「自分達だけは適用外」なのかしら?
http://www.asahi.com/business/update/0615/135.html
何関連っていったらいいのかしら? 一応、不正アクセス関連になるのかしら?
まず「ハッカー」と「クラッカー」の区別をいい加減つけていただきたいんですけれども…っていうお話はおいておくとして。
http://www.asahi.com/business/update/0615/135.html より
「官製ハッカー」でサイバー攻撃演習 来年度から総務省
ようは「ペネトレーションテストやりましょ」ってことよね?
そうねぇ。まぁ散々っぱら言われてきたことではあるんですけれども。それでも大切であることは変わらない事実だわ。
http://www.asahi.com/business/update/0615/135.html より
総務省は、専門家で組織した「官製ハッカー」を出動させ、企業にサイバー攻撃に対する「演習」をしてもらうことにした。本物のハッカーになりすまして通信企業の心臓部であるサーバーなどの設備を狙う。大規模なネット障害に対応できる人材の増強や、防御に弱い部分をあぶり出して企業の対策作りを促すのが目的だ。
えぇえぇ。いい着眼点だと思いますの。
http://www.asahi.com/business/update/0615/135.html より
演習を通じて、どんな弱点を破られたかといったシステム上の問題だけでなく、いつ攻撃に気づいたかや、誰がどういう対応をとったか、社内外への情報提供や業者間の連携は十分だったかなど、危機管理態勢全般を確認する。
やっぱり「危機管理態勢全般を確認」っていう風に、「部分ではなく全体を」把握しようとする姿勢っていうのは大変に素晴らしいと思いますわ。
ただ…あたしはどうしても気になってやまない部分がありますの。
ひとつは「演習」が意味する部分。もっと簡単に言うと「事前に先方企業に話を通すのか通さないのか」っていう部分よ。
話を通してしまえば、たとえ「重役系だけにして現場には知らせないようにする」っていうルールをつくってもなお、骨抜きにされてしまう可能性は否定できないと思うの。ましてや「お上からの調査」でしょ? 外聞を気にするところほど「こっそりと情報をリーク」ってシナリオくらい容易に想像が付くわ。
…まぁ「情報がリークしてきた程度である程度防御が固められる」んならそれはそれでいいんじゃないかしら、って思わなくもないんですけれども。
からすると「大雑把に連絡をする」って感じなんでしょうけれども。
http://www.asahi.com/business/update/0615/135.html より
数週間程度の演習期間内に抜き打ちで
もうひとつ。
そうねぇ。そこで終了させれば確かに実害は招かないわ。確かにそれは重要ですし、あたしもそこはポイントだと思うの。
http://www.asahi.com/business/update/0615/135.html より
各社のシステムへ侵入したり、アクセスを集中させたりする。攻撃は侵入時点で終えるため、システム障害や個人情報の流出などの実際の被害は招かないという。
ただ、そこまでわかっているんならなぜ「不正アクセス禁止法でちゃんとそういう理念を盛り込まないのかしら?」
これを見ている限りだと、ペネトレーションテストの必要性っていうのは一定レベル程度、認識していると思うの。なのに…なぜ法律のほうでは「とにかく入り込んだらその時点でアウト」にしてしまっているのかしら?
もちろん「入っただけなのか情報を複製/改ざんしたのかを判断するのは難しい」ってのはあると思うの。でもそれは「難しい」なのよ? もし何らかの方法で立証できれば、その時点で別の処遇を用意するくらいのことをしてもいいんじゃないかしら?
ここから考えると、手心とか癒着とか賄賂とか建前とか、嫌な単語が色々と連想されてきちゃうのよね。
せめて「愚かな過去」に気づいて「愚かな過去を訂正する」勇気があることを…期待したらまた裏切られちゃうのかしら?
