- - PR -
もらったコードを使用するときの注意
投稿者 | 投稿内容 | ||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2005-10-04 13:01
というと、問題は法律の解釈ですか?技術的にどうこうという話ではなくて。 ・・・とゆーか、問題になる箇所がいくつもあって、そう簡単に一刀両断 できるものでもないようにみえます。
ここで「企業サイド」という見方が出てくるのが奇妙にみえます。 取り締まる側/取り締まられる側、という見方を飛び越えて。 「こんな法律、有害無益だから捨ててしまえ」という話ならわかるのですが、 そういうのともズレがあるようですし。
えーと、「明らかに冗長し得る環境になった」というのがなんだか 分からないので外してるかもしれませんが。 この判決によって、企業のセキュリティ意識が低下した、という ことでしょうか。私のまわりでは、そういうことは感じませんが。 まあ、そういうことを言い出すと肯定も否定もしようがなくなるので 別の切り口を考えてみると... 低くなったのだとすれば、それまでは「下がりしろ」があったはずです。 つまり、「最低」ではなかったはずで、ある程度は上にあったことになる。 では、上にさせていたインセンティブは何か?そのインセンティブは この判決によって変化したのか? 私がみたところではインセンティブは「カンバン」であり、変化なし、です。
なるほど。それでも、不正アクセス禁止法は不正アクセスを取り締まる 法律であって、情報を預かる側の責任を問うものではないですよね。 筋違いではありませんか? | ||||||||||||||||||||||||||||||||||||||||||||
|
投稿日時: 2005-10-04 13:08
えーと、私が言っていたのは 2005-09-29 12:50 の書き込みの通りで、
を受けてのものです。 | ||||||||||||||||||||||||||||||||||||||||||||
|
投稿日時: 2005-10-04 15:16
どもです。がるです。
いくつかっていうか取り合えず全体的に返答を。 …すみません、とんでもなく長文です。
えっと。ほかの方からの受け売りで恐縮ではあるんですが。 今回の場合、問題点が曖昧な法律にあるのか、事実の誤認にあるのか、 或いは法解釈の誤りにあるのか、って部分をきちんと把握していく 必要があると思うです。 で、おっしゃるとおり「問題になる箇所がいくつもあって、そう簡単に 一刀両断できるものでもない」と思います。 ただ現時点で「明らかに誤っている判例」があるってのもまた 事実です。
んっと、ちともう一度ぽんすさんの発言の引用込みで。 私の
という発言に対して、ぽんすさんは
とおっしゃってます。 で。「取り締まる側/取り締まられる側」とありますが、私は 不正アクセスに関しては、概ね三者の介入が通例であると 考えてます。 取り締まる側はまぁ警察だったりそこらへんの方々で。 取り締まられるのはクラッカーの類ですが。 ここにもうひとつ「サーバを提供している人々」が、 これは必ず関与してきます。そうして、サーバを提供している うちの構成クラスタのひとつに「企業」があります。 で。私の「穴だらけマシン」に対して、ぽんすさんは「比較級では あるにしても許容範囲内なのでは?」といった趣旨の発言をされて いるかと思います(マシという単語からそのように読み取りました。 個人的にはどちらも「到底許容のできないもの」なので)。 取り締まる側的には、不正アクセスはどのみち許容できないと 考えられます。 取り締まられる側としては無論穴だらけのほうがうれしいのですが、 クラックされる側や情報を流出される側としてはやはり到底 許容できないものと考えられます。 しかるに、「サーバを提供している企業」は、一定の条件を満たす ことで、ぽんすさんがおっしゃってる通り「まぁ穴だらけのサーバ でも問題ないよねぇ」という見解が成り立ちえます。 というわけで「企業サイドに立つのであれば」という発言に つながっていきます。 ちなみに「こんな法律、有害無益だから捨ててしまえ」と 言うのは比較的に容易なのですが。 ただ、現実問題として「不正アクセスを法的に取り締まる」という 理念そのものは大変に重要であるだけにそう容易に「捨てろ」 ともいえず、このあたりに大きなジレンマがあります。 いやまぁ「改定要求」っていう方向性しかないのですが。
えっと…ここもまたちゃんと考察書くとものすごく長くなるのですが。 要約すると「企業のセキュリティ意識が低下した」ではないです。 まず、前提として大半の企業は「セキュリティにかけるお金を原則 として"無駄だ"と考えている」事をご理解ください。 これは ・セキュリティにお金をかけても、そこからお金が生み出てくる わけではない ・現実に「いくらかけたからいくらのリターンがあった」といった 損益の対応表が非常に出しにくい という理由があります。 そうですねぇ。「年間で1000万をかけたのにクラックされてしまった」 と「年間で10万程度しかかけてないけど"偶然"安全だった」状況を 比較して。大抵の経営者は「10万でセキュリティがなんとかなる んなら10万でいいじゃないか」といった短絡的思考になります。 また、そこまでひどくはないにしても、例えば「500万かけてクラック されなかった」と「1000万かけてクラックされなかった」の間に ある500万の差を「経営者が納得できるレベルで」説明できる人は 皆無です。大抵は「じゃぁ500万でいいじゃないか」とか言われます。 後はまぁ、 サイバーノーガード戦法 https://www.netsecurity.ne.jp/1_459.html カカクメソッド http://d.hatena.ne.jp/Lucrezia/20050816#p1 http://d.hatena.ne.jp/Lucrezia/20050527#p6 あたりをご覧ください。 ここからいえるのは「企業のセキュリティ意識の低下」ではなく 「企業のセキュリティコスト削減による実質セキュリティの低下」 が誘導されうる、ということです。
これに関しては見ている企業が違うと思うのでなんとも、ですが。 数社、上述の「コスト削減」を本気で考えてました。 無論私が「特大の雷」を落としてきましたが
えっと…。通例、多くの場合においてそうであるように、不正アクセス禁止法 にも「管理者責任」というものがあります。つまり「情報を特定電子計算機で 管理している場合の不正アクセス行為からの管理」をする必要があります。 具体的には、不正アクセス行為の禁止等に関する法律より 第五条 アクセス制御機能を特定電子計算機に付加したアクセス管理者は、当該アクセス制御機能に係る識別符号又はこれを当該アクセス制御機能により確認するために用いる符号の適正な管理に努めるとともに、常に当該アクセス制御機能の有効性を検証し、必要があると認めるときは速やかにその機能の高度化その他当該特定電子計算機を不正アクセス行為から防御するため必要な措置を講ずるよう努めるものとする。 とありますので。 したがって、少なくとも一端としての「情報を預かる側の責任」は 問うものです。 # 罰則がないから意味がないよねぇとかそういう「法律自体の問題点」 # は別議論にまわしますが 以上、答えになりましたでしょうか? | ||||||||||||||||||||||||||||||||||||||||||||
|
投稿日時: 2005-10-04 21:36
す、すみません、途中からついて行けなくなってます(^o^;アセアセ
元々考えていたのは、MMXさんのリンク先にあるような、「善意を装った悪意のコード」でした。それをストレートに書けばよかったです。申し訳ない。。。 次に考えたのが、私も自分のウェブページでコードを出していますが、 「このコードをそのまま使われて、ミスがあった場合、誰が直すんだろう?」 ということです。 実際、「お待ち下さい」画面の説明で、私は InProc 管理でしか使っていなかったので ok だったコードが、SQL Server 管理だと ng だという報告がありました。そこで、「SQL Server に対応したコードを出せ」と言われていると、困るなぁ、と思いまして。 # 現在、SQL Server でも ok なコードになっています。 まぁ、私のページでは、 「実行する前に内容をよく吟味し、生じる結果について自己責任を持てる場合のみ、使用してください。」 とか、 「ソースファイルのコピー、流用については、自分でメンテナンスできる場合のみ、許可する」 とか書いて逃げているんですけどね。 著作権云々は、ここから派生しています。「そのまま使うな」「理解して使え」ということを、どう印象づけるか、というところから、安易に法律に走ってしまいました。よけいな方向に走ってしまっているようで、申し訳ありません。 _________________ | ||||||||||||||||||||||||||||||||||||||||||||
|
投稿日時: 2005-10-27 00:51
ずいぶん間を空けてしまいました。すみません。
違います。 バックドアを仕掛けられたら「アクセス制御を行っていない」 とみなす法律に意義はあるのか、という観点です。それでは全くの ザル法です。ザル法にしたい向きには好都合でしょうけど。
私が見ている範囲では、そうではありません。 まあ、見ているものの違いから生じる考え方の差でしょう。 カカクコムの事件の際には、「うちが不正アクセスを受けた痕跡が ないか調べてくれ」とか、「うちのサイトは大丈夫だろうか。 テストしてみてくれ」とかといった話がやってきました。 この泥縄式の対応はどうなんよ、というのはとりあえず置いといて。 「ああやって言い逃れしていれば大丈夫なんだ」なんて反応は ありませんでした。 というか、カンバンに傷がつくことを重大なリスクと捉えていない のであれば、すでに(最初から?)モラルハザード状態では ありませんか? そんな連中を取り締まってどうにかなるのかなあ。 違法スレスレの商売をやってる業者が、バイト同然の弱い立場の 従業員を名目上の責任者に仕立て上げて、警察沙汰の際にはそいつに すべて押し付けて自分たちは逃げるということをやってたりしますが、 それと同じことをするだけなんじゃないかしらん。 それから、何度も繰り返し出てくるので一度だけ。 私は、「サイバーノーガード戦法」だの「カカクメソッド」だの という言葉は「見なかったこと」にしてきました。 例のサイトの人々がサイバーノーガードなどと言い出してから 結構経ちますので、そういう言葉を使うことがどういう反応を 招くかもご存知でしょう。
おっと。それは見落としていました。 ですが、実際問題として不正アクセス禁止法律で管理する側の責任を 問われていますか? 個人情報保護法には啓蒙的な趣旨があるけれども、 そのレベルすらないような... いずれは欧州のようにいろいろと取り締まってゆくことになるんでしょう けど、現在はその前の段階じゃないのかな。 | ||||||||||||||||||||||||||||||||||||||||||||
|
投稿日時: 2005-10-27 01:27
がるです。
お返事もらえてちょっとご機嫌になってます(笑 # 内容的に、色々議論の華を咲かせたいと思っているので。
非常に難しいですね。 ただ、現在のところ「プロトコルが異なってもアクセス制御 されているとみなす」点において十分にザル法になっている というのもまた事実です。 あとは、バックドア関連については、少なくとも 「そのバックドアを仕込む際に」なんらかの不正アクセスが 発生しているであろうと予測されるので、そういった 意味では、仕込む際に「アクセス制御機能の不正な回避 が行われた」とみなされるのではないかと"期待"して います。 でまぁ、ちょっと飛び越えて想定すると「アクセス制御機能 の不正な回避によってinstallされたものを用いてのアクセス だからそれらはすべて不正アクセス」って…判例になると いいなぁと。 この辺は妄想たっぷりですが。 ちなみに。 「管理者が実行ファイルを不用意に動かしてその結果 バックドアがinstall」 などというおっかない話しは意図的にオミットしてます :-P
このあたりはまぁ、色々あると思うのですが。
んっと、ちなみに質問なのですが。 そこでセキュリティホールが見つかった後の、そういった 企業さんの対応ってどうでしょう? # 純粋に質問です。念のため。 というのも。 自分の知っている範疇の企業は、やはり同様の話を持ってくる のですが。 ホールが見つかった後「一定の改修費用を支払ってでも改修する」 事に対して、稟議書反応が大変鈍いです :-P 平たく言うと「危険なのは分かったけど予算が下りないから とりあえず放置」って感じです。 一応、知っている両手の指程度の会社さんの対応なので、 そんなに特殊でもないかなぁ、と。 # いやまぁ私の知っている会社という母集団そのものに # 偏りがある可能性も否定できないのですが(苦笑
んっと。 何人か、一応気に入っている社長さんたちと膝を詰めて 話しをしたことがあるのですが。 セキュリティホールに対して「カンバンに傷がつく」ほど の認識が出来ていないみたいです。 個人情報流出について「でも銀行もいっぱい…」とか 「ヤフーみたいにひとり500円くらいでなんとかなるんでしょ?」 とか。 多分、モラルハザードの前に「認識できていない」という もうちょっと根の深い問題があるように思います。 ちなみにセキュリティホールですが、被害を金額に 換算すると、割と理解が深まります(笑
あ〜…否定できない(苦笑 ただ、それでも法の下に、ある程度の抑止力があれば なぁ、って。そのあたりはまぁ期待ですねぇ。 甘々な見解って見方もありますが :-P
肯定否定の双方の側面を、一応それなりに見ているつもり です。 ただ、個人的には、あの批判というか揶揄というかに 相応の理「も」あると思っているので。 場合と場所にもよりますが、意図的に使っている場合も あります。
「責任がある」とはかかれています。啓蒙的な趣旨についても。 もっとも「過失に対する刑罰」が存在していないので、 あまり法律的には意味のあるものではありませんが :-P
「その前の段階」というと、どんなものを想定されて ますでしょう? 個人的には、きっちりと法律を「現実に沿ったものに」 していってほしいなぁと。 つまり、すでに十分「時期」なのではないかなぁとか 思ってたりするので。 ってか、逐条文見る限りではもうちょっとマシな 法律だったはずなんだけどなぁ…… ちぃと雑感ばかりになってしまい恐縮ですが。 |