インターネットウォッチより
http://
アンチウイルスソフト市場に参入するよりも、そもそも、そうしたセキュリティホールのない製品を作るべきだ、というまっとうな発言をしたガートナーグループのアナリスト。
まったくその通りだと納得しました。
http://
アンチウイルスソフト市場に参入するよりも、そもそも、そうしたセキュリティホールのない製品を作るべきだ、というまっとうな発言をしたガートナーグループのアナリスト。
まったくその通りだと納得しました。
|
|
|
|
コメント(36)
>利便性を望むと、色々な穴が出来る。。。
その通りなのですが、Windowsの最悪の設計上の欠陥は「WebブラウザとOSを統合してしまったこと」に尽きます。
ブラウザの脆弱性を突かれただけでOSの最高の権限まで渡してしまうなんて、どんな仕様やねんと。
そういう意味で、従来のIEと完全に互換性があって、しかもOSと分離された新しいIEを作ることは必要なことではないかという気がします。
でもそうすると、例の「ブラウザはOSの一部品である」という強弁を盾に押し通してきた独占禁止法の問題がまた復活する恐れもあり。
結局今のIEの仕様って、ユーザビリティを優先した結果ではなくて、単なるNetScapeつぶしの戦略の結果なんですよねー。
その通りなのですが、Windowsの最悪の設計上の欠陥は「WebブラウザとOSを統合してしまったこと」に尽きます。
ブラウザの脆弱性を突かれただけでOSの最高の権限まで渡してしまうなんて、どんな仕様やねんと。
そういう意味で、従来のIEと完全に互換性があって、しかもOSと分離された新しいIEを作ることは必要なことではないかという気がします。
でもそうすると、例の「ブラウザはOSの一部品である」という強弁を盾に押し通してきた独占禁止法の問題がまた復活する恐れもあり。
結局今のIEの仕様って、ユーザビリティを優先した結果ではなくて、単なるNetScapeつぶしの戦略の結果なんですよねー。
むしろ、ガートナーのアナリストが金にもならなそうな、まっとうなことを言っているということに深読みしてしまう。
まあ、それはどうでもよくて、この件は個人的には賛成。
セキュリティホールの無いソフトウェアを作ることなんて不可能。
では、次善策でセキュリティホールがワームに悪用される前に潰されることを望む。
全世界のワームのトレンドを常に把握しておかなければならないアンチウイルスソフトビジネスをMSが持つということは、MS自身がセキュリティーホール悪用のトレンドに関する最前線の情報を保持できることを意味するわけだし、その情報がMS内でのセキュリティーホール修正の資源投入の優先順位付けやユーザーへの情報提供などに良い影響を与えると思う。
まあ、それはどうでもよくて、この件は個人的には賛成。
セキュリティホールの無いソフトウェアを作ることなんて不可能。
では、次善策でセキュリティホールがワームに悪用される前に潰されることを望む。
全世界のワームのトレンドを常に把握しておかなければならないアンチウイルスソフトビジネスをMSが持つということは、MS自身がセキュリティーホール悪用のトレンドに関する最前線の情報を保持できることを意味するわけだし、その情報がMS内でのセキュリティーホール修正の資源投入の優先順位付けやユーザーへの情報提供などに良い影響を与えると思う。
>K.Matsudo
超同意
アナリストの言う事なんて・・・
大体セキュリティホールの議論とワクチンソフトの議論を
一緒にするなって感じ
大体セキュリティホールを減らす方法としては機能
を削るしかないですよね。
確かにLinuxのシステムは単純なサービス提供だけなら
セキュリティホールが少ないかもしれません
でも顧客が求めてる機能はMSでしか実現できない事が多いですよね。
MSは他のベンダーと比べても十分開発費に投資してる
し開発環境もすばらしいし、セキュリティ対策
についても他ベンダーよりは迅速だと思う
っていうかMSがいややったらJavaとLinuxとかで
システム作ったら?と言いたいです。
それでセキュリティが堅牢になるんですか?
開発の生産性が上がってますか?
MSは確かに儲けまくりですが、それ相応の努力
はしてると思いますよ
バグのないプログラムは存在しない。しかしデバッグ
の不可能なプログラムも存在しない。 by攻殻機動隊
超同意
アナリストの言う事なんて・・・
大体セキュリティホールの議論とワクチンソフトの議論を
一緒にするなって感じ
大体セキュリティホールを減らす方法としては機能
を削るしかないですよね。
確かにLinuxのシステムは単純なサービス提供だけなら
セキュリティホールが少ないかもしれません
でも顧客が求めてる機能はMSでしか実現できない事が多いですよね。
MSは他のベンダーと比べても十分開発費に投資してる
し開発環境もすばらしいし、セキュリティ対策
についても他ベンダーよりは迅速だと思う
っていうかMSがいややったらJavaとLinuxとかで
システム作ったら?と言いたいです。
それでセキュリティが堅牢になるんですか?
開発の生産性が上がってますか?
MSは確かに儲けまくりですが、それ相応の努力
はしてると思いますよ
バグのないプログラムは存在しない。しかしデバッグ
の不可能なプログラムも存在しない。 by攻殻機動隊
リンク切れ…消されましたかね。
リンクがきえたのは訳が正確でなく削除されたか、MSにつぶされたか・・・。
ニュースソースをみないままに話をするのも何ですが、セキュリティホールがなくなれば
「アンチウィルスソフトはいらなくなるんでしたっけ?」
マクロウィルスとかはセキュリティホールではない気がします。(利便性の代償ですよね?)OSとIEの結合もおなじだとおもえます。もちろんセキュリティ的にはありえない設計(OSと密結合)かもしれませんが。
それでも、そういう素材をつかった料理のリクエストを受けるわけです。(素材をかえる努力の話は置いといて。)
んでもって、
「セキュリティホールのないソフトなんかありましたっけ?」
いまのマイクロソフトは、バグの改修やセキュリティホールの修正に関してかなり優秀なレベルにあるとおもいます。
不可能だとわかっているが、品質が悪すぎというトピック?
マイクロソフトがOSだけではセキュリティ対策ができないと判断したのは妥当だとおもいます。(事実そうですし。)
マイクロソフトがアンチウィルス製品を製品に組み込んで出荷するのも、無償かつ機能停止ができるなら歓迎しますね。(購入直後にWindowsアップデートするため無防備にネットにつなぐユーザが多いことを考慮すると、という前提付ですが。)
チップメーカーと組んでNXビットへの取り組みもやっているし、エンジニアはよくがんばっているとおもいますよ。
えっと、MS関係者ではありません。念のため。
リンクがきえたのは訳が正確でなく削除されたか、MSにつぶされたか・・・。
ニュースソースをみないままに話をするのも何ですが、セキュリティホールがなくなれば
「アンチウィルスソフトはいらなくなるんでしたっけ?」
マクロウィルスとかはセキュリティホールではない気がします。(利便性の代償ですよね?)OSとIEの結合もおなじだとおもえます。もちろんセキュリティ的にはありえない設計(OSと密結合)かもしれませんが。
それでも、そういう素材をつかった料理のリクエストを受けるわけです。(素材をかえる努力の話は置いといて。)
んでもって、
「セキュリティホールのないソフトなんかありましたっけ?」
いまのマイクロソフトは、バグの改修やセキュリティホールの修正に関してかなり優秀なレベルにあるとおもいます。
不可能だとわかっているが、品質が悪すぎというトピック?
マイクロソフトがOSだけではセキュリティ対策ができないと判断したのは妥当だとおもいます。(事実そうですし。)
マイクロソフトがアンチウィルス製品を製品に組み込んで出荷するのも、無償かつ機能停止ができるなら歓迎しますね。(購入直後にWindowsアップデートするため無防備にネットにつなぐユーザが多いことを考慮すると、という前提付ですが。)
チップメーカーと組んでNXビットへの取り組みもやっているし、エンジニアはよくがんばっているとおもいますよ。
えっと、MS関係者ではありません。念のため。
katzさんのリンク先の記事、失笑してしまいました。
>手早く作ってテストする〜(略)〜後の開発行程で付け加えるべきものではないからだ。
と言いつつ、IISからApacheに乗り換えを勧めるってのが、なんて言うか、Apacheの語源と流れを考えると、ちょっと上で言ってることと違うんじゃない?と。
「深読み」にはは大した意味は無いんですが、元々ガートナーはMSに対して、否定的な論調が多く、オープンソース(特にLinux)を押していて、IBMとの繋がりが強いので、その絡みだろうと。そういえば、IBMのLinuxデスクトップ移行計画はどうなったんだ?
ちなみに、コレとかも結構キてますよ。
http://www.itmedia.co.jp/news/articles/0408/16/news003.html
# OSSを批判しているわけじゃないので悪しからず。
>手早く作ってテストする〜(略)〜後の開発行程で付け加えるべきものではないからだ。
と言いつつ、IISからApacheに乗り換えを勧めるってのが、なんて言うか、Apacheの語源と流れを考えると、ちょっと上で言ってることと違うんじゃない?と。
「深読み」にはは大した意味は無いんですが、元々ガートナーはMSに対して、否定的な論調が多く、オープンソース(特にLinux)を押していて、IBMとの繋がりが強いので、その絡みだろうと。そういえば、IBMのLinuxデスクトップ移行計画はどうなったんだ?
ちなみに、コレとかも結構キてますよ。
http://www.itmedia.co.jp/news/articles/0408/16/news003.html
# OSSを批判しているわけじゃないので悪しからず。
個人的にはまぁやってみて駄目なら辞めるだろうし
何だかんだで搭載される事だろうから少しはまともな物を
作ってね、と言った所でしょうか?
>yagさん
>マイクロソフトがアンチウィルス製品を製品に組み込んで出荷するのも、無償かつ機能停止ができるなら歓迎しますね。
に一票です。
#停止できても利用できるとかそういうオチはなしの方向で・・・
>jinneeさん
>どうも、MSがアンチウィルスソフトを作りこむと、
>アンチウィルスソフトに対するアンチウィルスソフトが
>必要になるような気がしてなりません。
飲み物を少し噴出してしまいました:-)
ま、最初のうちはこれに近い状況になる気がしますが・・・
何だかんだで搭載される事だろうから少しはまともな物を
作ってね、と言った所でしょうか?
>yagさん
>マイクロソフトがアンチウィルス製品を製品に組み込んで出荷するのも、無償かつ機能停止ができるなら歓迎しますね。
に一票です。
#停止できても利用できるとかそういうオチはなしの方向で・・・
>jinneeさん
>どうも、MSがアンチウィルスソフトを作りこむと、
>アンチウィルスソフトに対するアンチウィルスソフトが
>必要になるような気がしてなりません。
飲み物を少し噴出してしまいました:-)
ま、最初のうちはこれに近い状況になる気がしますが・・・
<ウイルス対策ソフト無し、Windowsアップデートもしないって利用者が僕の周りでも多数います。>
セキュリティパッチをあててない Solaris や RedHat なんてのも沢山見かけます。いまだにびっくりするような ssh や sendmail のバージョン使ってるところもね。こんなところはどんな OS 使っていようが、Internet には潜在的脅威以外の何者でも無いと思っています。幸か不幸か、Windows は人の手に触れやすいのでまだ Crack は発覚しますが、放置状態で動いているサーバでは Crack すら発覚しない場合が多々あるように思います。
最近びっくりしたのは、ネットワークの運用を請け負ってる人達の話を聞いたとき、「VPN で構成され、アクセスされるネットワークが限定されているのでサーバにパッチはあてていません」といわれて怒りで失神寸前になったことがあります。
「VPN 装置って君たちの怠慢を正当化してくれる道具なの ??」
みたいな感じ。って考えると
<MS謹製のアンチウィルスソフトが糞の役にも立たない>
たたないでしょ ?? だって本当の Virus って、PC の中で繁殖するもんではなくて、するべきことをせずに自分の PC の中で繁殖させてそこいらじゅうの Network (例えば自宅と会社とか)を渡り歩く利用者だと僕は思います。外から持ち込まれたりする場合なんて相当なコストかけないと防ぎきれないっすよ。
セキュリティパッチをあててない Solaris や RedHat なんてのも沢山見かけます。いまだにびっくりするような ssh や sendmail のバージョン使ってるところもね。こんなところはどんな OS 使っていようが、Internet には潜在的脅威以外の何者でも無いと思っています。幸か不幸か、Windows は人の手に触れやすいのでまだ Crack は発覚しますが、放置状態で動いているサーバでは Crack すら発覚しない場合が多々あるように思います。
最近びっくりしたのは、ネットワークの運用を請け負ってる人達の話を聞いたとき、「VPN で構成され、アクセスされるネットワークが限定されているのでサーバにパッチはあてていません」といわれて怒りで失神寸前になったことがあります。
「VPN 装置って君たちの怠慢を正当化してくれる道具なの ??」
みたいな感じ。って考えると
<MS謹製のアンチウィルスソフトが糞の役にも立たない>
たたないでしょ ?? だって本当の Virus って、PC の中で繁殖するもんではなくて、するべきことをせずに自分の PC の中で繁殖させてそこいらじゅうの Network (例えば自宅と会社とか)を渡り歩く利用者だと僕は思います。外から持ち込まれたりする場合なんて相当なコストかけないと防ぎきれないっすよ。
>「VPN で構成され、アクセスされるネットワークが限定されているのでサーバにパッチはあてていません」
リスクと投資のバランスをとった結果、こういった割りきりを行うことが必要なケースはありえると思いますよ。そんな判断すら行っていないほうが可能性はたかそうですが。(いや、オフトピでした。)
>本当の Virus
を
>渡り歩く利用者
と定義するなら、どんなツールも役に立たないでしょうね。こういうユーザを前提としてセキュアな状態をつくるなら、選択肢がない製品をえらぶ(あるいは状況をつくる)という判断はありです。
それにしても、皆さんストレスがだいぶたまっているようです。
始終、ユーザやベンダーやウィルスに振り回されていてはそうなるのもやむを得ますまい。お怒りごもっとも。
どなたか、そういうフラストレーション発散用のコミュかトピをたてて、そこにあつまり、思う存分思いのたけをぶちまけるというのはいかがでしょう?あるいは2chみたいなところでもいいわけですが。
リスクと投資のバランスをとった結果、こういった割りきりを行うことが必要なケースはありえると思いますよ。そんな判断すら行っていないほうが可能性はたかそうですが。(いや、オフトピでした。)
>本当の Virus
を
>渡り歩く利用者
と定義するなら、どんなツールも役に立たないでしょうね。こういうユーザを前提としてセキュアな状態をつくるなら、選択肢がない製品をえらぶ(あるいは状況をつくる)という判断はありです。
それにしても、皆さんストレスがだいぶたまっているようです。
始終、ユーザやベンダーやウィルスに振り回されていてはそうなるのもやむを得ますまい。お怒りごもっとも。
どなたか、そういうフラストレーション発散用のコミュかトピをたてて、そこにあつまり、思う存分思いのたけをぶちまけるというのはいかがでしょう?あるいは2chみたいなところでもいいわけですが。
>>「VPN で構成され、アクセスされるネットワークが限定さ
>れているのでサーバにパッチはあてていません」
>
>リスクと投資のバランスをとった結果、こういった割りきり
>を行うことが必要なケースはありえると思いますよ。そんな
>判断すら行っていないほうが可能性はたかそうですが。(い
>や、オフトピでした。)
そんなネットワークを引いた会社に勤めてましたよ。管理し
ているサーバーのipfilterに例の物が現れだして、警告し
たんだけど、なんとウイルスは太平洋を渡ってやってきま
した。そいでもって、ウイルス駆除大会が始まって、どう
しても特定できないマシンから放出されている。探しに探し
てまわったら、なんと私のデスクの後の席においてあった
営業のノートパソコンだった。ちゃんちゃん。
RASなんか使っていてるノートを安全なネットワークに
つなげばそりゃもうあーた、上へ下へのえらい大騒ぎ。
>れているのでサーバにパッチはあてていません」
>
>リスクと投資のバランスをとった結果、こういった割りきり
>を行うことが必要なケースはありえると思いますよ。そんな
>判断すら行っていないほうが可能性はたかそうですが。(い
>や、オフトピでした。)
そんなネットワークを引いた会社に勤めてましたよ。管理し
ているサーバーのipfilterに例の物が現れだして、警告し
たんだけど、なんとウイルスは太平洋を渡ってやってきま
した。そいでもって、ウイルス駆除大会が始まって、どう
しても特定できないマシンから放出されている。探しに探し
てまわったら、なんと私のデスクの後の席においてあった
営業のノートパソコンだった。ちゃんちゃん。
RASなんか使っていてるノートを安全なネットワークに
つなげばそりゃもうあーた、上へ下へのえらい大騒ぎ。
<リスクと投資のバランスをとった結果、こういった割りきりを行うことが必要なケースはありえると思いますよ。>
これはその通りですが、その場合、それに特化した設計をしなければならないです。例えば「何でも出来るが手のかかる HOST より、機能を特化した装置を多用する」とか「各装置の保守契約内容と運用内容を調整する」とか、まぁ色々あると思いますが少なくとも出来るのは相当特殊な形態になると思います。
<選択肢がない製品をえらぶ(あるいは状況をつくる)という判断はありです。 >
今の世の中で誰もが PC を使おうとすることがそもそもおかしい状態で、何かしらの過渡期なのかなとか思ってます。目的の固定していない道具がここまで流行るのは、やはりさまざまなニーズに対してダイナミックに機能を変貌させる道具が必要なんだろうなと。それが結局諸刃の剣になっているのかな。
ただ、自由度の高い道具はそれだけユーザに責任を強いる結果になるって言うことをもう少しちゃんと認識した方が良いかなぁと思っています。
別に「Virus に感染する = 悪」と言う気は無いですが、風邪引いたら周囲にうつさない努力をしたり、そもそも風邪をひかない努力をするわけです。なんか MS に文句を言っているのって、冬の街中裸で歩いて風邪引いて親に「何で丈夫に生んでくれなかったんだ」って言ってるみたいに僕は感じます。もちろん OS のバグを突き刺すような Virus では仕方ないと思いますけど、安易に添付ファイル開いたりして感染してもねぇみたいな。
これはその通りですが、その場合、それに特化した設計をしなければならないです。例えば「何でも出来るが手のかかる HOST より、機能を特化した装置を多用する」とか「各装置の保守契約内容と運用内容を調整する」とか、まぁ色々あると思いますが少なくとも出来るのは相当特殊な形態になると思います。
<選択肢がない製品をえらぶ(あるいは状況をつくる)という判断はありです。 >
今の世の中で誰もが PC を使おうとすることがそもそもおかしい状態で、何かしらの過渡期なのかなとか思ってます。目的の固定していない道具がここまで流行るのは、やはりさまざまなニーズに対してダイナミックに機能を変貌させる道具が必要なんだろうなと。それが結局諸刃の剣になっているのかな。
ただ、自由度の高い道具はそれだけユーザに責任を強いる結果になるって言うことをもう少しちゃんと認識した方が良いかなぁと思っています。
別に「Virus に感染する = 悪」と言う気は無いですが、風邪引いたら周囲にうつさない努力をしたり、そもそも風邪をひかない努力をするわけです。なんか MS に文句を言っているのって、冬の街中裸で歩いて風邪引いて親に「何で丈夫に生んでくれなかったんだ」って言ってるみたいに僕は感じます。もちろん OS のバグを突き刺すような Virus では仕方ないと思いますけど、安易に添付ファイル開いたりして感染してもねぇみたいな。
>今の世の中で誰もが PC を使おうとすることがそもそも
>おかしい状態で、何かしらの過渡期なのかなとか思ってます。
これねぇ。いつも口を酸っぱく言っていたんだけど、MUAだけ
の為にOutlookなんかインストールするな、といっても全然
聞き分けの無い人がたくさん。MUAならOutlook expressが
あるだろうし、PIMとしてちゃんと使っているかというと
そうでもない。無目的にインストールしてアップデートの
ひとつもしないで危険な状態で使っている人多数。
Outlookひとつ例にとっても
>自由度の高い道具はそれだけユーザに責任を強いる結果に
>なるって言うことをもう少しちゃんと認識した方が良いか
>なぁと思っています。
激しく同意。
選択肢をなくするソリューションとして、terminal serverを
使い、端末をゼロアドミニストレーションにしてしまう手も
ありますね。もっともそういう便利なツールがWindowsとか
UNIX上で利用できる事を知らない人が多すぎると思う。
ドメインコントローラにvncをインストールしてある状況を
見てため息が出た。管理目的ならrdpがあるじゃないか、と。
>おかしい状態で、何かしらの過渡期なのかなとか思ってます。
これねぇ。いつも口を酸っぱく言っていたんだけど、MUAだけ
の為にOutlookなんかインストールするな、といっても全然
聞き分けの無い人がたくさん。MUAならOutlook expressが
あるだろうし、PIMとしてちゃんと使っているかというと
そうでもない。無目的にインストールしてアップデートの
ひとつもしないで危険な状態で使っている人多数。
Outlookひとつ例にとっても
>自由度の高い道具はそれだけユーザに責任を強いる結果に
>なるって言うことをもう少しちゃんと認識した方が良いか
>なぁと思っています。
激しく同意。
選択肢をなくするソリューションとして、terminal serverを
使い、端末をゼロアドミニストレーションにしてしまう手も
ありますね。もっともそういう便利なツールがWindowsとか
UNIX上で利用できる事を知らない人が多すぎると思う。
ドメインコントローラにvncをインストールしてある状況を
見てため息が出た。管理目的ならrdpがあるじゃないか、と。
toこたさん
<目的の固定していない道具がここまで流行るのは、やはりさまざまなニーズに対してダイナミックに機能を変貌させる道具が必要なんだろうなと。>
この視点が、すごく新鮮で面白いです。
鶏と卵的ではありますが、PCを目的の固定していない道具と看破するのはちょっと目からウロコもんでした。
ちなみに、「手元にある道具」のリスクを可視化するだけで人間の意識は随分変わるなんですよ。それが、経営者であれ、現場サイドであれ(特に日本人はまじめだとおもいますので、効果が大きいと思います)それだけで改善の動機になる。
してみると今必要なことは
「投資に見合う効果がある」こと
あるいは
「リスクの大きさを可視化する」ことが
大事って事ですね。
で、「投資した結果、これだけ安全になった」と、いえれば御の字ですねぇ。
ちなみに風邪とコンピュータウィルスの比較をしていますが、コンピュータウィルスは風邪より、「感染性がたかく、潜伏期間がながい病気」にちかいともいますよ。
だれだって、自分が風邪を引いていることに気がつければそれだけで対応がだいぶ違ってきます。
もしMSがアンチウィルス(買収したのはスパイウェア駆除がらみのようでしたが)としてではなく、感染をお知らせするソフト(機能)を搭載してくれるのならそれだけでも大きな意味があると思っています。(よしよし、トピの話題にもどれた。)
to konoaさん
こたさんもおっしゃっていますが、(MSオフィスがのっていないPCを探すのが難しいという現状からいって)自由度の高い機械に必要な機能を実現するモノが複数のっていれば、使ってほしくないほうを使ってしまう可能性もあります。
おっしゃるように、選択肢をなくすというのはひとつの方法ですが、それを知らない人がおおすぎる・・・と。
便利なツールを知らないのはなぜなんでしょうね?
誰が知っていればよいんでしょうか?
ちなみにrdp(RemoteDesktopですよね?)はUNIXからはつかえないんじゃなかったでしたっけ?
<目的の固定していない道具がここまで流行るのは、やはりさまざまなニーズに対してダイナミックに機能を変貌させる道具が必要なんだろうなと。>
この視点が、すごく新鮮で面白いです。
鶏と卵的ではありますが、PCを目的の固定していない道具と看破するのはちょっと目からウロコもんでした。
ちなみに、「手元にある道具」のリスクを可視化するだけで人間の意識は随分変わるなんですよ。それが、経営者であれ、現場サイドであれ(特に日本人はまじめだとおもいますので、効果が大きいと思います)それだけで改善の動機になる。
してみると今必要なことは
「投資に見合う効果がある」こと
あるいは
「リスクの大きさを可視化する」ことが
大事って事ですね。
で、「投資した結果、これだけ安全になった」と、いえれば御の字ですねぇ。
ちなみに風邪とコンピュータウィルスの比較をしていますが、コンピュータウィルスは風邪より、「感染性がたかく、潜伏期間がながい病気」にちかいともいますよ。
だれだって、自分が風邪を引いていることに気がつければそれだけで対応がだいぶ違ってきます。
もしMSがアンチウィルス(買収したのはスパイウェア駆除がらみのようでしたが)としてではなく、感染をお知らせするソフト(機能)を搭載してくれるのならそれだけでも大きな意味があると思っています。(よしよし、トピの話題にもどれた。)
to konoaさん
こたさんもおっしゃっていますが、(MSオフィスがのっていないPCを探すのが難しいという現状からいって)自由度の高い機械に必要な機能を実現するモノが複数のっていれば、使ってほしくないほうを使ってしまう可能性もあります。
おっしゃるように、選択肢をなくすというのはひとつの方法ですが、それを知らない人がおおすぎる・・・と。
便利なツールを知らないのはなぜなんでしょうね?
誰が知っていればよいんでしょうか?
ちなみにrdp(RemoteDesktopですよね?)はUNIXからはつかえないんじゃなかったでしたっけ?
>便利なツールを知らないのはなぜなんでしょうね?
暇がないと不勉強になります。私自身人のこと言えません。
>誰が知っていればよいんでしょうか?
全員、OS製作者からソフトハウスのプログラマそしてユーザーまで。XPユーザーランドを担当しているチーム(もとWin9x担当チーム)はXPSP2で漸く学んだようですけど、administratorsグループユーザーで常時ログインは危険だという事にまでは手が回っていないようです。だから、そこはユーザーが学ばないといけない。OSの設定変更やハードウエアのセットアップはadministratorにsudoして(プログラムアイコンを選んで右ボタンで別ユーザーで動かす)普段はシステムディレクトリやシステムレジストリの変更が出来ないusersグループでアプリを動かす。gpedit.mscでuserに許容する操作をカスタマイズする。このくらいやって漸くunixのユーザーに対するrestrictionをWindowsの上で手に入れられる。caclsコマンドをたたけば、usersグループが飾りじゃない事を確認できます。ドメインに参加するというのが、なんだか良く判らない人がきちんと設定されたグループポリシーを受け取るチャンスであることも知っていたほうがいいかもしれません。一台一台面倒見るのはそれこそ面倒。
暇がないと不勉強になります。私自身人のこと言えません。
>誰が知っていればよいんでしょうか?
全員、OS製作者からソフトハウスのプログラマそしてユーザーまで。XPユーザーランドを担当しているチーム(もとWin9x担当チーム)はXPSP2で漸く学んだようですけど、administratorsグループユーザーで常時ログインは危険だという事にまでは手が回っていないようです。だから、そこはユーザーが学ばないといけない。OSの設定変更やハードウエアのセットアップはadministratorにsudoして(プログラムアイコンを選んで右ボタンで別ユーザーで動かす)普段はシステムディレクトリやシステムレジストリの変更が出来ないusersグループでアプリを動かす。gpedit.mscでuserに許容する操作をカスタマイズする。このくらいやって漸くunixのユーザーに対するrestrictionをWindowsの上で手に入れられる。caclsコマンドをたたけば、usersグループが飾りじゃない事を確認できます。ドメインに参加するというのが、なんだか良く判らない人がきちんと設定されたグループポリシーを受け取るチャンスであることも知っていたほうがいいかもしれません。一台一台面倒見るのはそれこそ面倒。
<暇がないと不勉強になります>
暇があっても動機付けがなければ、そちら方面に時間はつかわないので、コンピュ−タをツールとして使う方は知ることはないのでしょうね。
あと、暇があっったとしても「比較的詳しく」はなれても、完璧にはなれないですよね。
完璧でない知識で防御を十分に行うためには何をすればいいでしょうか。
<全員、OS製作者からソフトハウスのプログラマそしてユーザーまで。>
これは実現できますかでしょうか?
実現したとして維持できますでしょうか?
その方法で効果はありますでしょうか?
私は、進化していく全体を等しく全員にしらしめる方法を思いつきませんでした。
ちなみに無理だとしたらこの方法に固執しても仕方がないので、代替策はありそうでしょうか?
現時点で私のもつ回答は「そのことに知識のある専門家がバランスをとって提供する」か「その気になった人が調べる方法を提供する」かのどちらかだとおもっています。
ところで、知識を体系化しておいておくと、ことセキュリティに関してはハウツーを逆手にとったウィルスに感染するリスクを増やします。Googleもその意味で、バッドノウハウの蓄積を進行させます。
なので、定期的なセキュリティポリシーの再チェックが必要になるのです。
ちなみにメールを例にすると、
========================
1年前は日本語フィッシングはありませんでした。最近はあります。
ひところは、添付ファイルを開かなければメールでのウィルス感染はないといわれておりました。
いまではプレビューで感染します。(未パッチの前提あり)
大昔は実行(.exeや.com)ファイルを実行しなければウィルス感染しないといわれておりました。その後、スクリプトやマクロウィルスにより前提は崩されました。
========================
あれれ、随分オフトピにながれてしまいました。。。
暇があっても動機付けがなければ、そちら方面に時間はつかわないので、コンピュ−タをツールとして使う方は知ることはないのでしょうね。
あと、暇があっったとしても「比較的詳しく」はなれても、完璧にはなれないですよね。
完璧でない知識で防御を十分に行うためには何をすればいいでしょうか。
<全員、OS製作者からソフトハウスのプログラマそしてユーザーまで。>
これは実現できますかでしょうか?
実現したとして維持できますでしょうか?
その方法で効果はありますでしょうか?
私は、進化していく全体を等しく全員にしらしめる方法を思いつきませんでした。
ちなみに無理だとしたらこの方法に固執しても仕方がないので、代替策はありそうでしょうか?
現時点で私のもつ回答は「そのことに知識のある専門家がバランスをとって提供する」か「その気になった人が調べる方法を提供する」かのどちらかだとおもっています。
ところで、知識を体系化しておいておくと、ことセキュリティに関してはハウツーを逆手にとったウィルスに感染するリスクを増やします。Googleもその意味で、バッドノウハウの蓄積を進行させます。
なので、定期的なセキュリティポリシーの再チェックが必要になるのです。
ちなみにメールを例にすると、
========================
1年前は日本語フィッシングはありませんでした。最近はあります。
ひところは、添付ファイルを開かなければメールでのウィルス感染はないといわれておりました。
いまではプレビューで感染します。(未パッチの前提あり)
大昔は実行(.exeや.com)ファイルを実行しなければウィルス感染しないといわれておりました。その後、スクリプトやマクロウィルスにより前提は崩されました。
========================
あれれ、随分オフトピにながれてしまいました。。。
>これは実現できますかでしょうか?
>実現したとして維持できますでしょうか?
>その方法で効果はありますでしょうか?
>
>私は、進化していく全体を等しく全員にしらしめる方法を思いつきませんでした。
Windowsマシンであれば ActiveDirectoryを使用することでほとんど解決できると思います。
部署ごとにUOとグループで階層的に管理し
それぞれに グループポリシーで制限をかける
もし、共有サーバーにUNIX系-Sambaを使ってても
ActiveDirectoryによる認証で動作させることも可能
(要Samba3.0.x)
前提がActiveDirectoryですが、クライアント側の操作を一切行わずにドメインコントローラーでの作業のみで
セキュリティーポリシー等の修正変更が可能になります。
まぁ、知っていると思いますが、とりあえず書いてみます。
グループポリシーではクライアントの各アプリケーション(特にMS系ソフト)の制御も可能なのでプレビューや添付ファイルの実行を制限することもできますし。
<一台一台面倒見るのはそれこそ面倒>
同感です。
ActiveDirectory+グループポリシー は管理の手間が
軽くなりますよね。
<UNIX版 リモートデスクトップクライアント>
私が使ってます。
Solaris10から ドメインコントローラにログオンして
管理してますから・・・
http://www.rdesktop.org/
長くなりましたが、何かの参考になればと思います。
>実現したとして維持できますでしょうか?
>その方法で効果はありますでしょうか?
>
>私は、進化していく全体を等しく全員にしらしめる方法を思いつきませんでした。
Windowsマシンであれば ActiveDirectoryを使用することでほとんど解決できると思います。
部署ごとにUOとグループで階層的に管理し
それぞれに グループポリシーで制限をかける
もし、共有サーバーにUNIX系-Sambaを使ってても
ActiveDirectoryによる認証で動作させることも可能
(要Samba3.0.x)
前提がActiveDirectoryですが、クライアント側の操作を一切行わずにドメインコントローラーでの作業のみで
セキュリティーポリシー等の修正変更が可能になります。
まぁ、知っていると思いますが、とりあえず書いてみます。
グループポリシーではクライアントの各アプリケーション(特にMS系ソフト)の制御も可能なのでプレビューや添付ファイルの実行を制限することもできますし。
<一台一台面倒見るのはそれこそ面倒>
同感です。
ActiveDirectory+グループポリシー は管理の手間が
軽くなりますよね。
<UNIX版 リモートデスクトップクライアント>
私が使ってます。
Solaris10から ドメインコントローラにログオンして
管理してますから・・・
http://www.rdesktop.org/
長くなりましたが、何かの参考になればと思います。
>あと、Windows Explorerを「別のユーザとして実行」し
>ちゃうと、終了させてもプロセスが残るとか、Windows XP
>だとなかなか制限ユーザ作らせてくれなかったり。
元が9xを作ったチームの程度が知れますよね。XPに至ってはウインドウステーションが一致しないとexplorerが立ち上がってこないですからね(ユーザー簡易切り替えにたよるしかない)。
もっと昔には、cmd.exeを動かすとMSIMEのインスタンスも同時に起動してバッチファイルが終了してセッションが終了してもIMEが残るメモリリークバグがありました(どのバージョンで修正されたかは失念しましたが、これは修正されています)。
>ちゃうと、終了させてもプロセスが残るとか、Windows XP
>だとなかなか制限ユーザ作らせてくれなかったり。
元が9xを作ったチームの程度が知れますよね。XPに至ってはウインドウステーションが一致しないとexplorerが立ち上がってこないですからね(ユーザー簡易切り替えにたよるしかない)。
もっと昔には、cmd.exeを動かすとMSIMEのインスタンスも同時に起動してバッチファイルが終了してセッションが終了してもIMEが残るメモリリークバグがありました(どのバージョンで修正されたかは失念しましたが、これは修正されています)。
>営業のノートパソコン
確かに。
同様の危険物としてベンダーのメンテナンス用PCもありましたね。さすがに今ではどこでも対策されているとおもいますが。
>cmd.exeを動かすとMSIMEのインスタンスも同時に起動して
>バッチファイルが終了してセッションが終了してもIMEが
>残るメモリリークバグがありました。
これは初耳です。cmd.exeということはNT系列ですね。そうなるとサーバ用途なので、バッチでメモリーリークはつらい。
NT系列はリブート運用必須といわれていたバッドノウハウの根幹にかかわっていそうですね。
それでおもいだしましたが、以前EXCELにもメモリリークがありました。某所の社内システムでは印刷処理のため、サーバ上でExcelをバッチ起動・停止していたため、メモリリークで毎日再起動していた話をおもいだしました。
確かに。
同様の危険物としてベンダーのメンテナンス用PCもありましたね。さすがに今ではどこでも対策されているとおもいますが。
>cmd.exeを動かすとMSIMEのインスタンスも同時に起動して
>バッチファイルが終了してセッションが終了してもIMEが
>残るメモリリークバグがありました。
これは初耳です。cmd.exeということはNT系列ですね。そうなるとサーバ用途なので、バッチでメモリーリークはつらい。
NT系列はリブート運用必須といわれていたバッドノウハウの根幹にかかわっていそうですね。
それでおもいだしましたが、以前EXCELにもメモリリークがありました。某所の社内システムでは印刷処理のため、サーバ上でExcelをバッチ起動・停止していたため、メモリリークで毎日再起動していた話をおもいだしました。
- mixiユーザー
- ログインしてコメントしよう!
|
|
|
|
