アカウント名:
パスワード:
これに対し、セキュリティ研究者の高木浩光氏は「業界の信用を傷つける思想」と批判、抗議するべきと訴えている。
「業界の信用」があるなんて思想はどこにあるのでせうか?
この業界では「端末内のすべてのファイルへのアクセス」「ネットから取得するすべてのファイルへのアクセス」ができないことには効果的な保護ができないためそれなりの信用がなければやっていけないと思いますが。
端末に「ウイルスと断定はできないが怪しい」と思われるファイルがあったらそれが何であれネットでラボに送信、なんてことがされたら大変だもの。
「行政機関は」なんて言える中の人は彼だけなのでしょうから、それなりに報道として尊重できるのでは?6月から久しぶりだし。
放っとけってのは#3509185のことでしょ
高木浩光もまあそうかも知れんけど
信用というのは、セキュリティ関連企業に"ユーザーの(プライバシーのための)セキュリティ"を守るとかいう事だとはおもいますが、
ソフトウェア利用許諾契約という観点でいえば、「問題が起こってから変更し変更内容は過去に遡る」を行おうとしたうえで、「申し訳ないけど、変更内容は(僕たちにとっては)必要な事だった」とかいったわけです。
つまり、彼らの裁量で必要な事と結論付けることができるなら、ソフトウェア利用許諾契約の内容の保証はしなくても良いという事になり、ソフトウェア利用許諾契約の信頼性を下げる行為を行ったわけです。
ソフトウェア利用許諾契約自体は、セキュリティ関連会社だけのものではなく、他のベンダー等も扱っているわけで、"セキュリティ"の文言がついていない、ソフトウェア関連企業の契約書の信頼性を脅かすことにならないかと
>私自身、最近、インシデント対応の当事者としてセキュリティ事業者に業務を発注する立場を初めて経験したが、>切迫する状況の中で、セキュリティ事業者にホイホイとデータを渡して分析を依頼するわけだが、後から思えば、>契約の内容がどうなっているかをチェックする余裕などなかった。そこには、当然、セキュリティ事業者たるもの、>当該事案に係る情報しか取得しないし、事案が必要とする限度を超えて保管し続けたり、流用することなどあり得ない>だろうという信用によって、ホイホイとデータを渡すわけである。
この部分はこれ産総研の情報システムに対する不正なアクセス [aist.go.jp]のことだと思うが不正アクセスを分析するためには業者にシステムやログをみせないワケにはいかんわけで、トレンドマイクロみたいな論法で個人情報収集して「業界標準問題なし」とか開きなおられたらそれはもう不正アクセスした攻撃者となんらかわらん。
組織のセキュリティ担当としては、トレンドマイクロの姿勢は業界で取り締まってもらわないと困る、ということだろう。
考えたけど、やっぱ自分も「業界の信用」なんて観念は持ってないなと思う。「セキュリティ」を自称する企業は山ほどあって、ぶっちゃけ9割方眉に唾を付けて相手の信用を判断しているのが、スラド住人ぐらいのレベルの人にとっての「普通」だろう。その常識はスラド住人が偏ってる訳じゃなくて、むしろ一般人もその意識でセキュリティ業界に接するのが適切というものだろう。
セキュリティ業界「だから」信用するなという話でも無くて、要は単なる肩書では相手の信用を測るものさしにはならないということ。セキュリティであろうが金融であろうがその他のサービスであろうがリスクを孕む権限を相手に渡すことはままあるもので、それが必要なものだと納得すれば渡すもの。但しそれはその特定企業(個人)の信用あってのもの。業界とは関係ない。
セキュリティ業界の中でもトレンドマイクロはやっぱ信用できないよねとシンプルに考えればいいだけだと思う。
「業界の信用」が高いと言っているわけではない。高めてゆかねばならない「業界の信用」なるものが傷つけられているといっている。ただでさえ低い又は皆無と認識されているものが更に貶められているから彼の御仁は吠えているわけで。その程度も理解出来ない?
ただでさえ低い又は皆無
全く仰るとおりで、だから「そもそも存在しないモノは傷つけようがない」という話なのですが。
存在しないからこれから高めていこうとしてるのに、その支障になるって話でしょ。
「抗議するべき」ではなく、この人は今は役人の立場なんだから、自分の職責で、きちんと抗議しろよと思う。
この人、人のやることにケチつけるだけだからな。
やってても公言はしないだろうね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり
どこどこ? (スコア:0)
「業界の信用」があるなんて思想はどこにあるのでせうか?
Re:どこどこ? (スコア:1)
この業界では
「端末内のすべてのファイルへのアクセス」
「ネットから取得するすべてのファイルへのアクセス」
ができないことには効果的な保護ができないため
それなりの信用がなければやっていけないと思いますが。
端末に「ウイルスと断定はできないが怪しい」と思われる
ファイルがあったらそれが何であれネットでラボに送信、
なんてことがされたら大変だもの。
Re: (スコア:0)
「行政機関は」なんて言える中の人は彼だけなのでしょうから、
それなりに報道として尊重できるのでは?
6月から久しぶりだし。
Re: (スコア:0)
放っとけってのは#3509185のことでしょ
高木浩光もまあそうかも知れんけど
拡大解釈してみる。 (スコア:1)
信用というのは、セキュリティ関連企業に"ユーザーの(プライバシーのための)セキュリティ"を
守るとかいう事だとはおもいますが、
ソフトウェア利用許諾契約という観点でいえば、
「問題が起こってから変更し変更内容は過去に遡る」を行おうとしたうえで、
「申し訳ないけど、変更内容は(僕たちにとっては)必要な事だった」とかいったわけです。
つまり、彼らの裁量で必要な事と結論付けることができるなら、
ソフトウェア利用許諾契約の内容の保証はしなくても良いという事になり、
ソフトウェア利用許諾契約の信頼性を下げる行為を行ったわけです。
ソフトウェア利用許諾契約自体は、セキュリティ関連会社だけのものではなく、他のベンダー等も扱っているわけで、
"セキュリティ"の文言がついていない、ソフトウェア関連企業の契約書の信頼性を脅かすことにならないかと
Re:どこどこ? (スコア:1)
>私自身、最近、インシデント対応の当事者としてセキュリティ事業者に業務を発注する立場を初めて経験したが、
>切迫する状況の中で、セキュリティ事業者にホイホイとデータを渡して分析を依頼するわけだが、後から思えば、
>契約の内容がどうなっているかをチェックする余裕などなかった。そこには、当然、セキュリティ事業者たるもの、
>当該事案に係る情報しか取得しないし、事案が必要とする限度を超えて保管し続けたり、流用することなどあり得ない
>だろうという信用によって、ホイホイとデータを渡すわけである。
この部分はこれ産総研の情報システムに対する不正なアクセス [aist.go.jp]のことだと思うが
不正アクセスを分析するためには業者にシステムやログをみせないワケにはいかんわけで、
トレンドマイクロみたいな論法で個人情報収集して「業界標準問題なし」とか開きなおられたら
それはもう不正アクセスした攻撃者となんらかわらん。
組織のセキュリティ担当としては、トレンドマイクロの姿勢は業界で取り締まってもらわないと困る、ということだろう。
Re: (スコア:0)
考えたけど、やっぱ自分も「業界の信用」なんて観念は持ってないなと思う。
「セキュリティ」を自称する企業は山ほどあって、ぶっちゃけ9割方眉に唾を付けて相手の信用を判断しているのが、
スラド住人ぐらいのレベルの人にとっての「普通」だろう。
その常識はスラド住人が偏ってる訳じゃなくて、むしろ一般人もその意識でセキュリティ業界に接するのが適切というものだろう。
セキュリティ業界「だから」信用するなという話でも無くて、要は単なる肩書では相手の信用を測るものさしにはならないということ。
セキュリティであろうが金融であろうがその他のサービスであろうがリスクを孕む権限を相手に渡すことはままあるもので、
それが必要なものだと納得すれば渡すもの。但しそれはその特定企業(個人)の信用あってのもの。業界とは関係ない。
セキュリティ業界の中でもトレンドマイクロはやっぱ信用できないよねとシンプルに考えればいいだけだと思う。
Re:どこどこ? (スコア:1)
「業界の信用」が高いと言っているわけではない。
高めてゆかねばならない「業界の信用」なるものが傷つけられているといっている。
ただでさえ低い又は皆無と認識されているものが更に貶められているから彼の御仁は吠えているわけで。
その程度も理解出来ない?
Re: (スコア:0)
全く仰るとおりで、だから「そもそも存在しないモノは傷つけようがない」という話なのですが。
Re:どこどこ? (スコア:1)
存在しないからこれから高めていこうとしてるのに、その支障になるって話でしょ。
Re: (スコア:0)
「抗議するべき」ではなく、この人は今は役人の立場なんだから、
自分の職責で、きちんと抗議しろよと思う。
この人、人のやることにケチつけるだけだからな。
Re: (スコア:0)
やってても公言はしないだろうね。