アカウント名:
パスワード:
司法制度の問題というか、セキュリティが甘い側に対する処分が弱すぎるのもサイバー犯罪を助長させていると思うんですけどね。
確かに不正アクセスで情報を盗み出す側の方が悪い、と言われたらそれは否定できないのですが、杜撰なセキュリティ対策で情報を漏洩させた側が「自分たちも被害者だ」と開き直り、ろくに責任を取らないことを許していると、個人情報を持つ企業の側で対策する必要性が薄れてしまい、事故が続くのでは?と思います。いわゆる「サイバー・ノーガード戦法」が成立してしまううちは、何かしらのトラブルが続くんじゃないかな、と……。
つい先日もクレジットカードのセキュリティコードまで保持してたサーバーが漏洩やらかしましたしね。杜撰な設計のシステムを持つこと自体が多大なリスクになって忌避されない限り、類似の事件は続くと思います
そういう事言い出したらセキュリティに問題があるOSを販売してる所が一番悪いって話に
セキュリティ対策に「絶対」はないですし、OSほどに機能が複雑化してれば仕様漏れやバグがあるべきじゃない、と考えるのは流石に理不尽です。(もちろん作る側がバグや脆弱性がゼロになるよう作る、というのは否定しません)
なので、セキュリティに問題があっても適切にパッチがなされていれば問題ないのでは。もちろん直近で言えばもうすぐサポートが切れるWindows XPのように、いつまでパッチを出すことを標準とするか、は難しいですけど。
少なくとも、私が上に挙げた「サイバー・ノーガード戦法」にしても、適切にパッチを当てたりアクセス権の設定をする、見えて困るデータは持たない(ハッシュ化する)等をきちんとやっているシステムでは、そのような誹りを受けることはない筈です。
もちろん、どれくらい以上のセキュリティ不備を過失として責任を追及するかの線引きは難しいですが、ACCSの事件のように「最低限の知識さえあれば特殊なツールを使わずとも外部から見れた」とか、2chビューアの漏洩事件みたいに「クレジットカード協会の規約上、保持するべきでないとされる情報まで保持していた」場合などは重過失として扱い、民事的な責任だけでも負わせていかないといけないのでは?と思うんです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
吾輩はリファレンスである。名前はまだ無い -- perlの中の人
誰が悪いのか、という話 (スコア:2)
司法制度の問題というか、セキュリティが甘い側に対する処分が弱すぎるのもサイバー犯罪を助長させていると思うんですけどね。
確かに不正アクセスで情報を盗み出す側の方が悪い、と言われたらそれは否定できないのですが、杜撰なセキュリティ対策で情報を漏洩させた側が「自分たちも被害者だ」と開き直り、ろくに責任を取らないことを許していると、個人情報を持つ企業の側で対策する必要性が薄れてしまい、事故が続くのでは?と思います。
いわゆる「サイバー・ノーガード戦法」が成立してしまううちは、何かしらのトラブルが続くんじゃないかな、と……。
つい先日もクレジットカードのセキュリティコードまで保持してたサーバーが漏洩やらかしましたしね。
杜撰な設計のシステムを持つこと自体が多大なリスクになって忌避されない限り、類似の事件は続くと思います
Re: (スコア:0)
そういう事言い出したらセキュリティに問題があるOSを販売してる所が一番悪いって話に
Re:誰が悪いのか、という話 (スコア:2)
セキュリティ対策に「絶対」はないですし、OSほどに機能が複雑化してれば仕様漏れやバグがあるべきじゃない、と考えるのは流石に理不尽です。(もちろん作る側がバグや脆弱性がゼロになるよう作る、というのは否定しません)
なので、セキュリティに問題があっても適切にパッチがなされていれば問題ないのでは。もちろん直近で言えばもうすぐサポートが切れるWindows XPのように、いつまでパッチを出すことを標準とするか、は難しいですけど。
少なくとも、私が上に挙げた「サイバー・ノーガード戦法」にしても、適切にパッチを当てたりアクセス権の設定をする、見えて困るデータは持たない(ハッシュ化する)等をきちんとやっているシステムでは、そのような誹りを受けることはない筈です。
もちろん、どれくらい以上のセキュリティ不備を過失として責任を追及するかの線引きは難しいですが、ACCSの事件のように「最低限の知識さえあれば特殊なツールを使わずとも外部から見れた」とか、2chビューアの漏洩事件みたいに「クレジットカード協会の規約上、保持するべきでないとされる情報まで保持していた」場合などは重過失として扱い、民事的な責任だけでも負わせていかないといけないのでは?と思うんです。