2005年05月28日

価格.com:再開後の記者会見をみて

「今回の件は、過失や重過失に類するものではない」――穐田社長
「OSのパッチはあてており、外部のセキュリティコンサルタントも入れるなど、できる限りの対策をしていた。しかし結果として“最高の対策”とは呼べない部分はあったと思う」(穐田社長)
同社は今回、OSの再インストール、ソフトウェアの全面見直し・強化を実施したというが、新システムの詳細は「言えない」(穐田社長)。
http://www.itmedia.co.jp/enterprise/articles/0505/25/news086.html

 
 何をもって過失に類するものではないといえるのか、正直謎です。価格.comさんとして過失がないと思っていても、私にはそれを判断する材料として「OSのパッチはあてていた」、「セキュリティコンサルタントを入れていた」しか与えられていません。
 正直、この内容の報告で過失がないものと認定されるのなら、システム担当者の仕事といったものは大変楽になるでしょう、「OSのパッチは当てていた」、「チェックはしていた」、「(自社で)できる限りの対策をしていた」で過失はなかったと主張です、なんにも証明はいりません。。。
 自分の普段の仕事をすごーく馬鹿にされた気分です。

さっそく他の会社でも同じように主張するところが出てきています。
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20050527/161628/

 実際の業務上、確かにベストを尽くして被害を受けた可能性はあると思います。だからこそ、どういった体制でやっていて、不正アクセスを許してしまったのか、今後どのように変えるのかを知りたいのです。知って安心して価格.comを利用したいわけです。
 ここらへんはトレンドマイクロさんのシステム障害の対応がかなりいい見本だと思います。少なくとも原因と対応についてそれなりに納得いくもので、私にとっては継続使用への天秤を傾けるほうに役立ちました。
(もっとも今日になって、ウィルスバスター2004 インターネットセキュリティにてWin98やMEの場合エラーを出してしまうアップデートを配っているので、やっぱり大丈夫なんか?とか思ったところでもありますが(苦笑) http://www.trendmicro.co.jp/support/news.asp?id=692

 つぎに手口について詳細を公開しないことについては理解できます。
価格.comさんの判断で、どこまで手口などについて言及していいかわからないので、IPAに報告しそちらから報告してもらうというのであれば、まぁもう少し待ちましょうといったところです。
不正アクセスの原因が未知の脆弱性で、下手に手口について話してしまい、多くの模倣犯が短期間で出てくるなんて事態まで懸念されますからね。
 ただ、会見ではもう少しここら辺について主張してもよかったのではないかと思います。
先ほど引用したITMmediaの記事でも、「同社から報告を受けた情報処理推進機構(IPA)からも情報開示が行われるとした。」とさらっと触れられているだけですし。

 続いて、サイト閉鎖までの期間ですが、なぜ改竄を繰り返された時点で閉鎖しなかったのかが話されていないようです。以前の会見で話したから、もういいということなのかもしれませんが、このときの経緯ももう少し詳しく教えていただきたいと思います。特に知りたいのは、「当日、警察やウイルス対策ソフトベンダーに相談しサイトの即時閉鎖も検討したが、犯人の侵入経路を分析するためにそうしなかったという。 」の判断は、警察の指導によるものか、価格.comの判断によるものなのかです。
http://itpro.nikkeibp.co.jp/free/NC/NEWS/20050516/160926/

 警察の指導であれば、やむを得ない部分はあると思います。しかし価格.com側で相手を特定し訴えたりするための資料固めであればふざけんなという感想になります。いったいどっちなのでしょうか?

 最後に今回の事件後のサポートですが、出展店舗には補償する。メールアドレス流出は補償しない。という対応だそうです。
 価格.comは民放テレビ局に似ていて、自社のコンテンツ多くの人に閲覧してもらい、お金は出展する企業・小売店から頂戴しています。したがって出展店舗が閉鎖に対し補償を受けるのは当然ですが、メールアドレスについては補償しないというのは微妙なところです。
 たしかに補償する義務はないと思いますが、補償したほうが受けはいいだろうし、失点を多少なりと回復する意味でも補償していいんじゃないかなと思いますから。

 価格.comの直接のお客様は出展企業ですが、その出展企業が求めているのは価格.comを閲覧する多数のユーザーなので、どちらも大切にしてほしいものです。そして、今からでもかまわないので、セキュリティ体制についてお話していただいて、私を安心させてほしいものです。


posted by tetoran at 19:39| Comment(0) | TrackBack(0) | 雑記 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント: [必須入力]


この記事へのトラックバック
×

この広告は180日以上新しい記事の投稿がないブログに表示されております。