アカウント名:
パスワード:
Microsoft自身がPRISMに参加してないといってるわけで、10年近くMicrosoft社内でプライバシー問題に関与してきた人間が知らないというのは、むしろ、Microsoftの主張の裏付け情報に思えるのですが。
そもそも社内でオープンソース使ってるかどうかの問題ではないでしょう。MySQLを使っていたところで、PRIMに情報提供していたなら同じことです。
なんだか意味がわからないですね。
発想としてはむしろ逆だと思う。
この人はセキュリティ専門家特有の慎重さで、NSAはMSから情報を取得してた、あるいは取得しようとしていたと考えてる。となると、システムの運用にかかわる部分ならそれが不正アクセスなり、情報提供の要請なりで監督である自分が知るところになるはず。しかし、自分のところに来ていないということは提供された(内部ロジックの確認ができない)プログラムが怪しいと考えてる。
MySQLだろうがSQLServerだろうが、(直接間接を問わず)NSAに情報提供したことを把握してたらこんなことは言ってないと思う。
自分が知らない、というのはMSが協力してないことを意味しないし、それで安心するならセキュリティの監督者としては失格。もちろん自分が見逃しただけ、ということもありうるけどだからと言って確認できていないプログラムを信用することにもならない。自分の問題なら自己研さんする、それ以外のところは素性のハッキリしたものがいい、というのはこの業界なら普通じゃないかな。
やっぱりわかりません。「何も証拠はないが、証拠がないのが証拠だ」というのは無茶では。(Microsoftの立場に立って、事実としてNSAと何の協力関係もなく、一切要請もない状況で、どうやって自己の潔白を証明できるか考えてみれば、あなたの主張のおかしさがわかると思います。)
ところで、オープンソース云々のコメントから想像すると、このMicrosoft元社員の人、「NSAの凄腕ハッカーがだれにもわからないバックドアをシステムに仕掛けて、だれも気付かないうちに情報を盗んでいるんだ」的な、素人くさいイメージで話していませんかね。
実際には、継続的にデータを外部に送信するシステムが稼働するためには、本番環境にコードを投入したり、または必要なデータにアクセスするためのアクセス権限が必要ですし、イントラネットからのアウトバウンドのデータ送信のためにファイアウォールにに穴をあける必要があります。また、そのようなシステムが動いていればCPUの稼働率やネットワークトラフィックにも影響が出ますし、さらに、継続的に稼働していれば多かれ少なかれ障害が発生するのも避けられません。これらの活動の多くは何らかの痕跡を残すはずです。もちろん痕跡を消すことは可能でしょうが、一度や二度のシステム侵入ならともかく、継続的にシステムに介入している状況で、すべての痕跡を毎回完全に消去するのは簡単とは思えません。
Microsoftほどの大企業ならシステムやネットワーク構成も複雑でしょうし、システム部隊の人数も多く、また複数部署にまたがるシステム運用がされているはずです。また、セキュリティの手続きも厳格でしょうし、定期的な監査も実施されているでしょう(実際にこの人がやっていたように)。このような状況で、社内のすべての人間に気づかれないように上記のことを行うのはそんなに簡単ではないはずです。もし本当にPRISMに参加しているなら、社内の複数部門にまたがって、協力者がいると考えるのが現実的でしょう。人材の流動的なアメリカ企業において、その状況で秘密を守るのはあまり簡単なことではありません。
もちろん関与の証拠があれば別です。しかし証拠なしに受け入れるにはあまりに仮定が多く、実現困難なスキームだと思います。
注)上記ではバックドアのプログラムを侵入させる前提で記述しましたが、内通者が手作業でデータを流出させているほうが個人的には現実味があると思います。どちらにしろ結論は同じです。証拠なしでMicrosoftを非難することはできませんし、オープンソースを使っているかどうかもこの場合関係がありません。
犯罪をしてるかどうか、ではなくシステム管理者が情報漏えいのリスクを管理する話なので、MSが潔白の証明をする必要はありません。ブラックボックスがあると、たとえそれが身内の作ったものであってもリスク管理をしきれないというだけの話です。
また、過去の標的型攻撃の事例からすると、それを素人くさいイメージと簡単に言いきれてしまうことこそが素人くさいでしょう。なんせ、「自分の想定外」というものを想定していない発言ですから。セキュリティの分野ではゼロデイ対策など自分が知りえない脅威にどう対策するか、などというのは普通の懸案事項です。しかもテロ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ソースを見ろ -- ある4桁UID
よくわからん (スコア:0)
Microsoft自身がPRISMに参加してないといってるわけで、
10年近くMicrosoft社内でプライバシー問題に関与してきた人間が知らないというのは、
むしろ、Microsoftの主張の裏付け情報に思えるのですが。
そもそも社内でオープンソース使ってるかどうかの問題ではないでしょう。
MySQLを使っていたところで、PRIMに情報提供していたなら同じことです。
なんだか意味がわからないですね。
Re: (スコア:0, 興味深い)
発想としてはむしろ逆だと思う。
この人はセキュリティ専門家特有の慎重さで、NSAはMSから情報を取得してた、あるいは取得しようとしていたと考えてる。
となると、システムの運用にかかわる部分ならそれが不正アクセスなり、情報提供の要請なりで監督である自分が知るところになるはず。
しかし、自分のところに来ていないということは提供された(内部ロジックの確認ができない)プログラムが怪しいと考えてる。
MySQLだろうがSQLServerだろうが、(直接間接を問わず)NSAに情報提供したことを把握してたらこんなことは言ってないと思う。
自分が知らない、というのはMSが協力してないことを意味しないし、それで安心するならセキュリティの監督者としては失格。
もちろん自分が見逃しただけ、ということもありうるけどだからと言って確認できていないプログラムを信用することにもならない。
自分の問題なら自己研さんする、それ以外のところは素性のハッキリしたものがいい、というのはこの業界なら普通じゃないかな。
Re:よくわからん (スコア:0)
やっぱりわかりません。
「何も証拠はないが、証拠がないのが証拠だ」というのは無茶では。
(Microsoftの立場に立って、事実としてNSAと何の協力関係もなく、一切要請もない状況で、どうやって自己の潔白を証明できるか考えてみれば、あなたの主張のおかしさがわかると思います。)
ところで、オープンソース云々のコメントから想像すると、このMicrosoft元社員の人、「NSAの凄腕ハッカーがだれにもわからないバックドアをシステムに仕掛けて、だれも気付かないうちに情報を盗んでいるんだ」的な、素人くさいイメージで話していませんかね。
実際には、継続的にデータを外部に送信するシステムが稼働するためには、本番環境にコードを投入したり、または必要なデータにアクセスするためのアクセス権限が必要ですし、イントラネットからのアウトバウンドのデータ送信のためにファイアウォールにに穴をあける必要があります。また、そのようなシステムが動いていればCPUの稼働率やネットワークトラフィックにも影響が出ますし、さらに、継続的に稼働していれば多かれ少なかれ障害が発生するのも避けられません。これらの活動の多くは何らかの痕跡を残すはずです。もちろん痕跡を消すことは可能でしょうが、一度や二度のシステム侵入ならともかく、継続的にシステムに介入している状況で、すべての痕跡を毎回完全に消去するのは簡単とは思えません。
Microsoftほどの大企業ならシステムやネットワーク構成も複雑でしょうし、システム部隊の人数も多く、また複数部署にまたがるシステム運用がされているはずです。また、セキュリティの手続きも厳格でしょうし、定期的な監査も実施されているでしょう(実際にこの人がやっていたように)。このような状況で、社内のすべての人間に気づかれないように上記のことを行うのはそんなに簡単ではないはずです。もし本当にPRISMに参加しているなら、社内の複数部門にまたがって、協力者がいると考えるのが現実的でしょう。人材の流動的なアメリカ企業において、その状況で秘密を守るのはあまり簡単なことではありません。
もちろん関与の証拠があれば別です。しかし証拠なしに受け入れるにはあまりに仮定が多く、実現困難なスキームだと思います。
注)上記ではバックドアのプログラムを侵入させる前提で記述しましたが、内通者が手作業でデータを流出させているほうが個人的には現実味があると思います。どちらにしろ結論は同じです。証拠なしでMicrosoftを非難することはできませんし、オープンソースを使っているかどうかもこの場合関係がありません。
非難がどうこうじゃなくてリスク管理の話 (スコア:0, 興味深い)
犯罪をしてるかどうか、ではなくシステム管理者が情報漏えいのリスクを管理する話なので、MSが潔白の証明をする必要は
ありません。ブラックボックスがあると、たとえそれが身内の作ったものであってもリスク管理をしきれないというだけの話です。
また、過去の標的型攻撃の事例からすると、それを素人くさいイメージと簡単に言いきれてしまうことこそが素人くさいでしょう。
なんせ、「自分の想定外」というものを想定していない発言ですから。セキュリティの分野ではゼロデイ対策など自分が知りえ
ない脅威にどう対策するか、などというのは普通の懸案事項です。
しかもテロ