過失は無かった

はてなにカカクメソッドというキーワードが登録されて少し話題になっている。 これに反応して、カカクコムは被害者だ、いや加害者だという話が、徒然キャッチーさんのコメント欄で盛り上がっている。 「相当のセキュリティ対策を施した以上、過失はない。悪いのは侵入者であり被害者を一方的に責めるのはよくない」という意見や、「SQLインジェクションへの対策は常識。セキュリティ対策の基礎ができていない」という意見が出ている。

ただ、どうも「カカクメソッド」というキーワードが誤解されている気がする。

「カカクメソッド」が問題にしているのはセキュリティが甘かったかどうかではなく、「当社に過失はなかったが、詳細は明らかにできない」という姿勢だろう。 前述のコメント欄にも書いたけど、この論法が認められるのであれば、「仮に」セキュリティ対策を何もやっていなくても責任は問われないことになってしまう。 これって何か変だよ。マジメにセキュリティ対策をやっているところと利用者がバカを見ちゃう。

だから、侵入手口の詳細が明らかになっていないのに、推測で「SQLインジェクション」への対策うんぬんや、加害者・被害者について議論しても仕方ないんじゃないかなって気がする。

その他諸々

「カカクメソッド」が問題にしている点とは関係なかったので掲示板では触れなかったけど、nmpfさんが言う一方的な被害者批判が問題というのは理解できる。 でも、カカクコムが100%加害者でないのと同じように、100%被害者でもないと思う。一般住宅と違って、顧客の情報を預かっているんだから。 （じゃあ何パーセントかというのは、情報が公開された後に専門家が判断することかな）

それから、僕は「一般人」の常識よりは「侵入者と紙一重のセキュリティオタ」を信じるかな。 侵入者の目線に立たないセキュリティ対策は、効果がないだろうから。 もちろん、想定以上のありえない危険性を騒ぎ立てる人は問題外だし、リスク対策としてどこまでセキュリティにコストをかけるかは経営判断だろうけど。