえば、どうなるか分かったもんじゃない。
Re:基本的なセキュリティーがなっていない (スコア:1)
技術屋さんと運用屋さんとで責任のなすりつけあいをしていて、 被害者 (個人情報が公開させられてしまった人たち) のことを考えている人がいないような気がします。
100% (あるいは、99.999% くらいでもかまわない) 確実なことが言えないのなら、また、 「技術の発展」なるもののために個人情報を漏洩のリスクに さらすことを肯定するのなら、「起こってしまった後」 にどうフォローするのか、ということをしっかりと考えてほしい。
これは運用屋さんへの注文であると同時に、技術屋さんへの 注文でもあります。どういう運用をしていると どんなリスクが生じるのか、とかを正しく評価できるのは 技術屋さんしかいないと思うからです。それから、 人間 (運用者) は必ずミスするものだという前提に 立ったシステム設計とかって、 なされているのでしょうか。これは、まさしく技術屋さんの 仕事です。
セキュリティはそれぞれの人の意識次第かと… (スコア:1, 興味深い)
>「起こってしまった後」にどうフォローするのか、ということをしっかりと考えてほしい。
覆水盆に返らず。流れ出てしまった情報はもう止め様がないですね。
事後策として今後の漏洩をとめることはできますけど、
漏れてしまったものを回収することは不可能です…。
自分が友達と会話してて、
思わず言っちゃいけないことを言ってしまった後、
「言っちゃダメだよ!」って釘さしても、
翌日クラスのみんなが知っていた、
そういう経験ありませんか?
それと一緒ですね、残念ですが。
>人間 (運用者) は必ずミスするものだという前提に立ったシステム設計とかって、なされているのでしょうか。
人間がミスすることを前提にある程度カバーすることはできます。
が、それを100%カバーするシステムは現実的に不可能でしょうね。
あるとすれば「全自動」でしょう。
結果すら人間が見られないほどの全自動であれば可能でしょうね。
それが非現実的な解であることは言うまでもありませんが。
もっと言えば、設計段階での見落とし、
コーディングミスも防ぐのが非常に難しいですね。
とはいえ、
悪意に基づかないもの
(セキュリティホールとか情報をお金でうるヤツとか)
以外で、簡単に情報が漏洩するような仕組み
(引数にIDを渡すだけで誰でも見られる仕組みとか)
を作らないことと、
セキュリティホールの情報に敏感になること、
何より情報を保持する個人自身が情報漏えいに敏感になるべきでしょう。
どんなに堅牢なシステムでも、
ユーザがパスワードを生年月日にしていて、
かつ自分のホームページに生年月日が書いてあれば、
そりゃ「盗んでください」と言っている様なものです。
また、明らかに怪しいサイトにデータを渡すのも、
これまた自分の身を自ら危険にさらす行為です。
出会い系サイトで電話番号とか平気で書き込む人がいますが、
あそこから個人を特定できる人だっていることをお忘れずに…。
技術者と、運用者と、そして個人本人。
この3身が一体にならなければ完全な保護はおろか、
通常の保護すらままならないでしょうね。
責任は全ての人間にあります。
誰かに頼むことはすべからく「責任逃れ」であることを、
まず自分の周りを律することから始めることを、
私も含めて肝に銘じたいものです。
Re:セキュリティはそれぞれの人の意識次第かと… (スコア:1)
覆水盆に返らず、といって、何もしないのでしょうか?
たとえば暗証番号が漏れていることが分かった場合、 早急に本人に連絡を取るとともに、当該アカウントや口座を (必要であれば) 一時停止するといったフォローが必要になりますし、 ほかにも、賠償とか責任者の処分といった問題が出てくることでしょう。 というか、出てきてほしい。 ほかに、技術的に可能なこと、あるいは、運用的に可能なことを 技術的に手助けすることが可能なことは、ないでしょうか。 ほんとにないのなら、仕方ないけど。
技術屋さんが、技術屋さんでない人の無知を笑うのは、 簡単なことです。技術屋さんのほうがものをよく知ってて当然なのですから。 が、もし運用に問題があるようなケースが多発するような場合、 それは、技術屋さんが、人間がいかにミスを犯しやすいかということについて 見積もりを誤っていたから、ということになるかもしれません。
たとえば銀行のシステムの場合、暗証番号が大量に漏れた、 などという話は聞いたことがありません。ぼくが知らないだけかもしれませんが。 (あるいは、もしあっても、社会的影響が大きすぎるために報道しないとか?) 個人情報を扱うほかのシステムについても、 扱う個人情報の重要さに応じて、それなりの堅牢さを持ったシステムが 作れないのかな、と素人ながらに思うのです。 ~
Re:セキュリティはそれぞれの人の意識次第かと… (スコア:0)
フォローは、今でもそれぞれ企業の予算や事情に応じて考えられていると思いますよ。
人が助かるために手助けをする事はできますが、根本的に救う事は難しいと思います。
Re:激しくおぷとぴ(フレームの元ー3) (スコア:1)
他力本願ですか?そういうものは自分で作るものです。
Re:激しくおぷとぴ(フレームの元ー3) (スコア:0)
へぇ。そこまでモデレーションを活用(?)してる人がいたんですね。