- PR -

パスワード情報はシステム情報かユーザ情報か?

«前のページへ 1|2|3
投稿者投稿内容
hirarin
常連さん
会議室デビュー日: 2002/02/28
投稿数: 45
お住まい・勤務地: 長野県松本市
投稿日時: 2002-11-11 15:00
引用:

ファインコートさんの書き込み (2002-11-01 18:02) より:
hirarinさんアドバイスありがとうございます。
hirarinさん他皆さんの意見は、すべて、パスワード情報は「ユーザ情報」ですね。
私も、個人のパスワード情報はユーザ情報であると思えてきたのですが、それでは、「パスワードファイルが盗まれる」といった場合はどうでしょうか?つまりユーザ全員のパスワードが盗まれてしまう場合です。この質問は、私の最初の質問とは違うのですが。


この場合は,サーバーに不正アクセスがあった場合と受けてよろしいのでしょうか?
不正アクセスの場合,これは犯罪行為なのでシステム管理者が警察に摘発するべきです.
ファインコート
会議室デビュー日: 2002/11/01
投稿数: 11
投稿日時: 2002-11-11 15:06
hirarinさんアドバイスありがとうございます。


「この場合は,サーバーに不正アクセスがあった場合と受けてよろしいのでしょうか?」
そういうことを想定しいます。
しょむ
ぬし
会議室デビュー日: 2001/09/06
投稿数: 430
投稿日時: 2002-11-12 13:54
軽く読んでみてもわからないな…

根本的な疑問として、「システム情報」と「ユーザ情報」ってなんですか?厳密な定義がどうなるか一度整理してみてください。その定義に依ったとき「システム情報でもありユーザ情報でもある」ような情報はありえませんか?

人間(ユーザ)もしくはシステム/アカウント/パスワードおよびアクセス権限/アクセス対象(直接/間接での参照/作成/変更/削除/実行(?))について考えてみてください。

一般的に、あるアカウントに設定できるパスワードがひとつであるようなシステムでは、あるアカウントに対して、特定の単数もしくは複数のアクセス対象へのアクセス権限を許可/不許可に設定します。ロールとか ACL とかパーミションとか呼ばれるモノですね。
単純なシステムでは、アクセス権限群が固定的です。

--------以下、たぶんオフトピ

それから、「複数の人間がひとつのパスワードを共有する」なんてことは、ほんとにやっていいものかどうか、よく考えてください。
# ってこっちが言いたかった:b

- パスワードはいついかなるときも変更可能であるべき
- パスワードは第三者に知られてはならない(= 知られうる機会は最小にとどめる)
- システムを利用する人の構成はいつでも変更されうる

あたりがキーです。



[ メッセージ編集済み 編集者: しょむ 編集日時 2002-11-12 14:06 ]
ファインコート
会議室デビュー日: 2002/11/01
投稿数: 11
投稿日時: 2002-11-12 17:49
しょむさんアドバイスありがとうございます。

私は、
システム情報 システムの稼動のために必要な情報
ユーザ情報  ユーザ固有の情報(システムの稼動のためには必ずしも要しない情報)
と考えています。

と、定義すると、パスワード情報は、
「「システム情報でもありユーザ情報でもある」」
と考えることができますが、
パスワード情報漏洩によりパスワード情報が不正アクセスに利用される可能性があるというセキュリティの面から考えると、
システム情報により近い、
と考えます。
m.ku
大ベテラン
会議室デビュー日: 2002/09/15
投稿数: 184
投稿日時: 2002-11-13 18:40
> パスワード情報漏洩によりパスワード情報が不正アクセスに利用される可能性が
> あるというセキュリティの面から考えると、 システム情報により近い、と考えます。

ん〜システム情報/ユーザ情報という区分ではなく、他の分類を考えた方が
より適切かと感じます。今までの流れを見るに、無理にシステム情報などの
分類に押し込めている窮屈さが他者との認識の乖離を生んでいる様に見えます。

余談になりますが、プログラミングなどで利用できる分類法の適切な書籍は存じませんが、
探せば面白そうなジャンルかと思いますけど、どなたかご存知でしょうか?
(できれば新し目で、国内出版のものだといいのですが)
しょむ
ぬし
会議室デビュー日: 2001/09/06
投稿数: 430
投稿日時: 2002-11-13 22:37
# 漏れたら困るような情報がシステム情報である、
# なんてどこにも書いてないですから厳密な定義ににはなっていない、
# ということはおいといて:b

> 「「システム情報でもありユーザ情報でもある」」
> と考えることができます

で結論が出ていると思われます。

ここからさらに「システム情報が8割、ユーザ情報が2割、割合の定義はこれこれこういう式で表せて…」という風になっていくのをお望みですか?

それとも、「みんなはユーザ情報だっていうけど、こう考えればシステム情報とも言えるじゃん!」「あなたは正しい/いやまちがってる」という議論がお好みでしょうか。

私の感覚ではそもそも定義が違うので議論にもなりませんし、そもそもシステム情報/ユーザ情報二元論なんてのは意味がない(というか単純分類/定義不能)と思っていますので、これ以上は遠慮しておきます。

# 仮に答えが出たとしても、それが技術的にどういう意味があるのか疑問ですし。
# Excel の表のどの場所に書けばお客さんや上司に納得してもらえるか、なら別のお話。

ユーザ固有のパスワードが、どの人/どのシステム要素に対してどの程度隠蔽されているべきか、という話ならば技術的な意味がありそうですが。
ファインコート
会議室デビュー日: 2002/11/01
投稿数: 11
投稿日時: 2002-11-14 10:47
m.kuさん、しょむさんアドバイスありがとうございます。

確かに、私も
「システム情報」、「ユーザ情報」に二区分できるものなのか、
その区分にどの程度の意味があるのかということことについも、
疑問があったのですが、そのへんのところも含めて皆さんの意見が聞けて、
私にとっては、有意義なものでした。

ありがとうございました。
«前のページへ 1|2|3

スキルアップ/キャリアアップ(JOB@IT)