http://blog.goo.ne.jp/hwj-sasaki/e/d6e7496f353194c6c7094652c7dfbcde
今更だけど、価格.comの話がこれから再燃しているようで。
うーん、どうなんだろ？他のサイトでも問題があると困るからインシデントの原因を公開しろと言うのはかなぁり理屈がおかしい気がする。確かに、技術者として原因を公開してもらえれば、上を説得する材料としては非常に力強いものだろうけど、ちょっと待て。本当にそれが必要なのか？というのが一時期のあちこちのサイトを見ていての疑問。
前にも書いたけど、この事件でまずかったのはインシデントを認識してから後の対応だと思うのですよ。そして、社長さんの「最高のセキュリティ」と言う言葉が最大の問題かな？と。この言葉を出し、攻撃した者のみを悪者にしたおかげで、この会社は自分たちが預かっている個人情報に付帯する責任と言うものを放棄したように思えるのですよ。預けていた側からすれば、価格.comがしっかり管理してくれてさえいれば問題がなかったものなので、加害者の片棒を担いでいると思うわけですよ。いわゆる管理不行届きというやつですな。
確かに自分に非があったことを認めるのは非常に勇気がいる(&企業にとってマイナスとなる)ものだけど、他人が見て明らかに非があることについて認めないと信頼されなくなるのではないかと思うのですよ。特に価格.comのような一般顧客を相手にするような企業であれば信頼は重要だと思うんだな（でも、日本は「人の噂も75日」と言う諺があるようにあっさり過去を忘れるのよね、実際持ち直してるらしいし）。
その上で、対策が終わった場合には、その原因と対策について詳細でなくてよいので発表する必要があるのではないか？と思う。現状のように対策はしましたと言われても単なる場当たり的な対策しかしてないのか、原因を特定し、根本的に対策をしたのかが全くわからんので不安なのですよ。ただ、原因を特定し、それに対する対策をとったと言ってもらえればそれで安心するのですよ(それが、本当かどうかはともかくね)。
だから、SQLインジェクションがどうたらとかは公表してもらわなくてもいいのですよ。ただ、例えば「原因はプログラムにミスがあり、全てのプログラムのチェックを行い、問題を修正しました。今後はこういったことが発生しないように開発体制を見直します。」という発表だけでいいんだけど。これだったら別に難しくないよね？こういった発表をするかしないかで、その組織に対する信頼感と言うのがぐっとあがると思うんだな。このいい例がジャパネット高田だと思う。
インシデントが発生しないようにするのが一番だけど、これを0にするというのは不可能なんだから、発生した後の態度がその後の印象を変えると思うんだよねぇ。
なぁんかあの対応を見る限りろくなブレーンがいないように思えるんだよねぇ。