質問
例えばの話です。
↓例としてマストドンと書いていますが、インスタンスを立ち上げてもいませんしまだ何もしていません。その他にも何も実際にサーバを立ち上げてもいません。
- 個人の家のサーバでサイト運営(たとえばマストドン)
- ユーザーは不特定多数
- ソフトウェアはオープンソース(CentOSなど)
- 特にセキュリティ攻撃を受けた場合の規定などない
- 一般ユーザのメールアドレス、パスワードを保存。
- 全てのソフトウェアを最新版にすることなどや一般的に必要とされているセキュリティ対策は実施している
例えば、上記のようなサーバーがあり管理者は自分のやれる範囲でセキュリティ対策をしていたとします。そんなある日、しかし、まさかまさかゼロディ攻撃やセキュリティの不備が見つかり(例えば脆弱性があるパッケージを古いままで放置)顧客情報(ユーザのメールアドレスやパスワード)を流出してしまったとします。この場合、このサーバーの管理者には何か社会的な制裁が下るんでしょうか?
例えば
- ユーザーから法的に申し立てられる。何かしらの法律に触れ、管理者が法の裁きを受ける
- 殆どのユーザーは法的に申し立てをしないので特に何も起きない。流出されたユーザは泣き寝入り。
- が、万が一法的に申し立てがあったら管理者は法の裁きを受ける
- そもそも、法的に申し立てできない。謝罪してそっとサイト閉鎖。流出されたユーザは泣き寝入り。ユーザーは信頼できるようなサーバーにしか個人情報を登録しない努力をする必要がある。
などなど。
マストドンなどを自分の家で運用しようとかを考えた時に、できうる限りの対策をしていても、例えばパッケージに脆弱性パッチが適用される前に攻撃を受けて流出などなどあった場合に法の裁きを受けてしまうようなことがあったらとても手軽に手出しできないなと思いました、が、その一方で自分で自宅ラックのように運営することにも興味があり悩んでいるところでした。
質問2
--追記1
*1
基本的に、セキュリティーホールがないシステムというものは存在しません。
正にそのとおりだと思います。この状況の中で企業であれ、個人であれ例えば上記のような個人情報を保管してサービスを提供しているものもあると思いますが、これはルータやサーバーでセキュリティを一定以上備えておけば情報が漏れる確率は限りなく低いので個人、会社で運営しているということでいいんでしょうか??例えばゼロディ攻撃を受ける確率はかなり低いということでいいのでしょうか?
個人にしろ会社にしろ*1で漏洩する可能性が絶対あるのに個人の重要な情報を保管してサービスを提供していることに違和感を感じました。ただセキュリティをある程度万全にすれば攻撃を受け情報を流出してしまう可能性がかなり低いのであれば、より便利なサービスを享受したいので納得できますし、自分でもマストドンなどを自宅で運用してみようかなぁと考える次第です。
宜しくお願いたします。
回答4件
あなたの回答
tips
プレビュー