パスワードを忘れた? アカウント作成
7544 story

経産省が『(善玉)ハッカー』の指針作成へ 118

ストーリー by Oliver
利と害を天秤にかける 部門より

znc 曰く、 "日経Biztechの記事によると、経済産業省がシステムの欠陥を発見して報告する『(善玉)ハッカー』を事実上規定するガイドラインを6月までに策定しようとしている模様です。
officeさんの逮捕により問題となった外部からのセキュリティ問題指摘ですが、今回の逮捕で指摘を行ってくれる人がいなくなって最終的に『クラッカー』から攻撃を受けてしまうという事を考えると、今回のガイドラインが完成すれば結構参考になると思います。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  •  ガイドラインを遵守したとして、ほかに法的に責任を問われる行動を行っていない場合に、刑事・民事両方の責任を問われないことが保証されないと、結局うまく機能しないと思われます。
     匿名での報告をどう扱うかも問題でしょう。特に、アタックの結果としてシステムに影響を与えたり、機密情報が漏洩していた場合の取り扱いは難しそうです。
    • そのような観点に関する議論は実際に行われているようです。 最終的に登場する「ガイドライン」にどの程度反映されるのかはよくわかりませんが。
      親コメント
  • by motimoti_san (13212) on 2004年02月18日 1時33分 (#497820)

    技術の進歩はまだまだ続くだろうから、
    ガイドライン作成も、これ一回こっきりにして欲しくはないなあ。

    今はCGIやServletの欠陥問題がクローズアップされているけど、
    たぶん、何年か後にはICタグ関連システムとかWebサービスについても
    考えなくちゃならなくなるかもしれない。

    未来の技術で起きる問題が、今のモノサシで解決できればいいけど、
    やっぱり漏れは出てくるでしょ。それに、SoftEtherのような、
    「新技術」によって、「今、安全といわれている」やり方ではセキュリティ
    が保てなくなるようなことも、十分ありうる。
    (SoftEtherの開発そのものについては、凄いと思うけど、それはそれとして)

    問題が起こり次第すぐにガイドライン改訂、というのは現実味がないとしても、
    せめてWindows Updateが月一回パッチを出すように、
    期間を決めて定期的にガイドラインをアップグレードするようにしてほしい。
    そうしないと、新しい技術に対応しきれず、「善玉ハッカー」がどう行動
    すればいいか困るケースが、結局減らないことになる。

  • by Anonymous Coward on 2004年02月17日 18時09分 (#497527)

    ガイドラインを守っていても、知らぬ間に何らかの法を犯してしまう可能性がないわけではないので、どうせなら「ハッカーとして行動するための指針」ではなく、「穴を指摘されたときに、指摘者を 法的手段に訴えるかどうか判断するためのガイドライン」にしたほうがよいと思う。

    というか、いくらガイドラインが定められても威力業務妨害などでは訴えられる可能性はあまり変わらないと思う。

  • by shiraga (14233) on 2004年02月18日 0時01分 (#497757)
    経産省は(少なくとも一般論としては)侵入実験の有用性を認めてるわけですね。
    「住基ネットへの侵入実験は違法だ」と宣言してる総務省とのバトルなんかを期待してみたり。
  • すでに話題になっている [srad.jp]ようですが、こちらに誘導したほうがいいでしょうか。
  • 善玉と修飾するからには、ハッカー=悪玉という暗黙の了解があるのかな?

    まあ、呼び名を変えても本質が変わるわけじゃないからどうでもいいけど、

    ・セキュリティ自警団 (んーいまいち)
    ・セキュリティ警備員 (同上)
    ・情報処理セキュリティ技術者 (どうよ?)

    で、「情報処理技術者の種類が増える」なんていうオチかもね、というお話でした。
    --
    ---- 末は社長か懲戒免職 なかむらまさよし
    • by greentea (17971) on 2004年02月18日 0時08分 (#497762) 日記
      善玉ハッカーって、もともとの意味でのハッカーという意味ではなく、クラッカーだけど悪い人ではないというニュアンスがこめられているのでは?
      --
      1を聞いて0を知れ!
      親コメント
    • 情報セキュリティアドミニストレータ [jitec.jp]てのは既に存在したりするわけで
      親コメント
      • というのは何なのか?
        私がソレですんでちょっといっときます。

        セキュリティの具体的な技術は大して要求されません。
        ですから資格持ってる奴をサーバのとこにつれてきて
        「お前コレ防衛しろ」とか「脆弱性がないか検査しろ」いうのはちょっと違います。まったくの素人よりはましでしょうが。

        情報セキュリティの知識は皆無ではありませんが、どの程度あればよいかといえば
        「セキュリティサイトを読んで、意味がわかり、自分の周辺のシステムに関係があるか判断できる」程度です。

        私はCGIの欠陥を捜したりできませんし
        スクリプトキディになったことすらありません。サーバーの管理者もしたこと無いです。

        でもBlasterが流行した際に、営業さんの所へ行って
        「うーす。最近パソコンに風邪がはやってるの知ってますー?」
        から始めて「ケータイで繋ぐ人たちがうちの会社で一番危ない」こと、
        「万が一感染した状態でお客さんのLANにつないだら案件が吹っ飛ぶどころか『当分出入り禁止になるかもしれない』」こと、防ぐには「1万円もするソフトを入れた上に社内の共有フォルダ見えなくなる」か「パッチをきちんと当ててICFをきちんと有効にする(無料だけど手間かかるね)」と伝え、危機感を多少煽り対策してもらうことができます。(ちょっと話作ってますが)

        以上は当然の能力と思われるでしょうが、
        • セキュリティ関連のニュースを収集できる。
        • 影響範囲がわかる。
        • 対象の人物、組織にリスクを提示し、本人が判断する手助けをできる。
        • セキュリティポリシを押し付けてもなかなかうまくいかないことを知っている。
        • 被害が起きた場合の状況を見積もり、複数の選択肢からコストに応じて事前の対策を考えることができる。

        という能力を含んでいて、職場毎に一人常備すれば「本当のセキュリティやさん」を援護する強い味方になれる、と思っております。
        あとセキュリティーやさんに正しい発注ができる、があるとよいかな。

        #しかし手元のテキストを参照すると「サイバーノーガード殺法・メソッドA」は結構リーズナブルで理にかなった対策ということに(汗
        親コメント
      • ぐはっ 情報処理試験を何年も受けてないのばればれ(苦笑)

        まあ、その情報セキュリティアドミンとやらは自システムに対するものみたいですから、それを他システムに対して適用するには資格がいるのだ~みたいなことを決めるのかな、と思ったわけでございます。
        --
        ---- 末は社長か懲戒免職 なかむらまさよし
        親コメント
      • by Anonymous Coward on 2004年02月17日 18時25分 (#497540)
        コレ、対象は自分の管理するものについて、ですよね。
        他者のものへってのは相当に異なると思うなァ。

        自前なら単なるスキルの問題だけど、他者相手だとモラルや常識の方が大きいだろうし。

        親コメント
      • セキュリティ調査員
      が一番しっくりくるんじゃないのかなぁ?
      内閣情報調査室 [cas.go.jp]ていうのがあるんだし。
      親コメント
    • インターネットガーディアンエンジェルス

      って、だめですかそうですか。
      --
      --- show mpls ldp neighbor
      親コメント
  • 8月予定の「セキュリティ甲子園」(仮称)が盛り上がるわけですね。
  • by jud (15801) on 2004年02月17日 17時56分 (#497514) 日記
    とはいうものの、ガイドラインでどう示そうと
    法律文から直接考えればグレーゾーンであることには変わりがないので、
    「善玉か悪玉か」どちらと(運営者から)判断されるかわからない場合、
    指摘するのを尻込みするんじゃないかなぁ。

    僕なんかはビビリなので、自分の所属組織でも
    自分の胸の中にしまっていたりしますが。
    --
    イタチの最初っ屁。
  • え?
    ハッカーって「白黒」じゃないの?
  • このたび、独立行政法人の情報処理推進機構にて、セキュリティ
    欠陥情報を知らせたハッカーの個人情報と、そのセキュリティ
    欠陥情報がまとめて数十件流失。

    ……というニュースになると思うのは私だけではないでしょう?
  • by virtual (15806) on 2004年02月17日 21時14分 (#497654)
    将来、倫理社会の単元にでもなるのでしょうか?

    そんな内容になりそうな気が・・・
    • 「将来、倫理社会の単元にでもなるのでしょうか?」

      経産省の「ガイドライン」そのものはさておき。

      たぶん,技術者倫理 [google.co.jp]の教材には,なるはず(あてずっぽう)。
      ネットセキュリティ関連は,事例不足なんで,みんな注目してるはずです。
      --
      斜点是不是先進的先端的鉄道部長的…有信心
      親コメント
  • by jtakano (13491) on 2004年02月18日 7時24分 (#497885)
    脆弱性を放置している側を取り締まる方が前向きだと思います。

    #脆弱性の放置にしても善玉ハッカーにしても
    #基準があいまいだから善悪の線引きは無理だろうな
typodupeerror

身近な人の偉大さは半減する -- あるアレゲ人

読み込み中...