アカウント名:
パスワード:
これに対し、セキュリティ研究者の高木浩光氏は「業界の信用を傷つける思想」と批判、抗議するべきと訴えている。
「業界の信用」があるなんて思想はどこにあるのでせうか?
>私自身、最近、インシデント対応の当事者としてセキュリティ事業者に業務を発注する立場を初めて経験したが、>切迫する状況の中で、セキュリティ事業者にホイホイとデータを渡して分析を依頼するわけだが、後から思えば、>契約の内容がどうなっているかをチェックする余裕などなかった。そこには、当然、セキュリティ事業者たるもの、>当該事案に係る情報しか取得しないし、事案が必要とする限度を超えて保管し続けたり、流用することなどあり得ない>だろうという信用によって、ホイホイとデータを渡すわけである。
この部分はこれ産総研の情報システムに対する不正なアクセス [aist.go.jp]のことだと思うが不正アクセスを分析するためには業者にシステムやログをみせないワケにはいかんわけで、トレンドマイクロみたいな論法で個人情報収集して「業界標準問題なし」とか開きなおられたらそれはもう不正アクセスした攻撃者となんらかわらん。
組織のセキュリティ担当としては、トレンドマイクロの姿勢は業界で取り締まってもらわないと困る、ということだろう。
考えたけど、やっぱ自分も「業界の信用」なんて観念は持ってないなと思う。「セキュリティ」を自称する企業は山ほどあって、ぶっちゃけ9割方眉に唾を付けて相手の信用を判断しているのが、スラド住人ぐらいのレベルの人にとっての「普通」だろう。その常識はスラド住人が偏ってる訳じゃなくて、むしろ一般人もその意識でセキュリティ業界に接するのが適切というものだろう。
セキュリティ業界「だから」信用するなという話でも無くて、要は単なる肩書では相手の信用を測るものさしにはならないということ。セキュリティであろうが金融であろうがその他のサービスであろうがリスクを孕む権限を相手に渡すことはままあるもので、それが必要なものだと納得すれば渡すもの。但しそれはその特定企業(個人)の信用あってのもの。業界とは関係ない。
セキュリティ業界の中でもトレンドマイクロはやっぱ信用できないよねとシンプルに考えればいいだけだと思う。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ研究家
どこどこ? (スコア:0)
「業界の信用」があるなんて思想はどこにあるのでせうか?
Re:どこどこ? (スコア:1)
>私自身、最近、インシデント対応の当事者としてセキュリティ事業者に業務を発注する立場を初めて経験したが、
>切迫する状況の中で、セキュリティ事業者にホイホイとデータを渡して分析を依頼するわけだが、後から思えば、
>契約の内容がどうなっているかをチェックする余裕などなかった。そこには、当然、セキュリティ事業者たるもの、
>当該事案に係る情報しか取得しないし、事案が必要とする限度を超えて保管し続けたり、流用することなどあり得ない
>だろうという信用によって、ホイホイとデータを渡すわけである。
この部分はこれ産総研の情報システムに対する不正なアクセス [aist.go.jp]のことだと思うが
不正アクセスを分析するためには業者にシステムやログをみせないワケにはいかんわけで、
トレンドマイクロみたいな論法で個人情報収集して「業界標準問題なし」とか開きなおられたら
それはもう不正アクセスした攻撃者となんらかわらん。
組織のセキュリティ担当としては、トレンドマイクロの姿勢は業界で取り締まってもらわないと困る、ということだろう。
Re: (スコア:0)
考えたけど、やっぱ自分も「業界の信用」なんて観念は持ってないなと思う。
「セキュリティ」を自称する企業は山ほどあって、ぶっちゃけ9割方眉に唾を付けて相手の信用を判断しているのが、
スラド住人ぐらいのレベルの人にとっての「普通」だろう。
その常識はスラド住人が偏ってる訳じゃなくて、むしろ一般人もその意識でセキュリティ業界に接するのが適切というものだろう。
セキュリティ業界「だから」信用するなという話でも無くて、要は単なる肩書では相手の信用を測るものさしにはならないということ。
セキュリティであろうが金融であろうがその他のサービスであろうがリスクを孕む権限を相手に渡すことはままあるもので、
それが必要なものだと納得すれば渡すもの。但しそれはその特定企業(個人)の信用あってのもの。業界とは関係ない。
セキュリティ業界の中でもトレンドマイクロはやっぱ信用できないよねとシンプルに考えればいいだけだと思う。