技術的に不可能でも、セキュリティ対策は万全にしろ!
技術的に不可能でも、セキュリティ対策は万全にしろ!:「訴えてやる!」の前に読む IT訴訟 徹底解説(94)(1/3 ページ) 連載目次 遅ればせながら、新年明けましておめでとうございます。 長引くコロナ禍の中ではあるが、各種業務のIT化やインターネットなどを活用した新企画など、組織のDX(デジタルトランスフォーメーション)推進が加速し、ITに関わる仕事をされている方にはより一層の期待がかかっている。 テレワークでの共同作業や人員確保をはじめとしたさまざまな困難の克服を強いられるなど、日々苦労の絶えない方が多いかと思う。しかしこれを期に日本のDXが世界にキャッチアップし、新しい利益源の開拓やコスト削減などが進むことで、国や自治体、企業その他団体がこれまでにない力と柔軟さを手に入れることも可能かと思う。2022年が皆さまと皆さまの組織にとって、実りある1年となることをお祈り申し上げる。 今回は
「Log4j」の脆弱性を突く攻撃手段の情報共有は違法? 日本ハッカー協会に聞いた
文字列を記録させるだけで任意のリモートコードを実行できるゼロデイ脆弱性があることが明らかになった、Javaのログ出力ライブラリ「Apache Log4j」。12月10日に話題になってから、Javaを使ったシステムに関係するITエンジニアは対応に追われている。一方で、その脆弱性を突く具体的な手段をネット上で共有する行為は「不正指令電磁的記録に関する罪に問われるのではないか」と議論が起きている。 「罪に問われる可能性はある」 問題解決のためとはいえ、攻撃手段となりうる情報の共有は罪に問われるのか。日本ハッカー協会の杉浦隆幸理事に聞いたところ「log4jの脆弱性をつく攻撃を実際に実行して、成功してしまうと不正アクセス禁止法に該当する」と前置きした上で「そのコードを共有する行為は不正指令電磁的記録に関する罪に問われる可能性は十分にある」と指摘する。 不正指令電磁的記録に関する罪とは、コンピュータウ
従業員が作ったセキュリティホールの責任を会社が取るなんてナンセンスです
連載目次 納品したシステムにSQLインジェクションなどの既によく知られた脆弱(ぜいじゃく)性がある場合、たとえその対応策が要件として定義されていなくても、ITの専門家であるベンダーには、そのことに気付き、ユーザー企業に注意喚起し、提案する責任がある。この問題を「ユーザーvs.ベンダー」という構図で見た場合の裁判所の考え方は、これまでの例を見る限り、ある程度の一致を見ているようにも思われる。 同じ問題を「ベンダーという企業vs.そこで働くエンジニアという個人」という図式で見た場合はどうだろうか。顧客に納品したシステムにセキュリティ上の不備があった場合、その責任はシステムを構築したエンジニアにあるのか、そのエンジニアを選任し、作業を監督する責任のあるベンダーにあるのか。 不備の責任は企業と従業員のどちらが取るべきか? 「従業員は会社内部で責められることはあっても、対外的には会社が責任を持つべき
ベネッセ判決1000円の重み - Fox on Security
ベネッセの内部犯行事件から5年以上経つ事に驚きます。そして裁判で新たな判例が積み重なりました。 www.sankei.com ベネッセコーポレーション(岡山市)の顧客情報が委託先から流出し精神的苦痛を受けたとして、兵庫県の男性が同社に慰謝料10万円を求めた訴訟の差し戻し控訴審判決が20日、大阪高裁であった。木納(きのう)敏和裁判長はプライバシーの侵害を認め、1000円の支払いを命じた。 1、2審判決は、流出がベネッセの過失かどうかについての立証がないなどとして男性の請求を棄却。だが最高裁は平成29年、「精神的損害の有無や程度を十分に検討していない」として2審大阪高裁判決を破棄し、審理を差し戻した。 木納裁判長は判決理由で「(ベネッセは)委託先への監督義務に違反した」と指摘。流出情報を制御できない事態が生じたことを損害と認定し、賠償額についてはベネッセ側がすでにおわびの金券を配布したことなど
兵庫県警へ「不正指令電磁的記録に関する罪」の情報公開請求をしました(その1) - ろば電子が詰まつてゐる
(追記)これまでの活動を時系列にまとめたTwitterのモーメントを作りました。記事はこちらで追えますので、合わせてご覧ください。 Twitter Moment: 兵庫県警へ「不正指令電磁的記録に関する罪」の情報公開請求をしました はじめに 先日、「forループでalertウィンドウを出すだけ」という、いわゆるジョークプログラムへのリンクを張った3人が、兵庫県警によって1名(未成年)が補導、2人が書類送検される予定という事案が発生しました。(for文無限ループURL投稿で補導された件についてまとめてみた) この事案について、兵庫県警に対し兵庫県情報公開条例に基づいて以下の情報公開請求を行いましたので記録します。 なお本記事については、以前に同様に神奈川県警に対して情報公開請求を行った 梅酒みりん 様へお願いし、文面について利用させて頂くことを快諾頂きました。この場を借りて感謝を申し上げます
「私は既に萎縮している」 セキュリティエンジニア、兵庫県警に情報公開請求 「いたずらURLで摘発」問題で
「私は既に萎縮している」 セキュリティエンジニア、兵庫県警に情報公開請求 「いたずらURLで摘発」問題で JavaScriptを使った無限ループプログラムのURLを掲示板に書き込んだ3人が摘発された事件。「何がセーフで何がアウトか分からない」とエンジニアの間で困惑が広がる中、あるセキュリティエンジニアが兵庫県警に対して、どういった内容が摘発対象になるか説明を求める情報公開請求を行った。 JavaScriptを使った無限ループプログラムのURLを掲示板に書き込んだ男性2人が、不正指令電磁的記録(ウイルス)供用未遂の疑いで兵庫県警に書類送検され、13歳の女子中学生が補導された事件。いたずらURLを貼っただけで摘発という事態に、「何がセーフで何がアウトか分からない」とエンジニアの間で困惑が広がっている。 セキュリティエンジニアのozumaさんは3月13日、どういった内容が犯罪行為になるか説明した
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
個人情報保護法改正のポイントを解説したガイドブックが公開
「Omiai」情報流出、「知られたくない」恋活・婚活情報の賠償額は? - 弁護士ドットコムニュース
LINE「個人情報」問題で考える「無料サービス」の対価と安全性 データの安全確保への課題は? - 弁護士ドットコムニュース
日本ハッカー協会セミナー「不正指令電磁的記録罪の傾向と対策」