セキュリティ研究における倫理

セキュリティ研究では、その倫理感が問われることが多い。例えば、社会実験であっても、人を騙して騙されやすさを確かめることは、例え種明かししても是非を問われるだろう。

倫理感におけるガイドラインとかルールとか法律は、前例をもって規則にするところがあるので、常に新しいことを求められる研究の分野は、前例がないことが多いのでジレンマに陥る。

研究者としては、最低限ガイドラインを守りつつ、なるべく新規性のある研究をしたいのでどのように取り組むべきか悩ましい。

実際のところグレーゾーンの中で、法律に抵触して社会から退場させられた研究者がいる一方、ほとんど違法な研究をしても新たにできたガイドラインで認められてしまう研究者もいる。

もし未知の事例に踏み込むならば、ガイドラインで認められたような事例を研究して、肯定的に捉えられるやり方を体得していきたいもの。

セキュリティ警告の伝え方

ある組織に対してセキュリティ警告とか脆弱性報告をする時は、かなり慎重にするべきというのは昔からある話。

特に気にするべきは、事実と推測の区別。推測の確度を示すべきである。

あなたのネットワークに、サービスにセキュリティ的な問題があると言っても、脆弱性があるのか、ある可能性があるのか、その可能性が高いのか低いのかを伝えるのが必要。

また、脆弱性とは別に、被害が出ているのか出ていないのかもまた重要。脆弱性は確認できていないけど、情報が漏れている可能性が高いとか、実際サービスが止まっているとか、踏み台にされているとかという話もある。

また、一見踏み台にされていそうでも、たまたま反射してきたパケットだとか、擬装パケットが踏み台のように見える可能性もある。

こういう情報は共有すべきだけど、断定的に確定的に伝えるのむしろ混乱を招く。特にマスコミ、ニュース、通報者は注意が必要なので、専門家のチェックが必要。

とあるサービスからパケットが飛んできたとしても、そのサービスがセキュリティ的な問題を抱えているかどうか確定できない。

ポートが開いていたとしても、脆弱性があるわけでも、実際に乗っ取られたわけではない。

世間でどんなにそんな事象が多く報告されていたとしても、あくまで推測の域をでない。

また、不正アクセス禁止法のせいで実際に浸入して確認できないのも事象。

だけど、だからこそ、疑わしきを罰するような報道、報告の仕方はやめたほうがよくて、正確に伝えるべき。

セキュリティコミュニティには、高名を急ぐあまり、拙速な公表があるように思う。いつでも、冷静なももの味方が必要。

セキュリティ情報を共有することはとても大切なのだけど、伝えるときの、伝え方がとても大切だと思う。

ZGrab – Application Layer Scanner For ZMap [feedly]

便利そうなツール。悪用は禁止。

というより悪用されることを前提に備えるべしですね。

----
ZGrab – Application Layer Scanner For ZMap
// Darknet – The Darkside

ZGrab is a Go-based application layer scanner that operates with ZMap and supports multiple protocols and services including TLS, IMAP, SMTP, POP3 etc. It also stores TLS version and can detect Heartbleed. Building You will need to have a valid $GOPATH set up, for more information about $GOPATH, see https://golang.org/doc/code.html. Once you have...

Read the full post at darknet.org.uk

----

Shared via my feedly newsfeed

仕切りや壁がないオープンプランのオフィスで働くと不満レベルが最大に - GIGAZINE

オフィスの効率の話。

これはすごくわかるかも。机を並べてしまうと、隣の話が否応なく聞こえて来て、集中力を途切れさせられる。

机を並べるのは情報共有とか、親睦とか意味があるのだろうけど、それはそれで別の手段を取れば良いと思う。

ただ、完全な遠隔になってしまうと、突然顔を合わせて打ち合わせしたくなった時にできないので効率が悪くなる。

いまだに顔を合わす打ち合わせに勝る効率の良いコミュニケーション方法がないように思う。空気を共にするということの情報量は、格段に違う。

だからこそ非同期でできる仕事は、離れてやるべきなのだと思う。

ICT化が進むこの時代に、ICTの特性を理解した上で、それをうまく使いこなす。もしくは、それに使わせて翻弄されないようにしたい。


https://www.google.co.jp/amp/gigazine.net/amp/20130919-open-plan-office?client=safari

研究職のやりがいの搾取

逃げ恋の最終回、やりがいの搾取という言葉が出て来た。

社会のためになることとか、自分が好きなこととか、やりがいがある仕事というのがいくつかある。

やりがいがある仕事につくと、報酬が少なくても仕事をしたり、時間外で仕事のために勉強したりする。

企業において研究職には、そういうところがあって、出世とか報酬とか無縁だが、やりがいを見つける人がいる。

ただ、やりがいがあるからといって、企業はそれに甘えすぎたり、利用するのはよくない。それは、やりがいにつけこんだ、やりがいの搾取であるというのが、ドラマのながれ。

企業の研究職も同様で、研究職がやりがいがある前提で、勉強や努力を当たり前に強いるのはできない。

この修身雇用がなくなっている時代に、企業の研究職ならいつまででも研究ができる立場を保証しないのだから、研究もシステマティックに組織だってやるべきで、ボランティア前提にしていないか、やりがいを搾取していないか、再度確認した方が良いかもしれない。

なんてことをドラマの最終回に考えた。

逃げ恋はコミックが面白かったけど、ドラマの脚本も社会問題を取り上げていて、面白かったな。

電源がソーラーで遠方へ長期間放置できるタイムラプスカメラEnlapsのTikeeは、編集制作環境もWeb上に提供 [feedly]

これ欲しいかも。

----
電源がソーラーで遠方へ長期間放置できるタイムラプスカメラEnlapsのTikeeは、編集制作環境もWeb上に提供
// TechCrunch Japan

タイムラプス写真は楽しいけど難しい。長時間や長期間のプロジェクトでは、カメラの電源供給が問題になる。現場から写真をこっちへ送らせたいなら、データ通信のセットアップが必要だ。でもEnlapsを使えば、すべての苦労が消える。同社は最近Indiegogoのキャンペーンに成功して、そのTikeeと名付けたカメラのために25万ドルを獲得した。

Tikeeには二つのタイプがある。ふつう版も電源はソーラーで、二つのレンズで220度の超ワイドを捉える。Wi-Fiもある。もうひとつのTikee Proには4Gもあり、GPSもある。4Gなら遠くから画像を送らせることができる。ただし野外ならもちろん、雨風に強いセットアップが必要だ。

写真を撮ってタイムラプスのビデオを作るだけでなく、Enlaps社が提供しているインフラ的プラットホームを利用して、タイムラプスビデオの組み立てや編集もできる（下図）。

Enlapsの編集ツール

ぼく自身がかなりのタイムラプス・マニアだから、Enlapsみたいな企業がこれまでなかったことの方が、むしろ意外だ。断片的なサービスやツールはこれまでもあったと思うが、タイムラプス写真を制作する全ワークフローを一つの過程へと統合化したサービスは、これまで誰も発想しなかった。だから、Enlapsはとっても頭がいい。

発売はニ機種とも4月で、ふつう版が750ドル、Proが900ドルだ。

[原文へ]
（翻訳：iwatani(a.k.a. hiwa））

----

Shared via my feedly newsfeed