アカウント名:
パスワード:
まあただより一般的な話として、ここまで致命的なセキュリティ問題が判明したときでも経営者なり上司なりより立場の弱い身として意に逆らってシステム止められるかってのは、正直難しいですよね。もちろんリスクなり何なりを説明して納得して同意してもらえればいいにしても、今回のように緊急性を理解してもらえずに警察呼ばれて下手したら逮捕、システムは他の人間に再起動させられてセキュリティホールそのままという筋もありえなくはなかったわけで。警察に「これこれこういうリスクがありきわめて危険な状態だったのでシステムを落とした」と説明したところで、こういう場合で緊急避難が通じるかどうかと。
まあそれより何より、今回は「ついったを監視するだけの簡単な取締役です」が偶然巫女テスターさん(17) [srad.jp]を救ったってのが。
まあただより一般的な話として、ここまで致命的なセキュリティ問題が判明したときでも経営者なり上司なりより立場の弱い身として意に逆らってシステム止められるかってのは、正直難しいですよね。
同じく、Twitterでリアルタイムで見てましたけど、自分だったら上司に報告して結論出るのが来月って言われたらもう俺のせいじゃない!って開き直ってるなぁとか思ってました。 この決断が出来るのは会社員としてはアレかもしれないけど、職業人としては凄いなぁとプロ意識を感じました。 いや警察呼ばれた辺りのツィート見たときはどうなることかと。 この結末に落ち着いてくれて本当に良かったです。良い前例になったという意味でも。
・・・てか、タレコミはここまでだけど、今朝の後日談も酷い。
問題のプロジェクトの作業に実際に携わった関係者からヒアリングしようとしたら「コード書いた人 [twitter.com]
どう対応すべきかについては、非常に難しいと思いますが、こういった場合はJPCERT/CCのガイドラインに従い、IPAに通報するべきなんだろうと思います。
http://www.jpcert.or.jp/vh/index.html [jpcert.or.jp]
#ここまでコメント読んでいたものの、JPCERT/CCに誰も触れていないのにびっくり・・・
私も過去に通報したけど、ガン無視された
うちが怪しいシステムに出会ったときはIPAに通報したら、仕事してくれましたよ。最終的には脆弱性ではない、という結論でしたが(実際バグではありました)
ただ、今回のケースでIPA通報が正しい選択とは思えないのは同意。そんな迅速に動ける組織ではないでしょうし。英雄的越権行為はあらゆる人が立場上「NG」と言わねばならないのでしょうが、それがなければ現在のフランスは存在しないわけで。悩ましいネタです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
タレこもうとしたら先を越されたでござるの巻 (スコア:2, すばらしい洞察)
まあただより一般的な話として、ここまで致命的なセキュリティ問題が判明したときでも経営者なり上司なりより立場の弱い身として意に逆らってシステム止められるかってのは、正直難しいですよね。
もちろんリスクなり何なりを説明して納得して同意してもらえればいいにしても、今回のように緊急性を理解してもらえずに警察呼ばれて下手したら逮捕、システムは他の人間に再起動させられてセキュリティホールそのままという筋もありえなくはなかったわけで。警察に「これこれこういうリスクがありきわめて危険な状態だったのでシステムを落とした」と説明したところで、こういう場合で緊急避難が通じるかどうかと。
まあそれより何より、今回は「ついったを監視するだけの簡単な取締役です」が偶然巫女テスターさん(17) [srad.jp]を救ったってのが。
>意に逆らってシステム止められるか (スコア:4, 興味深い)
同じく、Twitterでリアルタイムで見てましたけど、自分だったら上司に報告して結論出るのが来月って言われたらもう俺のせいじゃない!って開き直ってるなぁとか思ってました。
この決断が出来るのは会社員としてはアレかもしれないけど、職業人としては凄いなぁとプロ意識を感じました。
いや警察呼ばれた辺りのツィート見たときはどうなることかと。
この結末に落ち着いてくれて本当に良かったです。良い前例になったという意味でも。
・・・てか、タレコミはここまでだけど、今朝の後日談も酷い。
Re: (スコア:5, すばらしい洞察)
私が同じ立場だったら、服装を正して、さらに上の立場の人のところに直談判です。どこまでも上に話し合いに行きます。
あるいは、相手が問題の重要性を理解してくれるまで徹底的に説得するか。
何が何でも、言葉のやりとりでルール内で解決させるのが、大人の仕事です。
本件で、むしろ好印象だったのは周囲の大人たちで、営業さんも社長さんも若い彼女のフォローをしているところでした。
大人として、若い彼女をフォローしています。
ルールをたった1度飛び越えた彼女を潰さずに済んだところが素晴らしい。
そして、彼女を放免せず、事を起こした責任としてか、ちゃんと修正業務に彼女を就かせているところなど、素晴らしい大人の対応です。
Re: (スコア:1, すばらしい洞察)
どう対応すべきかについては、非常に難しいと思いますが、
こういった場合はJPCERT/CCのガイドラインに従い、IPAに通報するべきなんだろうと思います。
http://www.jpcert.or.jp/vh/index.html [jpcert.or.jp]
#ここまでコメント読んでいたものの、JPCERT/CCに誰も触れていないのにびっくり・・・
Re: (スコア:0)
ネットの噂話レベルだと、連絡を受付けるだけでアクションとってもらえなかった、なんていう話も見かけたよ。
Re: (スコア:0)
私も過去に通報したけど、ガン無視された
Re:>意に逆らってシステム止められるか (スコア:1)
うちが怪しいシステムに出会ったときはIPAに通報したら、仕事してくれましたよ。
最終的には脆弱性ではない、という結論でしたが(実際バグではありました)
ただ、今回のケースでIPA通報が正しい選択とは思えないのは同意。そんな迅速に動ける組織ではないでしょうし。
英雄的越権行為はあらゆる人が立場上「NG」と言わねばならないのでしょうが、それがなければ現在のフランスは存在しないわけで。悩ましいネタです。