アカウント名:
パスワード:
この手のもので100%完全な物は存在しないのは間違いないと思うのだけど、一方でこの会社(の誰か)はそのリスクを認知していた、正しくリスク評価ができていたのかどうかが気になります。
製品のジャンルも何も違うのだけど、自分の会社の製品の開発中にとんでもない穴があるのをレビューだったりふとした拍子に気づいて修正や対策を依頼しても、「そんなことする奴いるか!?」で一蹴されることが多いです。自分がプロジェクトマネージャであった場合でも、自分の権限で指示してもさらに上の人間や品質部門の偉い人(!)を使ってひっくり返されてしまう。
いや、確かに、大した数が出る製品じゃないし、直接公衆の人々がアクセスできるようなものではないけれども、開発者の視点に立てば比較的気づきやすい大穴が開いているのはいかんと思うのです。
電子機器の開発も、あるセキュリティレベル以上の商品や職位は資格を必要(士業)とすべきではないかと本気で思うんですよね。
1,すでに出荷されている製品に欠陥発見2,報告3,億単位の費用がかかるから隠蔽4,内部告発なんて同族系企業だから無理どこかに密告しかない
なんて、経験ありますか?
そんなもん、何度でもありますよ。(4はないですが)ただ、現実に被害が出る欠陥なのかの見極めが難しいんですよ。だから必ずしも隠蔽、ということではなくて、(その時は)判断という扱い。
ただ、欠陥が露見する可能性の見極め、露見した場合(および悪用された場合)の影響の見極めが甘くて、「そんなことする奴はいないだろう」という「判断」に名を借りた「隠蔽」になりかねない・・・。
明らかに法に触れるような話なら隠蔽はないけれども、普通は露見してないセキュリティリスクの存在は法には触れませんからねぇ・・・。まあ、直接命に関わったり、金銭を扱ったりする機器じゃないのが救いですけど。(そういうところはもっとしっかり判断してると信じたいですね)
実際のところ、大問題になったことはないけれども、小規模な問題で結局「判断」が間違っていて傷口広げた(広げられた)ことはあります。「絶対露見して問題になる」と警告した通りのことが起きただけなのですが、当時隠蔽した馬鹿判断した人間に『なんでもっとちゃんと強く言わなかったんだよ』とか責められました。・・・が、呆れて馬鹿馬鹿しいとしか言いようがなかったです。
某社のBCASカードかな?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー
完璧な物は存在しない・・・・が・・・ (スコア:1)
この手のもので100%完全な物は存在しないのは間違いないと思うのだけど、一方で
この会社(の誰か)はそのリスクを認知していた、正しくリスク評価ができていたのか
どうかが気になります。
製品のジャンルも何も違うのだけど、自分の会社の製品の開発中にとんでもない穴が
あるのをレビューだったりふとした拍子に気づいて修正や対策を依頼しても、
「そんなことする奴いるか!?」で一蹴されることが多いです。
自分がプロジェクトマネージャであった場合でも、自分の権限で指示してもさらに上の
人間や品質部門の偉い人(!)を使ってひっくり返されてしまう。
いや、確かに、大した数が出る製品じゃないし、直接公衆の人々がアクセスできるような
ものではないけれども、開発者の視点に立てば比較的気づきやすい大穴が開いている
のはいかんと思うのです。
電子機器の開発も、あるセキュリティレベル以上の商品や職位は資格を必要(士業)と
すべきではないかと本気で思うんですよね。
Re: (スコア:0)
1,すでに出荷されている製品に欠陥発見
2,報告
3,億単位の費用がかかるから隠蔽
4,内部告発なんて同族系企業だから無理
どこかに密告しかない
なんて、経験ありますか?
Re:完璧な物は存在しない・・・・が・・・ (スコア:2, 興味深い)
そんなもん、何度でもありますよ。(4はないですが)
ただ、現実に被害が出る欠陥なのかの見極めが難しいんですよ。
だから必ずしも隠蔽、ということではなくて、(その時は)判断という扱い。
ただ、欠陥が露見する可能性の見極め、露見した場合(および悪用された場合)の
影響の見極めが甘くて、「そんなことする奴はいないだろう」という「判断」
に名を借りた「隠蔽」になりかねない・・・。
明らかに法に触れるような話なら隠蔽はないけれども、普通は露見してない
セキュリティリスクの存在は法には触れませんからねぇ・・・。
まあ、直接命に関わったり、金銭を扱ったりする機器じゃないのが救いですけど。
(そういうところはもっとしっかり判断してると信じたいですね)
実際のところ、大問題になったことはないけれども、小規模な問題で結局「判断」が
間違っていて傷口広げた(広げられた)ことはあります。
「絶対露見して問題になる」と警告した通りのことが起きただけなのですが、
当時
隠蔽した馬鹿判断した人間に『なんでもっとちゃんと強く言わなかったんだよ』とか責められました。
・・・が、呆れて馬鹿馬鹿しいとしか言いようがなかったです。
Re: (スコア:0)
某社のBCASカードかな?