アカウント名:
パスワード:
私がアメリカ国務省担当者ならば、絶対にDBをスパイする。そのリスクを、住信SBIはどのように考えているのだろうか。
ストレージは暗号化するだろうけど、当然鍵なんて当局者にはバレバレだろうし。むしろストレージの鍵は当局者がバックドアとして明示的に管理するかもしれない。
※ 日本の情報管理体制が、がばがばのゆるゆるであることは承知の上です。
AWSの中の人にはスパイがいるけどOracleの中の人にスパイが混じってないと思う根拠はなんでしょう?
オンプレのDBを想定しての発言だと思うよ
オンプレのDBを社内の人間だけで運用してると思い込んでるわけね。さらに、社内には絶対にスパイが入らないとも思い込んでると。なるほど。
オンプレの場合、DBは厳重にネットから隔離された環境かつ、物理媒体の持ち出し規制がかかった場所に設置します。
たかだか人間のスパイ程度はたかが知れています。※ データセンターが運営協力会社ごとスパイになっていたらともかく。
今回は、そのデータセンターと運営協力会社ごと外国政府のコントロールがしやすい場所に行ったのが焦点です。
あ、あと人間のスパイはリスク対策を含めコストがかかります。自国でバックアップ媒体のストレージ鍵を解除してストレージをまるごとスパイするのと、 外国で人間のスパイを雇ってちまちま情報を引き出すのと、どちらが経済的かは自明でしょう。
銀行の権限のある職員がスパイだった場合は、素直にあきらめましょう。機微情報の情報保全ができない銀行にお金を預けてはいけません。すぐに預金を引き上げましょう。
>※ データセンターが運営協力会社ごとスパイになっていたらともかく。ベネッセの事件では、データ管理会社の契約社員一人のために漏洩しました。管理会社ごとなんて大規模な裏切りは必要ありません。権限のあるたった一人でいいんです。
それを誰がやるのか、という話なんだけど、そのへんの文脈読み取る能力は人として必須です。
こういう相手がエスパーであることを前提に書く人間がスレッドを立てるから、後出し後出しでスレッドが伸びる。
夢見すぎなんだけどまずネットから隔離されているのにどうやってそのDb使うの?今時専用線を引く銀行なんてほぼないしVPNで擬似的な専用線化しているだけじゃね?ネットから隔離されてないよね?
で、なんか勘違いしてるけど前は米国法でしか契約出来なかったので愛国者法なんかで開示請求されたら止められないあったけど2017年からは準拠法を日本国法でもできる様になったんで米国政府としても合法的にデータを得るには裁判が必要なんだけど何を言ってんの?
中学生が精一杯背伸びして持てる知識を総動員して書いてるんだからあんまりいじめんなよ。
・オンプレが何か知らない(インターネットとイントラネットの区別がついてない可能性大)・システム的には出来る出来ないと、制度としてやってよいとやってはダメの区別がつかない
オンプレの話だで何で専用線だとかいう話になるんだ?お前ひょっとしてオンプレDBみたいな明らかなバックエンドサーバもインターネットからアクセス可能な所に配置する設計とかやってんのか?w
スパイ活動とか言ってるヤツに合法的には無理と言い出すしほんと、何を言ってんの?
はぁ・・・オンプレって自社構内なんでまぁIDCのラック内なり自社DCにおいてあるだけなんだけどそこにイントラ、インターネットは関係ないよ?IDCまでダークファイバーで専用線引いて使ってる会社も知っているし。そもそもクラウド使う時点でインターネットに繋がっている必要はあるからな。
> ・システム的には出来る出来ないと、制度としてやってよいとやってはダメの区別がつかない守秘あるから詳細はいえないけど、クラウドベンダーであってもH/W好き勝手できずに承認手続きなどあるのでそう簡単にはいかないよ。システム的には手順に従わないとH/Wアクセスできないのでできな
なるほど、出来るとやってよいの区別がつかず、かつネットワーク隔離は物理的接続の話に限定されると思ってるレベルなんだなそりゃ話は通じんわ
出来るか(行動)=HWアクセス、スパイ活動やってよいか(ルール)=手続き、合法非合法出来ないものはルールでやれってなってても不可能だし、ルール上ダメでも出来はするんだよ
>隔離っていったら物理的接続が一切ないからな。論理的接続がないことも含むに決まってんだろwお前検疫ネットワーク組んで "隔離" すべき端末が検知されたらえっちらおっちら現場まで物理線を抜きにいくの?w論理的にポートダウンなり通信ドロップなりで隔離はしないんだwだからインターネットからDBサーバにアクセスできにる何て発想になるんだなwそれか別次元の話でDBサーバまでDMZに置いてるアホw隔離とは物理的な話に限定されるって説明してるとこあるんならぜひ教えてくれw出来るとやってよいの理解は君にはもう無理っぽいけど、隔離とはの根拠を出すくらいなら出来るだろ?
出来ねぇよハードウェアハウジング内部にアクセスするだけで幾つのセキュリティあると思ってんの?上位権限と認証がなきゃ出来ない。尚且つお前のその理論だとAWSかとオンプレかは関係ないじゃねぇかよやろうと思えばその辺のDCに押し入ってH/Wに物理アタックなんぞできる
尚且つお前が言ってるその行動は「分離」だ
はいはい、早く「隔離っていったら物理的接続が一切ない」ことの根拠を出してね
# クラウドベンダが自分達で管理する上位権限と認証がありゃ(顧客の承認なくとも)出来るって自分で言っちゃったよw
だから、上位権限でも認証や承認が必要だから出来ねぇよ違法かどうかで米国内でスパイ行為について裁判やってるから調べろよ
今時銀行も自前のDC持ってなくってラック借りてたりするんでそうしたらAWSに関係なくオンプレ環境でもハードウェアに物理アクセスなんぞ出来るAWSだから、アクセスされるのだって何の冗談だ政府の指示ならなんだって出来るんだもん!とか夢の見過ぎ。CIAの裏工作だのカンパニーだのが書かれた資料を探して嫁
ゆめみてんじゃねぇよ
そんで、隔離っていったら物理的接続が一切ないことの説明は?
うんうん、現実に出来るからこそ、法的にはやらせないために争ってるね。君はアホだから現実に出来ないことを法的にやらせないためにわざわざ裁判するみたいだけどw
多少悪さしてもペイできれば何でもやるのは銀行の本質、ほとんどの人は情報セキュリティなんて興味ないのでそこに目を付けたのでしょう。
なるほどになるならそのリスク(やり易さ)を想定することも出来てないわけね。なるほど。
言い出したらキリがないでしょ人間ならフレーム問題に対処しよう
俺がいた会社ではこんな感じだった。
・本番部屋を用意して本番環境に接続できる端末を物理的にそこに限定する・本番環境へはtelnet proxyを通して接続しすべてのログを保存・手順書を作成した上で、最低2人以上での操作
もちろん信頼できる社員からスパイに転向するやつが複数人でてきたケースとか、インフラチーム(DBの詳細は知らない)を買収して別のアクセスルートを作るとかの可能性はある。あるけど、例えばNSAの要請でAmazonがデータを開示するとか、完全にこっちのコントロール外のところで情報が漏洩する可能性とどちら
Amazonが信用できるかと言うと…うーむ [togetter.com]
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家
アメリカ国務省にDBの中身が筒抜けに? (スコア:0)
私がアメリカ国務省担当者ならば、絶対にDBをスパイする。
そのリスクを、住信SBIはどのように考えているのだろうか。
ストレージは暗号化するだろうけど、当然鍵なんて当局者にはバレバレだろうし。
むしろストレージの鍵は当局者がバックドアとして明示的に管理するかもしれない。
※ 日本の情報管理体制が、がばがばのゆるゆるであることは承知の上です。
Re: (スコア:0)
AWSの中の人にはスパイがいるけどOracleの中の人にスパイが混じってないと思う根拠はなんでしょう?
Re: (スコア:0)
オンプレのDBを想定しての発言だと思うよ
Re:アメリカ国務省にDBの中身が筒抜けに? (スコア:0)
オンプレのDBを社内の人間だけで運用してると思い込んでるわけね。
さらに、社内には絶対にスパイが入らないとも思い込んでると。
なるほど。
Re:アメリカ国務省にDBの中身が筒抜けに? (スコア:1)
オンプレの場合、DBは厳重にネットから隔離された環境かつ、物理媒体の持ち出し規制がかかった場所に設置します。
たかだか人間のスパイ程度はたかが知れています。
※ データセンターが運営協力会社ごとスパイになっていたらともかく。
今回は、そのデータセンターと運営協力会社ごと外国政府のコントロールがしやすい場所に行ったのが焦点です。
あ、あと人間のスパイはリスク対策を含めコストがかかります。
自国でバックアップ媒体のストレージ鍵を解除してストレージをまるごとスパイするのと、 外国で人間のスパイを雇ってちまちま情報を引き出すのと、どちらが経済的かは自明でしょう。
Re: (スコア:0)
銀行の権限のある職員がスパイだった場合は、素直にあきらめましょう。
機微情報の情報保全ができない銀行にお金を預けてはいけません。すぐに預金を引き上げましょう。
Re: (スコア:0)
>※ データセンターが運営協力会社ごとスパイになっていたらともかく。
ベネッセの事件では、データ管理会社の契約社員一人のために漏洩しました。
管理会社ごとなんて大規模な裏切りは必要ありません。
権限のあるたった一人でいいんです。
Re: (スコア:0)
それを誰がやるのか、という話なんだけど、そのへんの文脈読み取る能力は人として必須です。
Re: (スコア:0)
こういう相手がエスパーであることを前提に書く人間がスレッドを立てるから、後出し後出しでスレッドが伸びる。
Re: (スコア:0)
夢見すぎなんだけどまずネットから隔離されているのにどうやってそのDb使うの?
今時専用線を引く銀行なんてほぼないしVPNで擬似的な専用線化しているだけじゃね?ネットから隔離されてないよね?
で、なんか勘違いしてるけど前は米国法でしか契約出来なかったので愛国者法なんかで開示請求されたら止められないあったけど
2017年からは準拠法を日本国法でもできる様になったんで米国政府としても合法的にデータを得るには裁判が必要なんだけど何を言ってんの?
Re: (スコア:0)
中学生が精一杯背伸びして持てる知識を総動員して書いてるんだからあんまりいじめんなよ。
Re: (スコア:0)
・オンプレが何か知らない(インターネットとイントラネットの区別がついてない可能性大)
・システム的には出来る出来ないと、制度としてやってよいとやってはダメの区別がつかない
オンプレの話だで何で専用線だとかいう話になるんだ?
お前ひょっとしてオンプレDBみたいな明らかなバックエンドサーバもインターネットからアクセス可能な所に配置する設計とかやってんのか?w
スパイ活動とか言ってるヤツに合法的には無理と言い出すし
ほんと、何を言ってんの?
Re: (スコア:0)
はぁ・・・
オンプレって自社構内なんでまぁIDCのラック内なり自社DCにおいてあるだけなんだけどそこにイントラ、インターネットは関係ないよ?
IDCまでダークファイバーで専用線引いて使ってる会社も知っているし。
そもそもクラウド使う時点でインターネットに繋がっている必要はあるからな。
> ・システム的には出来る出来ないと、制度としてやってよいとやってはダメの区別がつかない
守秘あるから詳細はいえないけど、クラウドベンダーであってもH/W好き勝手できずに承認手続きなどあるのでそう簡単にはいかないよ。
システム的には手順に従わないとH/Wアクセスできないのでできな
Re: (スコア:0)
なるほど、出来るとやってよいの区別がつかず、かつネットワーク隔離は物理的接続の話に限定されると思ってるレベルなんだな
そりゃ話は通じんわ
出来るか(行動)=HWアクセス、スパイ活動
やってよいか(ルール)=手続き、合法非合法
出来ないものはルールでやれってなってても不可能だし、ルール上ダメでも出来はするんだよ
>隔離っていったら物理的接続が一切ないからな。
論理的接続がないことも含むに決まってんだろw
お前検疫ネットワーク組んで "隔離" すべき端末が検知されたらえっちらおっちら現場まで物理線を抜きにいくの?w
論理的にポートダウンなり通信ドロップなりで隔離はしないんだw
だからインターネットからDBサーバにアクセスできにる何て発想になるんだなw
それか別次元の話でDBサーバまでDMZに置いてるアホw
隔離とは物理的な話に限定されるって説明してるとこあるんならぜひ教えてくれw
出来るとやってよいの理解は君にはもう無理っぽいけど、隔離とはの根拠を出すくらいなら出来るだろ?
Re: (スコア:0)
出来ねぇよ
ハードウェアハウジング内部にアクセスするだけで幾つのセキュリティあると思ってんの?
上位権限と認証がなきゃ出来ない。
尚且つお前のその理論だとAWSかとオンプレかは関係ないじゃねぇかよ
やろうと思えばその辺のDCに押し入ってH/Wに物理アタックなんぞできる
尚且つお前が言ってるその行動は「分離」だ
Re: (スコア:0)
はいはい、早く「隔離っていったら物理的接続が一切ない」ことの根拠を出してね
# クラウドベンダが自分達で管理する上位権限と認証がありゃ(顧客の承認なくとも)出来るって自分で言っちゃったよw
Re: (スコア:0)
だから、上位権限でも認証や承認が必要だから出来ねぇよ
違法かどうかで米国内でスパイ行為について裁判やってるから調べろよ
今時銀行も自前のDC持ってなくってラック借りてたりするんでそうしたらAWSに関係なくオンプレ環境でもハードウェアに物理アクセスなんぞ出来る
AWSだから、アクセスされるのだって何の冗談だ
政府の指示ならなんだって出来るんだもん!とか夢の見過ぎ。
CIAの裏工作だのカンパニーだのが書かれた資料を探して嫁
ゆめみてんじゃねぇよ
Re: (スコア:0)
そんで、隔離っていったら物理的接続が一切ないことの説明は?
うんうん、現実に出来るからこそ、法的にはやらせないために争ってるね。
君はアホだから現実に出来ないことを法的にやらせないためにわざわざ裁判するみたいだけどw
Re: (スコア:0)
多少悪さしてもペイできれば何でもやるのは銀行の本質、
ほとんどの人は情報セキュリティなんて興味ないのでそこに目を付けたのでしょう。
Re: (スコア:0)
なるほどになるならそのリスク(やり易さ)を想定することも出来てないわけね。
なるほど。
Re: (スコア:0)
言い出したらキリがないでしょ
人間ならフレーム問題に対処しよう
Re: (スコア:0)
俺がいた会社ではこんな感じだった。
・本番部屋を用意して本番環境に接続できる端末を物理的にそこに限定する
・本番環境へはtelnet proxyを通して接続しすべてのログを保存
・手順書を作成した上で、最低2人以上での操作
もちろん信頼できる社員からスパイに転向するやつが複数人でてきたケースとか、
インフラチーム(DBの詳細は知らない)を買収して別のアクセスルートを作るとかの可能性はある。
あるけど、例えばNSAの要請でAmazonがデータを開示するとか、完全にこっちのコントロール外のところで
情報が漏洩する可能性とどちら
Re: (スコア:0)
Amazonが信用できるかと言うと…うーむ [togetter.com]