Hatena::ブログ(Diary)

極楽せきゅあ日記 このページをアンテナに追加 RSSフィード

2011-04-21

[]田中好子さん

いやーなんかショックだなぁ。今時55歳とか若すぎるよね。

http://www.nikkei.com/access/article/g=96958A9C93819695E0E3E2E19F8DE0E3E2E6E0E2E3E3E2E2E2E2E2E2;bu=BFBD9496EABAB5E6B39EBBA080A4B09885B3B4879091B4E0FDA6B38A82B3A0E1A3A7EBA1A18196FD8898E2EBE6B7A4EABFBBE7E5FDB79E9D97BCE4B9A39DEBEAA1B988A2A6A2A2A890AAAA99B7F9

3/11の大震災の日、関西大学で学会発表してたけど、そのとき東北関東のこととは関係無いくらいのどかにキャンディーズの春一番が流れていて、すごく印象に残ってます。

うわー。なんかご冥福をお祈りしますだけど、ちょっとショックすぎて言い切れないなあ。

[]原発問題

これで賠償とか、そういう部分が具体的な金額になってきたら、情報セキュリティ関係で昔から良くある「1000件漏洩したらいくら」的な推論のすさまじく深刻な具体例を見ることができるでしょう。

それが出てきたら、リスクの見積もりをめぐって主義主張的に争うまでもなく、ヤバくなったときの後始末も含めたコストで、存続の是非や続けるならどうすべきか、ということを議論できると思うんですけどね。なんか、Windowsが良いのかMacOSが良いのか的なにおいを感じてしまうのですが、今回のような事態をどうすれば避けられたのか、そのためにどれだけコストがかかるのか、そもそも避けられるものだったのか、避けられないにしても被害を抑えることは可能だったのか、そのためのコストは・・・ってな感じでお金のことをひたすら具体的に検証したら、今後のことは割とすっきり見えてくるんじゃないかと思ったりするんですが、どうなんでしょうかね。

[]パスワードは定期的に変えるべきなのか

もしかしたら、徳丸さんの パスワードの定期変更は「神話」なのか? - ockeghem's blogというエントリとかを目にしてて、そののちこの事件のことを知ったとしたらno title、混乱するかも知れませんね。7年間も変更していなかったから盗まれるか推測されるか、あるいは誰かが迂闊にもどこかで入力を見られてしまったとか、あるいはまた退職者が破壊行為を行ったとか、そういう事態に陥ったのではないか、というニュアンスで書かれていますからねえ。

7年も変更しなかったというのが即ちだめだめな運用だったということで責められまくってるようですけど、この会社のことうんとこさ好意的に見て徳丸説+ダークナイト説(no title)のようなポリシーのもと意図して変更していなかったんだとすると、いったい何がまずかったのでしょうか。

あり得る原因ごとに見てみますか。

退職者が悪さをしたんじゃないか説に対しては、まず退職処理としてアカウントの削除がきちんと行われていなかった、ということが想定できますね。さらに、退職者がシステムの管理者で、管理者権限のIDとパスワードを共有して運用していたのだとしたら、まずその運用は氏ね、と言いたい(笑)けど、それもまた退職者が管理者だったときの処理が不適切だったわけで、パスワードを定期的に変更しなかったからではないと思います。退職処理として変更すべきだったのであって、定期的に変更するのを待つような運用にすべきだということではないってことすね。いやー言葉難しい(笑)。

推測されてしまった説に対しては、パスワードの強度が問題だったということでしょうね。では推測ではなく、総当たりでやられたのでは、という向きに対しては強度+監視の問題だと捉えたいですね。強いパスワードなら推測は容易ではないでしょうし、総当たりでもそれほど速く当たりを出されることもない。3回トライして駄目なら1時間トライできないってな具合のアカウントロック機能とかが備わっていたら、単位時間当たりのトライ数は激減しますしね。逆に言えばそういう仕組みを備えておくべきでしょうし、そうでないのだとしたらそれこそ定期的に変更すべきということでしょう。

では盗まれたとか、あるいはショルダーハックされたという説に対しては?盗まれる原因もいろいろあるでしょうけど、ネットワーク盗聴的なことが原因で盗まれたのだとしたらそれはネットワーク盗聴的なものへの対策が不十分だったってことだし、リモートログインする端末に怪しいブツが仕込まれていたせいで盗まれたのだとしたら怪しいブツ仕込まれる対策が不備だったってことだし、ショルダーハックされちまったんだとしたら、なぜそんなことやられるところでパスワード入力させたんだってことだしねえ。定期的な変更で弱いリスクヘッジはできるかも知れないけど、でも他の課題や問題点にきっちり対策するってのが重要ですよね。そもそもそっちがおそろかだと、他にもいろんなリスクがありますからねえ。

[]最近安売りがなんだか多いような

[rakuten:book:14385110:detail]

楽天の場合、どのショップのヤツを貼ればいいのか都度迷うなw。ほとんど利用したことないからなあ。HMVのが引用できると良いのに。

Parting Shot : Steve Khan | HMV&BOOKS online - FNCJ-5545