パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

上場企業などに対し無断で攻撃を行ったセキュリティ企業、対象からの同意なしでの侵入テスト合法化を主張」記事へのコメント

  • by GameKeeper (777) on 2015年04月28日 19時45分 (#2805836)

    「サイバー空間」なるものがこの世界から隔絶された別ルールの世界だと思ってるのかな。

    提案資料PDFを見る限りでは、スプラウトに対してのペネトレーションテストも
    文句言わないよね?

    で、サーバーやネットワークのセキュリティって物理的な攻撃に対して
    脆弱であることが多いと思うんです。
    私は、スプラウトさんのサーバーが物理的に脆弱じゃないか心配で仕方が無いので
    チェックしたいな。 ええもちろん、動機はスプラウトさんが心配だからですよ。

    ドアが十分頑丈かピッキングしてみたり、昼休み時間帯に物理的に進入してみたり。
    お電話等でのソーシャルエンジニアリングも受付が変わるかもしれないので毎日確認しないとね。
    それに対して異論があるなら、許可を得ていない相手企業にセキュリティチェックをかける資格は無いよね。

    • by Anonymous Coward on 2015年04月28日 20時51分 (#2805871)

      >「サイバー空間」なるものがこの世界から隔絶された別ルールの世界だと思ってるのかな。

      本来そうなんだと思うよ。繋いだ人は誰でもどんなアドレスにでも好きなパケットを投げても良いのがインターネット。
      歴史的には、インターネットにコンピュータを繋げる行為なんてのは、なんでも好きなパケットを送って下さい、
      こっちで適当に処理しますから、という意思表示だというところからスタートしてるし。

      そう言いつつ防御が手薄で、不正アクセスによる実害が発生し始めたから、犯罪者を捕らえるために、不正アクセス防止法が出来たけど。

      あくまでそれは、実害を出した奴を吊しやすくするためのものであって、
      「ちょっと待って下さい、勝手に我が社のセキュリティチェックなんてされたら困ります(穴があるかも知れないじゃないか)」とか逃げの手を打つためではない。
      現実世界経由での攻撃はまた別物だけど、「インターネットからどんなパケットが来ても大丈夫」と言うのは
      どんなサーバでも持っていてしかるべき性質なんであって、「検査されたら困る」というのはおかしい。

      どうせ、正義のハッカーがやらなくても、悪のクラッカーが勝手に似たような事をやり倒してるんだろうから、
      勝手な検査が出来ないというのは、不正防止法が悪い奴らを一方的に利している。

      親コメント
      • by Anonymous Coward

        > 「インターネットからどんなパケットが来ても大丈夫」と言うのは
        > どんなサーバでも持っていてしかるべき性質なんであって、「検査されたら困る」というのはおかしい
        むしろ、どんなサーバであっても、過剰に負荷をかけるようなDoSアタックには原理的に脆弱だと思うけど。

        • by Anonymous Coward

          で、免許を持ったペネトレーションテスト業者が、DoSアタックとか仕掛けるの? 原理的に脆弱なのが分かりきってるなら何のため?

          • by Anonymous Coward

            いったいいつ免許制になったの?

      • by Anonymous Coward

        >「インターネットからどんなパケットが来ても大丈夫」と言うのは
        >どんなサーバでも持っていてしかるべき性質

        予算が無限大な妄想世界でしかありえない前提ですね

      • by Anonymous Coward

        そうだよ(便乗)
        テストなら完全合法にしよう。
        そんで「我々のいう事をきかないと、あの手この手(合法)でテスト(笑)しちゃうよ~?」

        いつしか、ネット上を流れるパケットの99%はテスト(笑)用パケットとなるのでした。
        めでたしめでたし。
        めでたいのは俺の頭な。

      • by Anonymous Coward

        法律を守らない者からも完全に守りきれなければならないというのは普通じゃないです。
        これは被害者からすると経済力その他評判等とのトレードオフではありますが
        (逆に言えばトレードオフでしかない)、
        犯罪者が言い訳として使っていいものじゃありません。

        ところで、家の鍵なんかのピッキング性能は分とか秒で測られます。
        法律を無視すればそれに対して好きなようにアタックしてよいのが現実世界です。
        何でも好きなものを突っ込んでください、こっちで適当に処理しますから、
        となっていますよね。
        それを止めているのは法律とそれに基づく実力行使だけですが、
        大抵の人はトレードオフを考えて、そこそこ(正直運任せ)の
        セキュリティを選択しているわけですね。

        自分の専門分野においてだけ、専門馬鹿になっていませんか?
        本物の泥棒がいるんだから、いつでも家庭訪問されるのは許すべきって思います?
        ほとんどは入れますよ。法律が許してくれるなら気軽で良いですね。

      • by Anonymous Coward

        海外の企業なら不正アクセス防止法は、問題にならなかったのかな

    • by Anonymous Coward

      スプラウトはそういうことがやりたくてたまんないんだから、
      その程度で許可してもらえるなら異論どころか諸手挙げて大歓迎だと思うけど

      そもそもセキュリティ企業なんてクラッカーの恰好の標的だろうから、
      日々チェックは怠ってないだろう。
      心配してくれる人がいてもいなくても気にもならないんじゃ。

    • by Anonymous Coward

      「サイバー空間」なるものがこの世界から隔絶された別ルールの世界だと思ってるのかな。

      別ルールの世界、つまり進入が許される世界だと思ってるのなら、ペネトレート試験の目的は何?
      なんか矛盾してますよね。

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

処理中...