znc 曰く、 "日経Biztechの記事によると、経済産業省がシステムの欠陥を発見して報告する『(善玉)ハッカー』を事実上規定するガイドラインを6月までに策定しようとしている模様です。officeさんの逮捕により問題となった外部からのセキュリティ問題指摘ですが、今回の逮捕で指摘を行ってくれる人がいなくなって最終的に『クラッカー』から攻撃を受けてしまうという事を考えると、今回のガイドラインが完成すれば結構参考になると思います。"
ガイドラインを遵守したとして (スコア:3, すばらしい洞察)
匿名での報告をどう扱うかも問題でしょう。特に、アタックの結果としてシステムに影響を与えたり、機密情報が漏洩していた場合の取り扱いは難しそうです。
Re:ガイドラインを遵守したとして (スコア:1)
Re:ガイドラインを遵守したとして (スコア:2, 興味深い)
しかし、この指針事態いるのでしょうか?
訴えられる可能性があるなら、他人のサイトのセキュリティチェックなんて事はリスクが高くてやれないと思うのですが...
こんな指針を出すくらいなら、情報漏えいした側の罰則規定を厳しく設けて
個人情報を扱うサイトのセキュリティチェックは、しっかりやるというのは当たり前という風潮にしたほうがましだと思います
気軽にサイトを立ち上げられなくなると思うかもしれませんが
個人情報を扱わなければその心配は無いわけで、利益の発生しない一般的なWebサイトの運営には問題が無いでしょう
逆にその情報を元に利益を生もうとするならコストを払えってことです。
#セキュリティ的には、Webサーバーに個人情報を蓄積するようにしてある時点で、だめだと思うんですけどねぇ~
#メール等で他サーバーに送信するようにするだけでもかなりましになると思うのですが...
Re:ガイドラインを遵守したとして (スコア:1)
あればあってで便利なのでは?
セキュリティチェックする方としては安全地帯が解るのだし、管理者からしたら許容範囲を超えている奴ってのが一目瞭然となる訳だから。
逆に言えば、きちんとした契約無しでの勝手チェックの限界の規定になるのでしょうけど、そもそもそれ以上の事をする理由って興味本とか正義感を感じたいが為の趣味とか以外無いだろうから、適度な閾値を用意してくれる事自体は良いと思うけど。
>訴えられる可能性があるなら、他人のサイトのセキュリティチェックなんて事はリスクが高くてやれないと思うのですが...
責任負担の意思が無い人は、最初からセキュリティチェックなぞしない方が良いでは?
企業としても自分のリソースだけならまだしも、顧客のものとなれば問題発生時に責任を問わないとならないですから、流石にフリーハンドって訳にはいかないでしょうから、当然、それに伴うポカをやらけせば訴えられるでしょう。
>こんな指針を出すくらいなら、情報漏えいした側の罰則規定を厳しく設けて 個人情報を扱うサイトのセキュリティチェックは、
しっかりやるというのは当たり前という風潮にしたほうがましだと思います
風潮ってか、個人情報保護法はその考えですよ。
単に自由と安全が欲しいイタズラ本意のプチ・クラッカー連中は文句付けたいだけなんで、そんなのは眼中に無いようですが、現実としては全く持って放置されている訳でも無いですよ。
Re:ガイドラインを遵守したとして (スコア:1)
まぁ有ろうと無かろうと、他人のサイトのセキュリティチェックを勝手にしかも無料でやるような事は私には考えられないことです
負担だけで利益がないのであれば、放置という考えは普通じゃないのでしょうか?
そして、法的にNGとはならない指針をだすならまだしも
元記事> 経産省は「あくまで法解釈は司法の役割で、(指針が)100%違法でないと保証するものではない」
つまり法的にNGとならないことを司法には確認しないということです。
この指針どおりにやってもつかまる可能性はあります
指針をだすと言うのは、実行者の負担しか負わない善意のチェックを期待するって事です
でも善意者が捕まる可能性もあるかも知れない指針出すより、そんな善意?なチェックを必要としないようになる事のほうが大事でしょう
運用会社にすれば、そのセキュリティチェックの基準が無いからどこに頼んでいいか分からないので放置状態と言うこともあるかもしれまん
このような指針をだすのであれば、年々増加するセキュリティホールへの対策、チェック方法も含め、安全に運用するための基準作成対策義務を負わせるほうのが良いのではとも思います。
そして、違反者には一定年度個人情報を扱えない/扱う業務に関われない、などの罰則を規定する等の事の方がユーザーとしては安心できます。
>風潮ってか、個人情報保護法はその考えですよ。
でも、保護法に違反した場合の罰則って、30万以下の罰金ですよね、これって会社に痛手になるほどのものなのでしょうか?
まぁ刑事事件として取り扱われる事により、その会社の信用が落ちるという点で十分な罰則と言うのかもしれませんが..
やはりダメージを与えると言う点では、被害者が民事で集団訴訟でも起こさないとだめなんですかねぇ~
会社がつぶれるほどの犠牲者がでないとまともに対策する風潮ってできないのでしょうか?
Re:ガイドラインを遵守したとして (スコア:1)
三権分立の原則があるので、行政は司法判断に立ち入ることができないといっているように読めますが。 作成対策義務が生じる基準に、ガイドラインがほしいですね。
「セキュリティ専門家」な方々は、この手のガイドラインの事例作りには事欠かないはずですから、貢献できるはずですし。 まともな対策というのが具体的に何なのか、あげられていないからではないでしょうか。
前に /.-J で管理者がどうあるべきかタレコんでみた [srad.jp]けれど、対策の内容まで踏み込んだ意見はなかったんじゃないかな。
Re:ガイドラインを遵守したとして (スコア:1)
当然、法律に照らし合わせて判断することは行政にはできませし、してはなりませんよね
しかし、指針の内容を司法に、判断してもらうことは可能なのではないでしょうか?
そして、指摘しきれないグレーになる部分を事前に公開することにより、指針の安全性が増すことになります。
>> 方法も含め、安全に運用するための基準作成対策義務を負わせるほうのが良いのではとも思います。
>作成対策義務が生じる基準に、ガイドラインがほしいですね。
えぇこれは濁点うちみす&”を”つけ忘れですすみません(^^;
正確には..
>方法も含め、安全に運用するための基準を作成、対策義務を負わるるほうのが良いのではとも思います。
と書きたかったものです。失礼しました。
なので運用基準を作成することには大賛成です。
運用基準を作成し、一定の水準までセキュリティを向上するように促し、その反面、個人情報を扱うための義務を付与する必要があると考えます。
>まともな対策というのが具体的に何なのか、あげられていないからではないでしょうか。
それこそ、基準作成の意味がでるところでしょうね
常に新しいツールが作られ、セキュリティホールも常に生まれています。
作成時の注意事項、検出方法、運用方法、構築時の注意点、チェック機関の査定方法などそれぞれ大量のノウハウがあるでしょう
どこまでできるのか?
商売ねたにもなりそうな事ですから、どこまでスキル所持者が協力してもらえるのか?
ってことになりますが、何も無い今より少しはましになるかもしれません
すくなくとも、善玉ハッカーの方針作成をするよりは意味のあるものとなると思うのです
>対策の内容まで踏み込んだ意見はなかったんじゃないかな。
商売ねたにすらなりそうですがら、わかってる人は躊躇したとか?(苦笑)
Re:ガイドラインを遵守したとして (スコア:1, おもしろおかしい)
自分の言葉には忠実にありたいものですね :-)
Re:ガイドラインを遵守したとして (スコア:1)
# 度胸ないからいえねーや、とまぜてみる
定期的なアップデートも欲しい (スコア:3, 参考になる)
技術の進歩はまだまだ続くだろうから、
ガイドライン作成も、これ一回こっきりにして欲しくはないなあ。
今はCGIやServletの欠陥問題がクローズアップされているけど、
たぶん、何年か後にはICタグ関連システムとかWebサービスについても
考えなくちゃならなくなるかもしれない。
未来の技術で起きる問題が、今のモノサシで解決できればいいけど、
やっぱり漏れは出てくるでしょ。それに、SoftEtherのような、
「新技術」によって、「今、安全といわれている」やり方ではセキュリティ
が保てなくなるようなことも、十分ありうる。
(SoftEtherの開発そのものについては、凄いと思うけど、それはそれとして)
問題が起こり次第すぐにガイドライン改訂、というのは現実味がないとしても、
せめてWindows Updateが月一回パッチを出すように、
期間を決めて定期的にガイドラインをアップグレードするようにしてほしい。
そうしないと、新しい技術に対応しきれず、「善玉ハッカー」がどう行動
すればいいか困るケースが、結局減らないことになる。
どうせならサイト側へのガイドラインに (スコア:2, すばらしい洞察)
ガイドラインを守っていても、知らぬ間に何らかの法を犯してしまう可能性がないわけではないので、どうせなら「ハッカーとして行動するための指針」ではなく、「穴を指摘されたときに、指摘者を 法的手段に訴えるかどうか判断するためのガイドライン」にしたほうがよいと思う。
というか、いくらガイドラインが定められても威力業務妨害などでは訴えられる可能性はあまり変わらないと思う。
Re:シロの範囲を限定、って変な話 (スコア:1)
「善意の行動のガイドライン」ではなく「問題とされないガイドライン」でしょ。
ようは、そこまでの行動であれば、とりあえずは「善意」であると判断しろって事。
相手には善意のか善意を語る悪党なのかは解らん。
ってより、インターネット上では(現実でもそうだが)後者が多すぎ。
世の中には善意で人を殺す人間だっているのだから、個々人の自分で言っているだけにしか過ぎない「善意」を、そのまま一般的な善意とするのは危険ですから。
>そんなに信頼してない相手の自発的な善意に本気で期待しているとはとても思えない。
全然期待なんかしていないと思いますよ。そもそも本当に善意かどうかすら怪しいのですから。
でも、中には本気の善意でって人もいる。
なら、とりあえずそういう人の好意がトラブルのタネになるのを防げるようになれば万々歳って感じでは無いかな。
勿論、それだとて
「フリーハンドでアクセスを許して責任は一切問うな」
ってのが望みのクラッカー予備軍にはウザッタイかも知れないけど、
「ちょっとヤバそうなの見つけた、どうしようか?」
って人には十分有効になり得ると思う。
#が、やっぱ内容がはっきりしないと断言は出来ないけど。
経済産業省 vs 総務省? (スコア:2, 興味深い)
「住基ネットへの侵入実験は違法だ」と宣言してる総務省とのバトルなんかを期待してみたり。
Re:経済産業省 vs 総務省? (スコア:1)
いやいや、タレコミ中のリンク先でも
と既に予防線が張ってあるのは知ってますよ。
でも一方で とも述べられているので、ちょっとは期待できるかも、ってことで。
Office氏逮捕トピックで (スコア:1)
Re:Office氏逮捕トピックで (スコア:1)
なんかコレステロールみたい (スコア:1)
まあ、呼び名を変えても本質が変わるわけじゃないからどうでもいいけど、
・セキュリティ自警団 (んーいまいち)
・セキュリティ警備員 (同上)
・情報処理セキュリティ技術者 (どうよ?)
で、「情報処理技術者の種類が増える」なんていうオチかもね、というお話でした。
---- 末は社長か懲戒免職 なかむらまさよし
Re:なんかコレステロールみたい (スコア:2, すばらしい洞察)
1を聞いて0を知れ!
Re:なんかコレステロールみたい (スコア:1)
情報セキュリティーアドミニストレータ (スコア:4, 参考になる)
私がソレですんでちょっといっときます。
セキュリティの具体的な技術は大して要求されません。
ですから資格持ってる奴をサーバのとこにつれてきて
「お前コレ防衛しろ」とか「脆弱性がないか検査しろ」いうのはちょっと違います。まったくの素人よりはましでしょうが。
情報セキュリティの知識は皆無ではありませんが、どの程度あればよいかといえば
「セキュリティサイトを読んで、意味がわかり、自分の周辺のシステムに関係があるか判断できる」程度です。
私はCGIの欠陥を捜したりできませんし
スクリプトキディになったことすらありません。サーバーの管理者もしたこと無いです。
でもBlasterが流行した際に、営業さんの所へ行って
「うーす。最近パソコンに風邪がはやってるの知ってますー?」
から始めて「ケータイで繋ぐ人たちがうちの会社で一番危ない」こと、
「万が一感染した状態でお客さんのLANにつないだら案件が吹っ飛ぶどころか『当分出入り禁止になるかもしれない』」こと、防ぐには「1万円もするソフトを入れた上に社内の共有フォルダ見えなくなる」か「パッチをきちんと当ててICFをきちんと有効にする(無料だけど手間かかるね)」と伝え、危機感を多少煽り対策してもらうことができます。(ちょっと話作ってますが)
以上は当然の能力と思われるでしょうが、
という能力を含んでいて、職場毎に一人常備すれば「本当のセキュリティやさん」を援護する強い味方になれる、と思っております。
あとセキュリティーやさんに正しい発注ができる、があるとよいかな。
#しかし手元のテキストを参照すると「サイバーノーガード殺法・メソッドA」は結構リーズナブルで理にかなった対策ということに(汗
Re:なんかコレステロールみたい (スコア:1)
まあ、その情報セキュリティアドミンとやらは自システムに対するものみたいですから、それを他システムに対して適用するには資格がいるのだ~みたいなことを決めるのかな、と思ったわけでございます。
---- 末は社長か懲戒免職 なかむらまさよし
Re:なんかコレステロールみたい (スコア:1, 参考になる)
他者のものへってのは相当に異なると思うなァ。
自前なら単なるスキルの問題だけど、他者相手だとモラルや常識の方が大きいだろうし。
Re:なんかコレステロールみたい (スコア:1)
内閣情報調査室 [cas.go.jp]ていうのがあるんだし。
Re:なんかコレステロールみたい (スコア:1)
って、だめですかそうですか。
--- show mpls ldp neighbor
このガイドラインが出題予想のようになって (スコア:1)
Re:このガイドラインが出題予想のようになって (スコア:1)
世間のセキュリティ機運を若年層から高めてしまうのがいいのかもしれない(汗
# 面倒なので自分の日記に書いたものをさらしてしまう
---- 何ぃ!ザシャー
結局は同じ? (スコア:1)
法律文から直接考えればグレーゾーンであることには変わりがないので、
「善玉か悪玉か」どちらと(運営者から)判断されるかわからない場合、
指摘するのを尻込みするんじゃないかなぁ。
僕なんかはビビリなので、自分の所属組織でも
自分の胸の中にしまっていたりしますが。
政治的に正しくない言葉? (スコア:1)
ハッカーって「白黒」じゃないの?
Re:政治的に正しくない言葉? (スコア:1)
赤が抜けてませんか?ちょっと意味合いが違うけど、Wizardって呼ばれることもあるんだし。
# ファイナルファンタジーのやりすぎ。<私
vyama 「バグ取れワンワン」
Re:政治的に正しくない言葉? (スコア:1)
Re:政治的に正しくない言葉? (スコア:1)
#もういいっての
ありがちな1年後の/.ニュース予想 (スコア:1)
欠陥情報を知らせたハッカーの個人情報と、そのセキュリティ
欠陥情報がまとめて数十件流失。
……というニュースになると思うのは私だけではないでしょう?
Re:ありがちな1年後の/.ニュース予想 (スコア:1)
仕事で疲れてたんだよ! 多分!!
それくらいお察しくださいだよ!!!
このガイドラインは (スコア:1)
そんな内容になりそうな気が・・・
Re:このガイドラインは (スコア:1)
経産省の「ガイドライン」そのものはさておき。
たぶん,技術者倫理 [google.co.jp]の教材には,なるはず(あてずっぽう)。
ネットセキュリティ関連は,事例不足なんで,みんな注目してるはずです。
斜点是不是先進的先端的鉄道部長的…有信心
逆だろ (スコア:1)
#脆弱性の放置にしても善玉ハッカーにしても
#基準があいまいだから善悪の線引きは無理だろうな
Re:逆だろ (スコア:1)
その状態で販売(使用)したところはヤバイでしょう。
#マジレスシテドウスル・・・
善玉と悪玉の違い (スコア:3, おもしろおかしい)
若い男女2人組である。
善玉同様にマシンを操るが、ほぼ毎回大破するので作り直す。
単なるミスでマシンの自爆ボタンを押してしまう。
Re:善玉と悪玉の違い (スコア:1)
#ついでに喉自慢でもあったりする
Kiyotan
Re:善玉と悪玉の違い (スコア:1)
# 上の変数には任意の数字を入れてくださいw
# 最近smartyばっかなのでこの記法
---- 何ぃ!ザシャー
Re:善玉と悪玉の違い (スコア:1)
おしおきだべ~
脳味噌腐乱中…
Re:善玉って (スコア:1)
Re:期待 (スコア:1)
いろいろ期待はありますけど、コレの予算承認する実際の省庁の親分あたりは「これで俺の天下り先もバッチリ」等と思っていそうな気がしてしまう人はワタシだけではないはず<ホントか、ソレ。
多分企画を立ち上げている本人達は(天下り先の事を考えるには若すぎるから)そういう意識はあまり無いでしょうけど。
-----------------
#そんなワタシはOS/2ユーザー:-)
Re:期待 (スコア:1)
現実に30年間好調な産業って存在してないと思いますが・・・・
-----------------
#そんなワタシはOS/2ユーザー:-)
Re:期待 (スコア:1)
知識ベースでは大丈夫じゃないかなぁ
中の人がどのくらいできるのかは知りませんが・・・
重蔵。
Re:Real hackers don't crack! (スコア:1, おもしろおかしい)
Re:犯罪者の「さん付け」と都合のよい予測 (スコア:1)
んじゃ、「officeメンバー」で。
Re:犯罪者の「さん付け」と都合のよい予測 (スコア:1)
「個人情報を晒した罪」とかで逮捕されてんなら別にいいんだが
「不正アクセス防止法違反」で逮捕されてるから「指摘行為(の前段階の脆弱性の確認行為)のみで逮捕される」かどうかが争点になってんじゃねーの
Re:犯罪者の「さん付け」と都合のよい予測 (スコア:1)
ちょっと誤解を招く表現では?
問題になっているのは、
「不正アクセス禁止法の適応範囲」
と
「実際にやった事が不正アクセス禁止法に引っかかるか」
の2つでは?
でもって、前は今だボーダーがはっきりしないし、後は正確な情報が無いからこれまたはっきりしない。
ってんで、結局は不毛な議論になる訳なんだが。
少なくとも検察は指摘行為や確認行為自体が不正アクセス禁止法に引っかかるとは言っていないようだし、office氏が明確な不正アクセス禁止法違反をしていないって証拠も無い訳だ。
となると取りあえずは検察を信用してあとは裁判で明らかになるまで待つしか無いと思うが。
#ってか、犯罪確定してから捕まえろってのが無理。ってかそっちんが怖い。皆欠席裁判かい?
被害妄想(それも普通の常識人ならまず引っかからないもの)でヒステリックになっても何もよい事なぞなし。
裁判で提出された証拠に問題を見つけたなら、その時こそ騒げば良いでしょ。
Re:ガイドラインを考えてみた (スコア:1)
自分の資産と異なるなら他人の資産に違いなかろうに。
>ACCSでもそうだったけど、問題はそれが当事者間に限らないってことでしょ?
飽く迄、それにより損害を受け・与える当事者間だけの話ですよ。
そのレベルで話をしたいのでしたらね。
他人の利害に勝手に口を挟むのも権利の侵害と見なされる事がありますので、あまりそういう変な思いこみはしないほうが吉。