ちょっと前のACCSの顧客情報漏洩事件の事。
簡単に説明すると、ACCSが借りてたレンタルサーバに脆弱性があって、それをOffice氏に指摘された。その後、とある講習会みたいなもんで公開しちゃったためにOffice氏は逮捕された。レたACCSが不正アクセス防止法違反と威力業務妨害で訴えてって流れ。ま、事の顛末はどうでもいいんですが、今回ACCSがあほぅな事を言っていたので。
「サーバー会社が適切な管理を行なっているかどうかを認証する第三者のチェック機関が必要だ」
こうやって天下りができていくわけですね。JASRACとかJASRACとかJASRACとか。そもそも、お偉いさんのトコはレンタルサーバなんて、身内とか付き合いのあるところにしか依頼しないじゃん、どうせ。見積もりもってっても「もうあっちに決まったから」とか平気で言うじゃねーか(落ち着け
そんな機関つくらんでも、プライバシーマーク採ったトコに依頼すりゃいいじゃんね。国のお墨付きですよ?ザル審査だけど。
セキュリティがどうかという話なら、それらを生業とする企業があるわけでそこに依頼をすればいいだけの話。自分達にそれを判断する術がないなら、複数のセキュリティ会社に相談すればいいじゃない?もしくは、今回みたいなアホな脆弱性を付かない程度のスキルを持った人を雇えばいいだけじゃないですかね。JASRACみたいに腰掛け会長に1300万も払うくらいなら、800万も出せばそこそこのスキルの人が雇えますよっと。
>「レンタルサーバーを借りるときに、きちんとそのサーバー会社が
> セキュリティに対して適切な体制を整えているかをチェックしないと、
> 実際に情報が漏洩した際にそのサーバー会社を選んだことに対して
> 委託元としての法的な管理責任を問われる可能性が高いが、
> 個々の企業にはそのようなチェックを行なうノウハウがないために
> 実質的にはチェックは困難」
意訳:
自分達はスキルが無かったから漏れてもしょうがないんだよ。付き合いでレンタルサーバ会社選んだけど。でも、なんかあったら俺らの責任じゃん?スキルあるやつ雇うのも損だし、だったらどっかが認証してくれれば選ぶのも楽でいいよな。漏れても責任逃れできるし。
つーか、勉強しなさい。そんくらい。
誰がレンタルサーバ会社選んだかわかんないけど、事が起こってから上みたいな事を言ってもただの負け惜しみよ、負け惜しみ。