あるBLOGでコメントの応酬をしてたのですが、とても長くなってきたので記事にしました。
妙なエントリになります。
どうなるかわかりませんし立ち消えかも知れませんが、まぁ、BLOG初心者ですし。実験です。
あ。
言葉尻じゃなくて、わたしの考えてるストーリーの矛盾とか、その前提を否定する意見、見解が得られると個人的にはとてもうれしいです。
---
あらすじ:
カカクコム、Ozmall事件についてのお話です。
2社が、「セキュリティに関する情報を開示しない」と発言していることについて、
・IT-Expさんは「不誠実だ」、「開示しないのは日本のITに害だ」と主張されているようです。
・わたしは「この上なく誠実である可能性が高い」、「開示こそITに害である可能性が高い」と思っています。
<ins>(2005/06/01 23:00追記:IT-Expさんの主張はこうじゃないと指摘されたけど、修正案がもらえなかったので放置。どこが違うんだろう)</ins>
noharmさんの、BLOG、「
noharmのおうち:OZmall(オズモール)不正アクセス事件」...のコメント欄
IT-Expさんの、BLOG、「
IT技術者のつぶやき: OZmall お前もか!」の記事とコメント
が舞台でした。
まぁ、セキュリティの文脈において「過失」とは、
尺度によって変わって来ますし、わたしの尺度でどうなのかも、想像するしかないのですけど。
「
IT技術者のつぶやき: OZmall お前もか!」の記事
(KimI(diska))
>それなら、秘密保持契約付きでも情報を公開する
>リスクを冒す意味がない。
>さらに、情報提供を受けた当事者が、BLOGで公開
>とか匿名掲示板とか、足の付きにくい場所がいくら
>もあるのに、こんなキャッチーな情報を流さない
>動機として「価格.comに都合が悪い情報を隠蔽す
>るため」だけというのはあまりに不十分で不自然。
>それなりな情報がリークされれば、メディアなり
>BLOGなりが取り上げるのが必然だが、それもまだ
>観測されてない。
(IT-Exp)
そんな事されたら、秘密保持契約も何もあったもんじゃないですね。
何でも有りですか。法治国家の崩壊かな?
(KimI(diska))
>それなりな情報がリークされれば、メディアなりBLOGなりが取り上げるのが必然だが、それもまだ観測されてない。
(IT-Exp)
まるで情報の提供が始まったら、リークされて当たり前みたいな書き方ですね。
少なくとも、5/26の時点では情報提供の時期はまだ決まっていないですよ。
(http://memo.st.ryukoku.ac.jp/archive/200505.month/8469.html 参照)
情報の提供はもう始まっているのでしょうか?
<ins>(2005/06/01 23:00追記:引用がおかしかったのを指摘されたので修正。これであってるかな)</ins>
逆です。
人に絶望してるのでなく、人を信じてるからそう思います。
私の前提は、基本的に人間は良心に基づいて行動しているということです。
カカクコムが現在不誠実な事をしているならば、秘密保持契約を情報を得た人が増えた時点で、契約破棄によるリスクより、良心を取る人が出てくるだろう、と考えています。
まだ情報が提供されていないというのは知りませんでした。
当該サイトは認証が必要で、信用度を判断する術がないので、わたしは参照しません。
また、わたしの認識では、警察は情報を得ています。
カカクコムの利害だけで情報を隠蔽していると考えた場合、
1)警察がカカクコムの情報隠蔽を黙認している
2)警察がカカクコムの情報隠蔽を示唆している
3)警察が情報を得ているという前提が間違っている=価格コムが捜査妨害していて、且つ、警察が怠慢である
以外のシナリオを思いつかないのですが、他の可能性があるでしょうか?
私は2だと思っています。
「
IT技術者のつぶやき: OZmall お前もか!」の記事
> 「公表しないことをセキュリティ会社の他の顧客が納得するだけの理由」
申し訳ありませんが、これの意味が分かりません。
何故、他の顧客が納得しなければいけないのでしょう?
IT-Expさんの考えるストーリーが見えないので説明しがたいのですが、「他の顧客」に情報が廻っていないと考えるのは不自然に思えます。
少なくとも、セキュリティ会社は、自分がかかえる他の顧客に対し、説得できる程度の正当性のある理由は示す必要があります。さもないと、「他の顧客」周辺で、メディアが喜びそうな動きがあるはずです。
カカクコムが単独で情報隠蔽しているとしたら、セキュリティ会社が正当性を主張できるとは思えません。
なので、カカクコムが単独で情報隠蔽しているとは考えられません。
セキュリティ会社は情報を持っていて、必要に応じて「他の顧客」に説明していると考えます。
その説明を全ての「他の顧客」が納得していなければ、情報隠蔽は失敗すると思います。
そして、今、情報隠蔽は成功しているように見えます。
「
IT技術者のつぶやき: OZmall お前もか!」の記事
> 「刑事裁判?を起こされないだけの正当性を主張する自信」
サービス提供側のセキュリティ対策が適切でなかった場合って、
どのような罪(法律)に問われるんでしょうね。
教えていただけないでしょうか。
法律に詳しくないことは「?」をつけたところで察していただけると思いますが、上記の私のシナリオに沿って考えれば、罪に問われるなら3の状況「警察が情報を得ているという前提が間違っている=価格コムが捜査妨害していて、且つ、警察が怠慢である」が前提になります。
3の場合は警察が捜査している前提で、カカクコムが情報隠蔽しているということですから、公務執行妨害は確実でしょう。裁判になるかどうかは知りません。
セキュリティ対策が酷い様なら、顧客に対して不誠実であるというニュアンスの、恐らくは商法関係の問題が起こるでしょうし、踏み台にされていることを承知して原因究明を優先したということが立証されれば、いわゆるサイバーテロに荷担したという解釈も可能と思います。
刑事裁判で語弊があるなら、「警察が黙っているのはなぜか、黙らせている方法は何か」でもいいです。
「
IT技術者のつぶやき: OZmall お前もか!」の記事
> 情報隠しをして、それを非難する当事者が現れないのは、背後に市民的な
>正義があるからとしか思えない。
当事者とは誰のことを指しているのか分かりませんが、非難の声は出ていますよね。
例えば、IT Pro の以下の記事
カカクコムは情報をきちんと公開すべきだ
(http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20050525/161530/)
当事者とは「IT Proの記者」とかBLOGGERとかの外野に対して、情報を得ている人間、具体的にはカカクコム社員や、情報提供を受けているであろう人間、警察、セキュリティ会社、という意味で使いました。ITPro記事によればIPAもその意味で情報を得ている当事者ように見えます。
そういった意味での、
全ての当事者が、口裏を合わせて
カカクコム一社の利害のために動いているということが考えられるでしょうか?それとも、カカクコム一社がセキュリティ会社や警察の調査を妨害している(それだけの悪意と能力がある)と考えるべきでしょうか?
わたしの主観でしか言えないのですが、IT技術者は、「失敗する可能性のあるものは、失敗する」というマーフィの法則に敬意を払い、万全などという者は有り得ないと考え、また、その考えは非技術者に理解されないものであり、有り得ない万全に近く見えるものを作る努力をするものだと考えます。
カカクコムが「過失はなかった」という文言を選んで説明したことは、システムズエンジニアであれば察するものがあると信じます。
世間的に見て充分過ぎるほどのセキュリティを確保していた上で「過失があった」と発言して、それが市民に受け入れられるようなことになれば、同等のセキュリティレベルの商用サイトが対策を迫られ予算が膨らんで軒並み潰れたりすることや、それに伴うセキュリティ企業のダメージ、セキュリティ企業の現象によるシステムの画一化、それによる免疫力の低下、もっと言えば、ネット上に経済を持つ全ての国へのダメージなどなど、無理なく想像できます。ネットのない世界も一興ではあります。おもしろいかも、幸せかも知れませんが、文字通りの意味で
テロに屈したという図式に見えます。いえ、ほんとにそれがいいかも知れませんが。
本当に重大な過失があって「過失がなかった」と言っていて、セキュリティ会社も警察も事実の隠蔽に加担している、というのも想像できますが、あんまりうれしくありません。否定する理由は特に上げられませんが、そこまで疑り深くないです。それが可能な組織の統制は信じませんし、それを不可能にする個人を信じます。
本当に重大な過失があって「過失があった」といっていて、セキュリティ会社も警察もセキュリティ情報の隠蔽を黙認して何も動きがないという状況は理解できませんし、そのストーリーのバックグラウンド設定は想像できません。ムリヤリこじつけるなら、警察もセキュリティ会社も無能だという設定でしょうか?恐ろしい資本がバックにあって買収や暗殺で処理したとかでしょうか?
重大な過失がなくて、「過失がなかった」という言葉が選ばれたのなら、本当に情報を隠蔽する必要がセキュリティ会社にも警察にも、他の顧客たちにも感じられて当然と思います。これが一番自然に見えます。
ところで。
FFXIプレイヤーとしては、BOTNETによる特定企業の攻撃というのは、2ヶ月ほど前から極めて現実的なものと感じられます。カカクコム事件は、情報が少ないですし、具体的なことは不明ですが、侵食の規模や速度はこれまでにないレベルだったことは想像できますし、断片的に、BOTNETを匂わせる情報を目にした気がします。インジェクション等で必要とするいわゆる「HACK」、何度も叩いてみて穴を探す作業や、穴を見つけたら時間差をつけた複数のマシンからフィルタしにくい攻撃、人手を上回る執拗な改ざん、などをするためには、BOTNETは最適のように思えます。まぁ、今回の件とは関係ないかも知れませんね。想像です。
ITPro記事中、
もちろん詳細について公表する必要はないが,「対策を施すべきポイント」(例えば,「セキュリティ・ホールはきちんとふさいでおく」「アクセス制御を見直す」)ぐらいは公表してもよいのではないだろうか。それすらも言えないような“恐ろしい”攻撃なのだろうか。
とありますが、個人的には、誇張なしにそれくらい恐ろしい攻撃だったと考えています(この記事の「対策を施すべきポイント」の例は、文字通りなら、言われるまでもないので全くムダなような気はしますがそれはおいときます)。
また、個人的には、今後も、今回のアタッカー以外のアタッカーが、容易に再現可能な状況にあると考えています。
そうじゃなかったら、わたしの妄想なら、とっても幸せだなぁ、とも思うのですが。
参照記事:
noharmのおうち:OZmall(オズモール)不正アクセス事件...のコメント欄...発端。
IT技術者のつぶやき:OZmall お前もか!のコメント欄...続き。
ITPro:カカクコムは情報をきちんと公開すべきだ
あかまど(仮):朝日1面にBOTNET記事。
----
Diska