仮想通貨界隈に「サイバーインシデントが無くなるその日」がなかなか来ない遠因 (その1)

タイトルは釣りです。(久しぶり2回目)

...

いきなりトリビアの披露に飛びます。

特定領域の技術者の間でのみ通じるスラングの一つに「GIGO」って言葉があります。データフローの定番デザインパタンである FIFO (先入れ先出し)のモジリです。

Garbage In Garbage Out、つまり、入力がゴミなら出力はゴミ以外期待できない、という意味となります。

方向性を誤ったソフトウェア・テストの実行、根本的に誤った仕様書に基づいて行われるソフトウェア開発および成果、目的が明確でない会議の議事録、そういった類のものを、嘲笑的、または自嘲的に指すときに使われます。

...

さて、本題に戻ります。先日のこの記事について。

はい。一箇所、致命的な記述の甘さがあり、典型的な GIGO となりました。

現在は、修正されている箇所

Web アプリケーションで発生し得る潜在的な脆弱性の有無をチェックします。

の修正前の表記は下記ツイートの添付画像とおりでした。

だめだろ書いたやつ土下座しろ (土下座)

そりゃ ISO 27000 (ISMS) 勢がご立腹なのは当たり前ですわ。

指摘する側にしてみれば、発言者は匿名なので「こいつはなんにも解っていない」って前提に立つしかないだろうし。

さりとて、匿名故にどれくらいモノを知っているかどうかも開示しようがないし、この程度のことでキャラを手放すのも勿体無いので…。

己の筆滑りに気づく前に下記引用のようなツイートをしていたり、

某クローズドソースPoI コインのことを dis っている過去ツイートから CSIRT の存在くらいは知っていることをお察しして頂けると幸甚。

存在を知っている。つまり「これは脆弱性だ」と業者 BOT が素で思ったなら、note でポエみ高い文章書く前に別の適切なアクションを取るだろうということです。たぶん ISMS 勢が考えるとおりに。

よって、先の note 記事へのコメントは概ね同意ですし、「長文コメントありがとうございます。概ねそのとおりですね」との感想です。

...

顛末が完全に GIGO なので、あの記事については、これ以上引っ張るつもりはありません。

しかしそれはそれとして、本稿タイトルのとおりの問題意識を中の人は持っていて、頂いたコメントや Twitter での反響を見ていると、その遠因が垣間見えているように思えています。

何回かに分けて、そのあたりについてポエム書いていきます。

繰り返しになりますが、修正前のあの記事は、GIGO です。ポエムの中で ISMS 勢に対して dis りが入るかもしれませんが、コメント主を指すわけではありません。彼は GIGO の巻き込まれ被害者です。

 ...

つづく。


この記事が気に入ったら、サポートをしてみませんか?
気軽にクリエイターの支援と、記事のオススメができます!
コメントを投稿するには、 ログイン または 会員登録 をする必要があります。