Openlaw日誌 このページをアンテナに追加 RSSフィード

2005-07-09地裁判決論点と今後の視点

セキュリティについての評価  セキュリティについての評価 - Openlaw日誌 を含むブックマーク

セキュリティー専門家が行なうリスク評価について,金沢地裁判決は妥当な判断を下しています.具体的には判決文の「事実及び理由」p.3--55,そして以下の部分.

第4 争点に対する当裁判所の判断
(7)システムのセキュリティについて
ア 証拠
(ア)ハードウェア
(イ)総務省のセキュリティ基準
(ウ)市町村の自己点検
(エ)住基カード
(オ)長野侵入実験
(オ)品川区ペネトレーションテスト
イ 評価

特に,「品川区において実施されたペネトレーションテストについては,同テストの内容の詳細が不明であり,評価を行なうことはできない」(p.71)と,採用しなかった資料についても不採用の理由を示しているのは企業経営者でもなかなかできないことです.多くの場合,セキュリティ評価は「テスト業者は大丈夫だと言っています」というだけでかたづけられてしまいがちですから.すると,そんな報告を法廷に提出した品川区も総務省も外部業者をマネジメントできていないんじゃないか,ということも考えられます.それは総務省が東京地裁に提出した書類で具体的に検討したいと思います.

ということで次からは東京地裁の文書を読みます.

e-GovSec/Nishimurae-GovSec/Nishimura2005/07/10 07:15e-GovSecプロジェクトを担当している、JCA-NETの西邑です。
山根さんがふれている「品川区において実施されたペネトレー
ションテスト」ですが、東京地裁(25部)の法廷資料として
は、被告側が「丙14号証 住基ネットに対するペネトレー
ションテスト結果報告」として提出されています。
*e-GovSecサイトへのアップが遅れていて申しわけありません。
「丙14号証」そのものであるかどうかはまだ確認できていな
いのですが、総務省が公開している品川区の結果の実験結果
そのものは、以下のページに「資料1」としてpdfファイルで
リンクされています。
http://www.soumu.go.jp/c-gyousei/daityo/031017_1.html

s-yamanes-yamane2005/07/11 23:28どうもありがとうございます.
そういえばその資料のチェックはしていなかったか.
ちなみに品川区の試験報告は総務省が出していて,江東区の試験報告はLASDECが出してますね↓
http://www.lasdec.nippon-net.ne.jp/rpo/pene_2005.pdf
以下にコメントがあります.
http://maruyama-mitsuhiko.cocolog-nifty.com/security/2005/04/post_a8a9.html
(私もそうですが)多くの専門家はこの報告については物足りないとは思うけど否定はしないと思います.ただし長野の報告書のどちらがより証拠能力が高いかという見方をすれば話は別です.金沢地裁判決はそこをうまく整理している.

トラックバック - http://openlaw.g.hatena.ne.jp/s-yamane/20050709