無責任一代会社の生き様かしら?
http://blog.goo.ne.jp/hwj-sasaki/e/d6e7496f353194c6c7094652c7dfbcde
価格.comさまのお話。いつもながら豪勢なお話に満ち溢れていてよ?
すごいわねぇ。「技術的な確認が行われていない」ような状態のままであるにもかかわらず「最高のセキュリティ」って言い張れたのね? さすがだわぁ。
http://blog.goo.ne.jp/hwj-sasaki/e/d6e7496f353194c6c7094652c7dfbcde より
もっと驚いたのは、取材が来るのは分かっていたが、こういう不正侵入が起きたときに、その技術的な原因は何だというのを明らかにすべきだとマスコミに言われたことだった。それは一理はあるけれど、その時点では回復は行われていないし、確認も行われていない。警察に証拠を提出してる段階で、警察はあまり(外部に)言ってほしくないと言っている。状況はどんどん変わっているし、その場で落ち着いてデシジョンできないタイミングで、すべて情報を開示しろと言われて、僕らは混乱した
あら大丈夫よぉ。「最高のセキュリティ」を破るような複雑な手段、素人犯罪でなんか突破できるはずないんじゃなくってかしら?
http://blog.goo.ne.jp/hwj-sasaki/e/d6e7496f353194c6c7094652c7dfbcde より
弁護士にも相談したが、言うべきだというのも一理あるし、隠すというのではなく、言うことによるリスクもある。予防になると同時に、素人犯罪を誘発する可能性もある
それとも「素人にでも破ることが容易である」ほどに「杜撰」なセキュリティだったのかしら?
えぇえぇ。ショックだったと思うわぁ。で、雪印の社長が「俺だって寝てないんだ」って叫んだ後、世論はどうなったとお思いかしら?
http://blog.goo.ne.jp/hwj-sasaki/e/d6e7496f353194c6c7094652c7dfbcde より
メディアに情報公開を迫られたのは、精神的にショックだった。ただでさえ混乱している中で、中越地震で仮住まいで体育館で、メディアに『何食べてるんですか』と聞かれるとショックだ、というようなものだった
そのあたりは佐々木様がストレートにおっしゃってるわね。
それでまぁ、豪華な話はまだまだ続くわ。
http://blog.goo.ne.jp/hwj-sasaki/e/d6e7496f353194c6c7094652c7dfbcde より
セキュリティ事故においては、不正侵入なりウィルス感染を引き起こした企業の側が、「圧倒的な無辜の被害者」であるということはあり得ないからだ。クラッカーがすべて悪いと決めつけるだけではなく、事故を引き起こした企業の側もきちんと情報を開示し、その責任の所在をはっきりとすべきなのである。
なにかテロリズムに郷愁でも感じてらっしゃるのかしら?
http://blog.goo.ne.jp/hwj-sasaki/e/d6e7496f353194c6c7094652c7dfbcde より
リスクをすべてあの時間に分析するのは無理だった。どちらにも一理あるのはわかったが、天秤をかける時間さえなくて、ある選択肢をとったというのが正直なところだ。もう一度起きたら同じアクションをとったかと言えば、全然別の話になる。こう言うときにはこういう風にした方がいいというのを、社会的コンセンサスを作った方がいいとは思うが、サイバーテロというのは過去にあまり起きていない
アレは単純な「クラック事件」で、別にテロリズムでもなんでもなくってよ?
で、クラックされたらどのように動くべきかなんてお話、もう随分と昔から語りつくされてきていることじゃなくってかしら?*1
まぁ全体的に見て、きっとカカクコムは「最高のセキュリティであったにもかかわらず被害を被った無辜の犠牲者」なのね?
素敵だわぁ。ここまで己の責任とかってものを棚に上げることが出来る男ってのもそうはいないんじゃないかしら?
江戸に「好色一代男」ってあったんですけれども。さしずめ「無責任一代会社」って感じかしらね?
で、そのトラックバックで面白くも奇妙なBlogを発見したの。なんていうのかしら…はっきり言ってすでに「おぞましい」といってもいいような内容だわね*2。
http://brise.cocolog-nifty.com/blog/2005/06/post_805e.html
http://brise.cocolog-nifty.com/blog/2005/08/post_81b1.html
内容をチェックしてみるわ。
アリになったらどういうことになるかわかっているのかしら? カカクメソッドは、最終的にものすごく怖いところに行き着いてよ?
http://brise.cocolog-nifty.com/blog/2005/06/post_805e.html
韓国MSN、クラックされる。で紹介したITMediaの記事にあるような危険なWebの管理者は
クラックされたときに価格.comと同じようなテツは踏まない、と言い切れるのだろうか。自分たち(ここでいうところはWeb管理者のこと)よりも
一枚上手のクラッカーの存在を否定できない現状では
カカクメソッドというのもアリ、ではないかと思う。
カカクメソッドであたしが憂いでいるのは、結論だけを持ってくるのであれば「普段はなんの対策もとらずにクラックされて"それに気づいた"時にだけ場当たり的な対策をとる」って方法に流れてしまう、って事にあるの。
それとも、まさかそんな「無法地帯な状態」をアリって思ってらっしゃるのかしら?
これはもう散々語りつくされた上で「情報は公開すべき」ってところに落ち着いているわ。あとは時期とかタイミングとかの問題ってのはあるんですけれども。
http://brise.cocolog-nifty.com/blog/2005/06/post_805e.html
同じ主張の繰り返しになるが「情報の公開」といえば聞こえはいい。だがそれは必ずしもプラスにはたらくとは限らない。
メリット・デメリット両方を考えての判断が必要ではないだろうか。
少なくともSQLインジェクションごとき内容を「公開しない」必然性なんて一欠けらもなくってよ?
これは単純に「疑問」なのよね。まぁもちろん一個人の記述ですから、ある意味においてある程度の「一方的見方」ってのは当然あると思うの。
http://brise.cocolog-nifty.com/blog/2005/08/post_81b1.html より
しかし、こうもまぁジャーナリストというのは一方的な見方しかできないものかと落胆してしまった。
単に地震の被災者にたとえるのもどうかと思うが佐々木氏のような一方的な見方しかできないマスコミの存在を知ると昨今のカカクコム批判には疑問を持ってしまう。
ただ、読んでいる限りさほどはずした、いわゆる「偏見に満ちた」内容には見えないのよね。どのあたりを指して「一方的な見方」であると感じたのかしら?
「そうなってしまう」のねぇ。それって詐欺とかっていわないかしら?
http://brise.cocolog-nifty.com/blog/2005/08/post_81b1.html より
「わが社は完璧なセキュリティ体制を敷いてきた」というのがクセ者でインターネットの世界では極端に言えば特大のセキュリティホールがあっても「完璧なセキュリティ敷いた」と言ってしまえばそうなってしまうのである。
あとは利用する側がそれを信用するかどうかだ。
無知は無知であること自体が十分に罪なの。少なくともそれが「公的なサービスを行っている」のであれば。
そんな覚悟ひとつすら持ち得ないのかしら?
そうねぇ。漏洩の危険性が「常に0ではない」ってのは事実だわ。でもそれが「強固なセキュリティに覆われた状態」なのか「SQLインジェクションごときで破られるほど脆弱なセキュリティもどきで覆われた状態」なのかでお話は随分と違ってこないかしら?
http://brise.cocolog-nifty.com/blog/2005/08/post_81b1.html より
ところがカカクコムを批判する人たちは便利なものイコール安全なものという思い込みがあるのか、本来なら漏洩リスクを承知でアクセスしたりメールアドレスを預けたりしているのをすっかり忘れてしまっている。
メールアドレスであれ、クレジットカードであれ住所電話番号であれ情報として存在するからには必ず漏洩リスクが発生する。
カカクコムを批判する前に自らの行った行為がいかにリスキーであったかをもっと認識するべき。漏洩がイヤならカカクコムにアクセスするな、インターネットを使うな、であると思う。
大体、引っかかった多くの人たちはそういったことに対して無知な方々よ? そういう方々には「誰が」事実を伝えうるのかしら?
そうだ、いい事を思いついたわ。価格.comのTop Pageの一番目立つところに、ほかよりも大きなフォントと目立つ色ででかでかと「全ての情報は漏洩する危険性があります。漏洩する危険性を認識してなおこのサイトを利用したい方だけが利用してください」とか書いておけばいいんじゃなくってかしら?
これならとても公平だと思うの。どうかしら?
負えるか負えないかでななくって「負わせる」のよ?
http://brise.cocolog-nifty.com/blog/2005/08/post_81b1.html より
もうひとつ、氏はカカクコムの無責任体質を批判しているがよく考えてみたい。
そもそもカカクコムが責任を負えるのだろうか。
罰則規定のない刑法は誰も守らないの。「責任をおわなければならないリスクがある」からこそ企業は頑張ってセキュリティだのなんだのに精を出すのよ?
「責任を負わなくてもいい」なら、セキュリティなんでザルでいいんじゃなくってかしら?
ん〜…なんか根本的に論点がずれてるんだかねじが外れてるんだか、だわねぇ。
http://brise.cocolog-nifty.com/blog/2005/08/post_81b1.html より
それに管理者より上手のクラッカーがいるのに負えるかどうかも分からない(というより負うことができない)責任を負うと言う方がよっぽど無責任ではないだろうか。
「自分たちに責任は無い」と言い切ったカカクコムはある意味正しいと思うしインターネットのアクセスやメールアドレスを預けたりといったアクションはリスキーな上に自己責任の範囲であると私自身再認識した次第だ。
まず「管理者より上手のクラッカーがいる」==「責任が負えない」ってのが大きな間違いね。比較するのであれば「管理者より上手のクラッカーがいる」==「クラックが防げない」だわ。それでもきちんと管理なりなんなりしておけばある程度水際でせき止められてよ?
というかSQLインジェクションなんてそもそも存在しちゃいけない類のホールだわね。
で「「自分たちに責任は無い」と言い切ったカカクコムはある意味正しい」ってのは怖い発想だわねぇ。どっからこういう発想が出てくるのかしら?
で、コメントに対するコメントで、なんとなくその中身をうかがい知ることが出来るわ。
そうよ。「脆弱性を放置していい理由にはならない」の。だから、脆弱性を放置していたカカクコムに批判が集まるのは当然よね?
http://brise.cocolog-nifty.com/blog/2005/08/post_81b1.html より
自己責任で利用するはずのインターネットの世界でカカクコムに批判が集まるのは矛先が違うんじゃないか、と思ったのがひとつ。
もちろん自己責任の世界とはいえそれが脆弱性を放置していい理由にはならないと思います。
で、ここが根っことあたしは踏んでるわ。
こんな弱腰な人間にセキュリティなんてやられたら最悪だわね。もうちょっとプロ意識とかってものを持てないもんかしら?
http://brise.cocolog-nifty.com/blog/2005/08/post_81b1.html より
そして私自身Webの管理は生業じゃないのですがもし自分がWeb管理者だったら・・・自分より上手のクラッカーが攻撃してきたら・・・そりゃ責任取れないよなぁ・・・というのが正直な思いです。
「どんなクラッカーの攻撃も防御できる技術と自信をも」つために日々努力するのがプロとして当然よね?
http://brise.cocolog-nifty.com/blog/2005/08/post_81b1.html より
逆にカカクコムを批判している人たちってどんなクラッカーの攻撃も防御できる技術と自信をもっているのだろうか・・・と嫌味なしに思ってしまいますね。
日々勉強も努力もしないでなんのプロなのかしら?
…えっと。いったい今までどんなお仕事をなさってきているのかしら?
http://brise.cocolog-nifty.com/blog/2005/08/post_81b1.html より
それともWebサーバの脆弱性はSQLインジェクションを含めてちょっとした気遣いで防げるものなんでしょうか。もしかして私の方が難しく考えすぎているのでしょうか。
SQLインジェクション対策についてはWebでも調べましたし、知人のSEにも尋ねたりしたのですが私からすればなんだかすごく難しいことをやっているように思えてくるのです。
SQLインジェクションごときを「すごく難しい」とか言われてしまうと、あたくしは混乱して混沌の底に沈みこんでしまいそうよ?
まぁ確かに神々しく見えるわねぇ。「WindowsUdate」を常に最新の状態でおこなうなんて人柱な行為は。
http://brise.cocolog-nifty.com/blog/2005/08/post_81b1.html より
月に一度のMicrosoftのパッチ公開にやきもきして対策と言えばWindowsUdateとウィルス定義ファイルを常に最新にしておくのがせいぜい。
そして怪しいWebにアクセスしないよう注意を払い、フィッシング詐欺のメールにひっかからないように注意しているのがせいぜいな私からすればどんなクラッカーからも防御できる管理者はとても神々しく見えます。これも嫌味なしで。
というか、こんな「底辺レベル」のスキルの方がお仕事で「ネットワークのセキュリティ関連をやっている」とか言われても*3…おねぇさん困っちゃうわ?
もうちょっと、とかっておためごかしはいわないわ。死ぬ気でたっぷり勉強してからもう一度出直してらっしゃい?
で、いつも思うのよねぇ。どうしてこぉ「スキルの低い連中がこぞってかばおうとするのかしら?」って。
結局のところ、彼らがかばいたいのはカカクコムじゃなくって「スキルが低い自分」を間接的にかばいたいだけなんじゃなくってかしら?
そんなんじゃいつまでたっても成長は望めなくってよ?
