Togetter - まとめ「電波チェッカーに関してソフトバンクモバイル宮川CTOに「じゃあ説明するから来社して下さいよ」と誘われた件」
Twitterのつぶやきマッシュアップ!電波チェッカーに関してソフトバンクモバイル宮川CTOに「じゃあ説明するから来社して下さいよ」と誘われた件
関連まとめ: iPhoneアプリ「電波チェッカー」がUDIDを送信していることへの問い合わせまとめ」 http://bit.ly/boT5PMrocaz 34 fav 7551 view 6/8 19:01
「iPhoneアプリ 電波チェッカーに脆弱性とかプライバシー上の問題あるんじゃないの?」と疑っていたら「個別に説明するのでぜひ来社を」と誘われたけど実質NDAなど条件面で疑問が残り更に公開されたくないらしい「ノウハウ」とやらが怪しく感じたやり取りのまとめ。
上記関連とは本筋ではないので別にしました。
話の流れと一部のコメントがぐだぐだなのは仕様です。
お気に入りしたユーザ
まとめたtweet
-
@rocaz きちんと説明する責務はあるかとは思いますが、弊社も企業故、開発の中身までは本twitterでのやり取りでは公開しかねます。弊社来社戴ければ、NDAサインは戴きますが、中身の説明は真意致します。いかがでしょうか?
miyakawa11
2010-06-08 01:58:29 -
@miyakawa11 ?? 一般ユーザーが「どうして安全なんですか?」と聞いているだけなんですけどね。NDAまで必要と言うことはつまり仕組みがばれると脆弱性が突かれる程度の仕組みなんですね、という感想です。この一連の流れを注目しているエンジニアの多くはそう思っていると思いますよ
rocaz
2010-06-08 02:10:12 -
@rocaz うーん、仕組みを公開する事がこの Twitter上では嫌と申し上げるのはダメなんでしょうか?私はどうしても嫌なんですけど。
miyakawa11
2010-06-08 02:15:36 -
@miyakawa11 どうして嫌なんですか?嫌と言い方であれば、「仕組みは安全です。詳細は内緒で第三者は検証できませんけど」というシステム使う方が嫌だと思いますが。何故世の暗号化技術がロジックまで公開されているのに逆に安全とされるか、という理屈と同じですよ
rocaz
2010-06-08 02:23:42 -
@rocaz 弊社のノウハウだからです。きちんと説明致しますから、ご来社いただけますか?日々真剣に開発しています。自信を持って大丈夫と確信しております、企業が仕事としている中身、其れくらいの情報管理はご勘弁いただけませんか?
miyakawa11
2010-06-08 02:31:53 -
@miyakawa11 NDAにサインさせられて今後この問題について具体的に発言したりできなくなるのはごめんです。また私に対してご説明する用意はある、とのことですが、実際現在相手をされているのは、自覚があるなしに関わらずネットコミュニティ全体です。お忘れ無きように
rocaz
2010-06-08 02:42:51 -
@miyakawa11 別にコーディングを見せろという話ではなくて単にロジカルに安全性をご説明下さいというだけなんですが、何故難しいとおっしゃるのか皆目理解できません。ノウハウは詳細にせずに論理的な部分の説明をすることは一般論として何ら難しいと思わないのですが
rocaz
2010-06-08 02:46:04 -
@rocaz それでは個別に対応致しましょう。サイン無しで結構です。他のユーザ様の不安が少しでも解消できるなら、それも責務です。ご来社くださいませ。汐留本社
miyakawa11
2010-06-08 02:48:21 -
@miyakawa11 確認させて頂いて「やっぱり駄目だった」と判断した場合には、何が問題かTwitterなどで話すことは問題ありませんか
rocaz
2010-06-08 02:51:42 -
@rocaz はい、結構です。
miyakawa11
2010-06-08 02:56:57 -
@rocaz はい、セキュリティの脆弱性の可否のみの公開でお願いします。その他ノウハウは企業情報なのでダメですよ。勿論ご理解戴ける御仁と理解していますが。お待ち申し上げます。会社受付にてご指命くださいませ。宮川
miyakawa11
2010-06-08 03:18:08 -
@miyakawa11 それを聞いていたのですが。何が秘匿したいノウハウかはこちらでは判断しかねます。訴訟されても嫌ですしね。何を提供するかは判断して下さい。私はお聞きしたことをそののま判断し公表するのみです。その上で詳細をお伺いできず「駄目だ」と判断する可能性も当然あるでしょう
rocaz
2010-06-08 03:26:05 -
@miyakawa11 という前提で「そちらから受けた説明・情報は全て公開してもよい」という条件であればお伺いしたいですし行く意味もあると思います。そうでないのならNDAがあることと同じ事ですよ
rocaz
2010-06-08 03:26:49 -
@rocaz 勿論、許容範囲のご説明をきちんと致します。ある程度踏み込んだ説明をしなければ、本件は、ご理解頂けない内容があるので、ここまではOKですが、此処からはNGとお伝え致します。NG内容は当然NDAと同扱いに致します。其れくらいは宜しいですよね?
miyakawa11
2010-06-08 07:44:44 -
@miyakawa11 NG内容は聞きたくありません。その上でご説明可能ですか?
rocaz
2010-06-08 07:51:42 -
@miyakawa11 そのNG内容とやらを聞かないと安全性が理解できないというのであれば、これは御社は安全性をコミュニティに保証することは論理的には不可能だと言うことを意味します。そこはご理解頂けますか?
rocaz
2010-06-08 08:00:41 -
@rocaz それでは多分ご理解戴けないと思いますよ。お客様にご安心してお使い頂く事がご説明の場を持つ趣旨です。目的は同じですよね?それとも違う?
miyakawa11
2010-06-08 08:03:18 -
@miyakawa11 私個人を納得させることを目的とされているのだとしたらそれは些細な問題で無視してもいいような話です。パブリックなネットコミュニティを納得させる。これが目的だと思いますがいかがですか。もちろんそのために私が触媒になるのはやぶさかではないのです
rocaz
2010-06-08 08:10:29 -
@rocaz 本セキュリティに関する問題は、仰る通り相手に伝えなければ解消できない、よってコミュニティが重要なポイントです。きちんとご理解戴きたいのは山々なのですが、その方法まで語るには、何もtwitter上で公開する事が適切では無いと自身では判断しています。
miyakawa11
2010-06-08 08:16:32 -
@miyakawa11 これは証明可能安全性の問題ですね。これを立証できないのであれば高木さんの指摘に反論できない訳ですから「電波チェッカーは安全」とは御社は確実には主張できないはずです。例えば「詳細なロジックが公開されなかった独自暗号」 http://bit.ly/cwsJ4c
rocaz
2010-06-08 08:57:38 -
@miyakawa11 また、ご参考まで http://bit.ly/b2dlKB http://bit.ly/b1Lq69
rocaz
2010-06-08 08:59:15 -
@miyakawa11 眠くなってきたので(笑)ぶっちゃけますが、つまり「NG」「ノウハウ」と表現されたものが知れたとたんに誰でも偽装アクセス可能になるような「脆弱なロジック」を単に隠したいだけなのだろうと私と恐らくは私以外のコミュニティの面々も踏んでいるのです
rocaz
2010-06-08 09:36:49 -
@rocaz いえいえ違いますから、まずはご理解頂いてから、このような怖い発言を。
miyakawa11
2010-06-08 09:42:13 -
@miyakawa11 繰り返しになりますが、何故その具体的な「ノウハウ」を外して論理的に問題ないことが説明できないのか解せません。考えられる理由はそのノウハウが攻撃方法を示している場合のみです。何故ノウハウと論理的説明が分離できないのでしょうか。単に宮川さんの心情的問題ですか?
rocaz
2010-06-08 09:55:30 -
@miyakawa11 すでにやり取りされておられる @rocaz さんとまったく同意見です。非公開です、NDAでないと教えられない、というのでは、安全でないと自ら主張されるのと同じです。ちなみに、送信先のディレクトリインデックスが丸見えなのは感心できません。
makotokaga
2010-06-08 10:16:38
コメント
-
-
これ、酷いねぇ。NDA巻くのは「あなたには秘密をお知らせしますが、自社開発したノウハウ部分とか他社に渡したくないような情報もお見せすることになるので、その辺理解してよね」って意味だと理解したんだけど、この人「NDA=言えない秘密」だからおかしい!と曲解しているとしか思えない。
syaku_t
2010-06-09 11:00:28 -
セキュリティのようなユーザーに影響の大きい問題なら企業の説明責任は当然なんだけど、素人さんには細かい事情がよく分からないから上記みたいな勘違い意見も出てくるんだろうな。難しいね。
11high
2010-06-09 11:18:55 -
togetterのつぶやきコメントはヤバいな。「security by obscurity」の話をしているのに、それを理解できない事をid付きで大宣伝しちゃってる。
otsune
2010-06-09 18:32:38 -
会社員はつらいなぁ
masanari100
2010-06-09 18:50:05 -
security by obscurity : 隠すことによるセキュリティ (参考: http://bit.ly/tXZgu 英語版Wikipedia…日本語版Wikipediaにこの項目はない?)
ChihiroShiiji
2010-06-09 18:51:40 -
この話のポイントは「なんだか訳の分からない専門家も想像不能な新技術でセキュリティは保たれています。信じて」は通用しないってことがとっくの昔に議論し尽くされているってことか。iPhone UDIDを認証につかってはいけないこともさんざん書かれているけど、知らない人がたまにいるみたいだ。
otsune
2010-06-09 19:03:20 -
.@masanari100 [ http://bit.ly/dxh1ZR ]取り敢えず、宮川氏は取締役専務執行役員 兼 CTO(最高技術責任者 - http://bit.ly/96u0vm )だから普通の会社員じゃないと思うなぁ。
ChihiroShiiji
2010-06-09 19:33:26 -
twitterでのやり取りでは公開しかねます。 あって話したい って低姿勢でいってるんだから なんにせよ。相手の意図を組むべし 公開うんぬんも会って話せばいいでしょ。
masanari100
2010-06-09 19:43:34 -
最高技術責任者のセキュリティに対する理解度がこの程度というのは、非常に残念だなぁ……
yami_vreco
2010-06-09 19:44:49 -
もしTwitterという媒体だけの問題であって、公開できないことが本質、つまり「隠すことによるセキュリティ」に頼ろうとしてる、というのでないなら別にSoftBankのWebページで公開してくれてもいいと思うんだけどね。
ChihiroShiiji
2010-06-09 19:50:23 -
最近自分で自分の発言をまとめる人に痛い人が多いという法則ができつつあるような気がしますよ・・・
kagurazaka1019
2010-06-09 20:27:23 -
要は「ノウハウ=ばれたら破られるセキュリティ」じゃなくて「ノウハウ=会社の財産」でしょ?そんな事もわからないの?ばかなの?
ono3104
2010-06-09 21:04:06 -
僕を痛い人認定する分には構わないよ。○○工作員て煽りでしかないし。でも議論の本質にも目を向けてね。印象や感情論ではないんだよ。これは小さな問題かも知れないけど後々の災いの前触れかも知れないよ。印象だけで目を背けず自分と意見の違う人が何に拘ってるかぜひまずは理解する努力をして欲しい
rocaz
2010-06-09 21:27:51 -
もし仮に「ノウハウ=iPhone UDIDだけじゃない何かの画期的なシステムで安全を保ってる」というのであれば、それを隠すんじゃなくて特許などで保護して、セキュリティ監査を受けないと。そうじゃないと「隠さないと問題が有る = 安全じゃないことがバレるから言いたくない」と区別がつかない。……こんな議論は15年ぐらい前に終わってるから、勉強してからコメントしないとid付きで大恥さらしだよね。
otsune
2010-06-09 21:47:11 -
「ばれたら破られるセキュリティ」の話をしたいのに「会社の財産」の話に持っていかれるということは、(1)天然にごっちゃになってる、(2)ごっちゃになる方向で誤魔化そうとしている、(3)「会社の財産」と「ばれたら破られるセキュリティ」は不可分なものである、のいずれかで、これらの状態はいずれも問題があるということなんだけど。
mishing
2010-06-10 12:00:06 -
「なんだ、こんな事も知らないのか?」「~年前にそんなことは議論し尽くされた。」という話と、一般の社会に於けるNDAの取り扱いついて、異常に乖離があるな。だから、「働いた事、無いのか?」と思ってしまう。痛い人認定したくなるのも、結局「知識」の範囲内で現実を見ずに議論してるからだろ?他社への想像力の問題だと思うんだけど?議論以前にね。
ko_zan
2010-06-10 12:04:10 -
これもしや、例のCAB暗号なんじゃね?
lastline
2010-06-10 12:05:40 -
「現実を生きてる人じゃないと分からないこと」に対して「ネットの中でがなってるだけで現実で活動してないネットの中の情報だけで分かった気になってる人」がなんか言ってても分かるんだよ。そして、みんな自分が優れてると言いたがる。どれだけ自意識が過剰なんだかwww
ko_zan
2010-06-10 12:09:08 -
ネットに生きてる人 とやらを差別的に見たいだけなら、最初からネット上の質問なんて無視すりゃいいじゃん。わかってる人がいて、わかってない人がいるなら、わかるように説明するのも、自称知識人としては当然の行為なんじゃないの?その答えが「社会に出ろ」なら、もうそれはその人個人の事情なんだからで議論は終。
AES_OP
2010-06-10 12:21:17 -
全然、差別的に見たいわけじゃない。「ネット」と「現実」は別じゃなくてつながっている訳で、すぐそういう言説に持っていってただのレッテル貼りにしようとするが、これは、人格の問題だろ。一般社会とネットは一緒なんだよ。NDAでも何でも結んで、話を聞きにいけばいいだけの話。NDAで人が不幸になった話しなど聞いた事が無いので。
ko_zan
2010-06-10 12:33:49 -
つぶやきコメントの議論が少々的外れな気が…これはセキュリティの話ですよ。仕組みを公開できないセキュリティよりも仕組みを公開できるセキュリティの方が安全、かつユーザーが安心できるということはご理解いただけるでしょうか…NDAという言葉が出てくること自体おかしいんですよ。「仕組みは秘密です!でも大丈夫です!」こんなこと言われて安心できますかwこの方がNDAを拒否されてるのは自分だけ理解しても、それがユーザー全体の不安を取り除くことにはならないと考えておられるからではないでしょうか。
tarsho08
2010-06-10 13:27:19 -
おそらく情報やデータなどの「見えない商品」を扱う企業にとっては永遠の命題なのではないでしょうか?明確に認識できないものが存在する事自体が、ユーザーの不安の根源になっているのではないかと思うのですが・・・。 しかし社長さんはその情報の公開をTitterでは行いたくないと言っているだけなので、立場の問題なんじゃないかと思うんですよね。ユーザー視点での話については前のコメントでtarsho08さんがおっしゃる通りだと思います。どこかでそれを提示する場があれば良いのですが・・・。
APS9361
2010-06-10 13:54:07 -
飲食店に置き換えてみると「ここの隠し味、なんか変なもの使ってるんじゃない?」に対し【門外不出のレシピなのでおおっぴらにお教えできません】と。「じゃあやっぱりおかしいんだ!怪しい!」→【いやいや、情報漏えいしないと約束してくれたら特別にお見せますよ。】→「おおっぴらに出来ないってことは、やっぱりおかしいじゃん!」ということか。文句あるならNDA結んで見せてもらえば済む話なのに。
syaku_t
2010-06-10 14:31:27 -
エンジニアではないので「一般か」どうかはさておき、full disclosureの意味は把握した。でもまぁ、SBMの宮川さんに対してtwitter上で公開しろと詰め寄られても、こう返すしか無いだろうとも考えられないかな。CTOがその立場で「個人として」軽々しくは対応出来ないから「会社として問題なく対応出来る範囲」としてNDAを持ち出してるのではないかということだが。
syaku_t
2010-06-10 20:40:24 -
であればこのケースの模範解答を問いたい。自分がSBMのような大きな会社のCTOの立場であればどうすんのか。「善処します」ではぐらかす?そもそもtwitterみたいな場でこの手の話題を「相手にしない」?わかってない僕に教えてください。「そもそも開示しろ」という話ではなく、NDA以外の方法だとどうすんのか。
syaku_t
2010-06-10 22:21:49 -
自分で考えれば?
11high
2010-06-10 22:36:57 -
へぇ。格好いいですね。
syaku_t
2010-06-10 22:57:38 -
上の方でいろんな人がアドバイスしてくれてるんだからちゃんと読み返せばいいと思うよ
11high
2010-06-10 23:37:05 -
悪いけどユーザーレベルで考えられている問題ってのは、ある種の決断主義的な流れで企業が推進している問題だったりする。そこには様々な事情があるはずで、勝手に勘ぐるのは自由だけど、それが事実かどうかは、「安全な場所」からじゃわからないし、そこからじゃ声も届かないってことだよな。
ko_zan
2010-06-11 11:06:46 -
NDA は相互に利益がある場合にのみ有効で、片方に不利益が生じるなら単なる言論封殺の手段だよね。
laresjp
2010-06-11 14:03:43 -
まだ「どこぞの省や独立行政法人や財団法人が認定マークを出す監査をして、代表でシステムに穴が無い事を確認するほうがいい」だとか「UDIDだけで認証してて危ないと思ったら、しかるべき公的団体に届け出して…」みたいな意見なら現実的に理解できるんだけどね。
otsune
2010-06-11 14:05:44 -
とりあえず本題からズレて喧嘩腰で煽るのやめようよ それじゃいくら内容が正しくても自分の評価下げるだけだぜ?
ChaoticAliceFox
2010-06-11 17:59:15 -
内容よりもこのコメ欄のほうが面白かった
TakahashiMasaki
2010-06-12 12:09:27 -
情報非公開契約以前の問題として「仕様書を正しく理解し、脆弱性を吟味できる人」じゃなきゃ、突っ込みいれた所で何も役立たずも良い所かと。もしコミュニティ云々いうんなら、脆弱性をわかる奴=代表者を選んで行かせりゃいいじゃない?何でネットコミュニティはそういう活躍のできる人を作らないんだ?
inanzu
2010-06-13 12:07:57 -
「セキュリティの専門家じゃないとわかんない、けど一般公開すれば誰かわかる人が居るかもしれない」ってのは、セキュリティの専門家と言う人たちは餌撒いとけば集まってくるスズメか何かと同じ扱いじゃないか・・・。そこまで失礼なのはどうかと思うぞ。
inanzu
2010-06-13 12:13:56 -
機知の問題を抱える人々に、適切な人物を紹介するのが凸の正しいやり方なんじゃないのか?
inanzu
2010-06-13 12:15:39 -
その辺の問題というのは、ハッカー雀にえさ撒いておけばJPCERT/CCやIPAを説得出来ずとも短時間で労働力対価を犠牲にして脆弱性は解決するという意味ですかね。
inanzu
2010-06-14 09:36:54 -
その上で、この議論は検証過程を自ずから拒否してないかと言っている訳。NDA締結をした上で脆弱性を回避する試みにでればいい。「NDAがあるので行けません」というのは単に玄関の前で出かけられない子供みたく騒いでるだけ。
inanzu
2010-06-14 10:30:47 -
「企業がNDAで口封じしようとする」「ご指摘ありがとうございました。今後の運営の参考にさせていただきます→放置」問題も、とっくに昔の議論で解決済みですよ。だから「NDAぐらい結べばいいじゃん」とか言ってる人は、その時点でFAQすら読んでない前世紀の議論を蒸し返しているよなぁ。……と思える訳です。
otsune
2010-06-14 15:46:41 -
基礎的知識がない人ある人の意識の乖離が激しすぎる。高木氏も知らなような知識や認識でセキュリティに関しての能天気な認識をそのままここでID入りでコメントするのはあまりにも恥さらしになる・・・ うーん
hogehoge1192
2010-06-14 16:00:32 -
NDAって義務が生じるんだよ。単にサービスとして情報提供します、って言ってるのに。きちんと情報を理解できる人を立てて、必要な情報だけを受け取ることができれば、NDAなんて必要ない。
happylab
2010-06-14 21:42:08 -
むしろここのコメントを題入りでまとめなおしたい
tarsho08
2010-06-16 13:27:58
ブログパーツ
幅・高さの指定を変えることでサイズを変更できます。
またsrcの中の「bc=***」で背景色を変更できます。
カスタム検索
注目のまとめリスト
| 平野耕太 - yahoo知恵袋(50代・主婦)まとめ |
|
| なぜマスゴミは「はやぶさ」の快挙を伝えないの?的な意見へのカウンター |
|
| 13歳のセックスする権利 |
|
| ドブス写真集を作るその道程 |
|
| 小惑星探査機『はやぶさ』地球帰還が、TVでリアルタイム報道されなかった件について |
|
| 興味ない=非国民?バカ騒ぎ=代表応援? ※W杯日本代表サポ必読 |
最近追加された商品
| ヒシエス トタンタライ 60cm |
|
| 約束(ナイトレイド盤) |
|
| ised 情報社会の倫理と設計 倫理篇/設計篇【全2巻】セット |
|
| 約束 |
|
| 動物化するポストモダン オタクから見た日本社会 (講談社現代新書) |
|
| 紙上「告発」法廷 サッチー嘘100語録―経歴詐称22・誹謗中傷29・人心攪乱28・虚偽申告21「全.. |
Twitterの弱点。圧倒的な匿名の悪意に弱いところ。サービスの中身を見せるのに、NDAを結ぶなんて当たり前すぎる話なのに、社会で働いた事ないんだろうな。そういう奴は、分をわきまえて発言をすべきじゃないんだよ。本来はね。こういう勘違いがネットで横行してるから、ネットが敵視される。本当に迷惑な奴らだ。
ko_zan
2010-06-09 10:42:29