librahack 岡崎市中央図書館ウェブサーバ事件 2010/12/9~11分
今更ながら先週の記事読んだ。『市教委は「いかに杜撰な管理を行っていたのか、実態を知るごとに、図書館の利用者様に申し訳なく、胸を締め付けられるような思いだった」と振り返り』だそうです。 http://ow.ly/3m5JZ #librahack
2010-12-09 05:01:19#librahack 思ってないよね~行動を伴ってないし作文だよね~ QT @rakugodesi: 今更ながら先週の記事読んだ。『市教委は「いかに杜撰な管理を行っていたのか、実態を知るごとに、図書館の利用者様に申し訳なく、胸を締め付けられるような思いだった」と振り返り』だそうで
2010-12-09 05:06:15#LibraHack @anegomarufu 私も結果としてのリスク軽減(大学の滑止め等)が保険という認識でしたが、セキュリティの文脈では保険=リスク移転であり、先のような使い方はしない、とこのタグで教えて頂きました。しかしその場合『暗号化は保険ではない』に違和感を感じます
2010-12-09 07:23:37@nytsukouta いや「暗号化は保険では無い」ってのも1つの事実ですよ。銀行や軍や情報処理業みたいな保安基準が我々一般人より厳しい現場では。暗号化以前に流出する事自体が問題なんですよ。 #librahack
2010-12-09 09:20:35@rakugodesi @gutei 広報と教育委員会は報告受けてぞっとしたんじゃないの?図書館はMDISに丸投げだったろうけど。>思ってないよね~行動を伴ってないし作文だよね~ #librahack
2010-12-09 09:46:43どこから繋がるのか判んなくなりました(ノД`)シクシク @poyoyon_twt: それこそが、『検察官による起訴と不起訴(4)』の起訴猶予ではないでしょうか。それ故に話が難しくなっているのでは? #librahack
2010-12-09 09:49:06#LibraHack @anegomarufu 元々「暗号化とは漏れた際の為の物では?」→「暗号化は保険ではない」という話です。また、セキュリティの文脈では保険はリスク移転を指すとの事です。「暗号化はリスク移転ではない」なら分かります。リスク軽減を保険と呼ぶのは間違いでしょうか
2010-12-09 09:49:25#librahack MELILもタイムアウト変更できていれば良かったのに。で、どこのシステム?置戸町生涯学習情報センター http://t.co/dznq1We._
2010-12-09 10:07:07@nytsukouta 「暗号化」=「リスク軽減」なんですよね?なら利用者情報=宝石店の宝石と置き換えてみて「暗号化」は万が一漏れた(=窃盗)時に備えた保険(=セコム)じゃなく「普段の厳重な戸締まり」では?本来は利用者情報>宝石、の重要度と思うけど #librahack
2010-12-09 10:12:12@nytsukouta それで、宝石店のセコムは今回ならFTPセキュリティにあたると。職員の持ち出しは店員の横領レベル、USBメモリでの落とし物は宝石入り鞄の車内忘れ。どっちにしても保守保安管理は酷いですが。 #librahack
2010-12-09 10:15:24セキュリティの文脈では「保険はリスク移転」だと言われて受け入れたのでは?なのに何故最後の文章になるのか。ISMSでいうリスク移転とはリスクの共有による分散でしょう。「保険」契約などによる。リスク回避や軽減とは全然異なりますよね QT @anegomarufu #librahack
2010-12-09 10:44:33#LibraHack @anegomarufu その場合宝石の入った金庫の盗難が漏洩で、金庫のロックが暗号化ではないですか? そして、「保険としてロックを掛けておく」は間違いですか? 「盗られた時のロックでは?」→「ロックは保険ではない」→「保険とは?」→「リスク移転を指す」 と
2010-12-09 11:06:59@nytsukouta いやわたしゃ@lancevertさんの疑問に私の理解で説明してるだけ。wikipediaのISMSの定義は読みましたが。「保険はリスク移転」て正確な表現では「リスク移転の1つとしてにネットワーク保険に加入する」じゃないですか? #librahack
2010-12-09 11:07:03@lancevert しかもその「リスク移転」て情報漏洩に対応じゃなく、ネットワークで主鯖が停まって副鯖やミラー鯖使うとかっぽくないですか? #librahack
2010-12-09 11:09:15すみません・・・文字数抑えようと推敲している間に@nytsukoutaさんのID消しちゃったんで拾ってきたつもりが間違えてました!「保険は・・・」以降は、その通りだと思います。QT @anegomarufu: @nytsukouta いやわたしゃ#librahack
2010-12-09 11:14:01@nytsukouta いや、普段の金庫のロックは「万が一の保険」じゃなくて「まず宝石屋の基本の基本」なんじゃ?だから「金庫のロックは保険じゃない」。リスク移転にあたる「保険」とは宝石ならセコムとか損失金額補償の盗難保険とか。(つづく)。 #librahack
2010-12-09 11:15:08#librahack がだんだん超難しくなって来た。結局、データの暗号化が漏洩対策の為のものじゃないのだとしたら、何の為のものなのかがさっぱり判らない。
2010-12-09 11:15:49@nytsukouta 宝石も個人情報とかも、貴重品なので普段より取扱に注意を要するので、保守保安の基準が一般的な考え方よりも厳しいとかハードルが高いとか考えてみたらわかりやすくない? #librahack
2010-12-09 11:17:21@nenmzero 漏洩対策の為じゃなく普段の使用の時からの取扱方法なんでしょう。情報として貴重重要だから取扱注意品なんですよ。>結局、データの暗号化が漏洩対策の為のものじゃないのだとしたら、 #librahack
2010-12-09 11:23:07H/W故障による損失補填への保険もあると思いますが、不正アクセス等“情報漏洩”も含まれると思いますよ。信頼性の議論になると少しズレてくる気がしますね QT @anegomarufu しかもその「リスク移転」て情報漏洩に対応じゃなく、ネットワークで主鯖が停まって#librahack
2010-12-09 11:23:08@lancevert 補償で漏洩された方が納得するかってのもありますしね。リスク分散以前にそういう事態が発生しちゃいけないわけで。>不正アクセス等“情報漏洩”も含まれると思いますよ。信頼性の議論になると少しズレてくる気がしますね #librahack
2010-12-09 11:25:17この議論に身を投じておきながらアレですが、もういいかなとは思います。元々の議論が中核メンバさんとのやり取りだったようなので、タグ付けた方がいいのかなと…QT @mutsuki99: 正直な感想を言うと、暗号化と保険の云々はまったく #librahack に関係ないと思うのですが。
2010-12-09 11:30:22@anegomarufu 一応セキュリティ関連を広義に扱っているタグとしては、手前味噌ですが #itsec_jp があります。 #librahack
2010-12-09 11:32:34