パスワードを忘れた? アカウント作成
7488 story
セキュリティ

脆弱性をなくすために、サイト管理者は何をなすべきか? 140

ストーリー by yoosee
日々此精進 部門より

tamago915曰く、"ACCS の個人情報漏洩などから、セキュリティ脆弱性の指摘のあり方について考えることが多くなりました。この事件のあと、モラルに沿った指摘を行ってほしいと呼びかける記事も掲載されています。/.-J でも、いくつかの記事が投稿されていますが、個別の事件、あるいは脆弱性を発見した側について論じる記事ばかりで、サイト管理者側の責任や義務といった点については脇に置かれていた面はあります。

もちろん、脆弱性など存在しないことが理想です。ですが、日々新たなサービスやソフトウェアが作られ、日々新たな脆弱性が発見される現状では、その理想に近づくことは容易ではないでしょう。とはいえ、その努力を怠るようなサイト管理者は、管理者としての資質を問われてもやむを得ない、という意見も十分に理解できます。

セキュリティ脆弱性をなくすという理想に近づくために、サイト管理者はどうあるべきか、また、今後どのような組織や社会や法律が整備されていくべきか。/.-J の参加者のみなさんからの忌憚なき提言をいただきたいと思います。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2004年02月10日 12時42分 (#492789)
    さんざん既出だろうけどサイバーノーガード戦法 [netsecurity.ne.jp]

    # さすがにAC
  • by Coo-Neruasobu (17846) on 2004年02月10日 14時42分 (#492918)
    問題は web アプリケーションの脆弱性に対して社会的認知が取られていない事だと思います。
    実際自分が見つけただけでも、某超有名ショッピングサイトでセッションハイジャック、画面偽装から騙しによりパスワード収集が出来る、現金に交換可能な仮想通貨を扱った某サイトでページを訪れたログイン済みのユーザーから財布を抜くことが出来る、と危険度の高い問題が幾つかありました。
    社会的に web アプリケーションの利用頻度、重要度が高まる反面その品質は十分とは思えず、潜在的危機を溜め込んでいる現状はマズいと思いますし、それ以上に脆弱性の指摘を十分に活用できず、ある種拒否反応を示す (メディアも含めた) 社会機能/企業/行政に危険を感じるワケです。

    で、脆弱性が利用者の危機や損失を招くという社会的認識、開発/管理運営を戒めるための社会的圧力が必要で、かつ企業も脆弱性の指摘を有効な情報として摂取出来る事が必要だと思います。

    教育、行政等の多方面でお題目で唱える「IT 化」の中にセキュリティに関する本質的な理解を入れて進めていく必要があると思うのですが、
    まぁ手近な所から、取り敢えず脆弱性の通知と公表にマスメディア、企業、利用者 (通知者含む) の三者に対して影響があり、且つそれぞれから中立的な指摘/公表に関するルールとルートが整えば状況は少し変わるような気がします。

    # 結局は社会のセキュリティに関する関心度/理解の低さが一番の問題だと思ったり。
  • by tamago915 (19926) on 2004年02月10日 13時05分 (#492824) 日記
    # ACCS をたたきたいのなら、新しくタレコミ記事を書けばいいのにと思う ID [srad.jp]
    と書いたあと、実際にタレコんでみました。

    いくつかのセキュリティ関連の記事についたコメントで、「脆弱性を存在させておくサイトがいけないんだ」という主張がありました。この点についてもう少し深く突っ込んだ議論が必要だと思うのですが、元のコメント自体がオフトピックに見なされていることもあり、あまり話題が広がっていかなかったと感じています。

    責任をとれ、という意見もありましたが、では果たしてどんな責任をとればいいのか、という問いには反応がなかったという認識です。現状、法的責任は発生していないはずなので、法整備が必要なのか、道義的な責任を負うべきなのか、そういった部分の考え方を聞いてみたいと思っています。

    個人的には、信用を喪失するという社会的責任が発生するわけで、それ以上の責任は問えないのではないかな、と感じています。もちろん、自分の個人情報が漏洩したり、金銭的な被害が出た場合は、それに応じた賠償責任を追及していくことになりますが。
  • 余計な~をなくす (スコア:3, すばらしい洞察)

    by fukapon (4131) on 2004年02月10日 12時52分 (#492804)

     余計なことをしない、余計なデータをとらない。 とか。

     脆弱性をなくす、とは若干視点が異なる部分、いざというときの被害範囲を最小限にとどめるってことも含めて、大切なことかと。

  • ようするにオープンリレー [ordb.org]の脆弱性版。
    申し訳ないけど,業界関係者には期待できませんし。
    --
    斜点是不是先進的先端的鉄道部長的…有信心
    • by isi (4853) on 2004年02月10日 13時13分 (#492836) 日記
      かつてのオープンリレーデータベースORBSも散々訴訟で叩かれて、

      もはや存在しません。
      [kobe-u.ac.jp]

      個人を組織に置き換えただけで、同じ末路をたどることにでしょう。
      一つの案だとは思いますが、それだけでは問題の解決にはなりません。
      親コメント
    • 情報が公開されていると、脆弱性が発見されたサイトにとっては、
      今まで以上に、かなり危険ではないでしょうか。
      即閉鎖、またはクラッキングを余儀なくされそうな気がします。

      でも、サイト管理者に無視出来なくさせるという点から見ると有用ですね。
      親コメント
    • by Anonymous Coward on 2004年02月10日 12時57分 (#492810)
      Open Relay は人に迷惑をかける穴。

      そゆ意味ではワームに感染する Windows と一緒とも言える。

      ACCS のケースは利用者に迷惑を掛ける可能性のある穴。
      これを一緒くたに論ずるのはいかがなものか。

      どっちかってーと「Slashに聞け!」で聞きたいのは『ポートスキャンはしても構わないと思いますか?』、『穴を探す目的でサイトをつついて回るのは正しい行為だと思いますか?』だなぁ。
      親コメント
  • by jtakano (13491) on 2004年02月10日 13時25分 (#492848)
    すべてのサイトが危険であるという前提で、
    定期的にアタックテストを自発的に受けて、
    安全であることをサイト自らがアピールする。

    だれそれがチェックして公表では、
    調査だけでも不正アクセスになりかねないので
    サイト自らがチェックを申し出ないとだめだと思います。
  • by alp (1425) on 2004年02月10日 13時26分 (#492852) ホームページ 日記
    裏方面にさくさく流してがんがんクラックしてもらう。The Net は怖いところだという妥当な認識がきちんと広まらないうちは、この業界の体質も改善されないし、きちんと仕事をする管理者の待遇も低いままでしょう。
  • ふと思った。 (スコア:2, 参考になる)

    by kamira (6480) on 2004年02月10日 21時13分 (#493227) ホームページ
    ACCS「モラルに沿った脆弱性指摘を」って言ってるけど、その時のトップや担当者で大きく対応が変わるような。

    こちらがモラルを守ったとしても、それを証明する術はないんですよ。
    例えば、「CGIに脆弱性があってこうなるとこうなります」って伝えても、
    顧客情報やらを盗んでいないって証明はできませんよね。
    サーバー次第でログはいくらでも消せる。
    となると、こちらが善意による警告を行ったとしても、痛くも無い腹を探られる事になる。

    それだったら最初から警告なんぞしない方が、触らぬ神になんとやらなわけで。
    ドコとは言いませんが、管理義務を怠ったのに被害者面してる会社とかね:P
    そうでなくても、とある方法で調べればセキュリティの
    甘いトコの個人情報なんか嫌でも取得できるのに。

    貴方ならどうします?
    「警告しないで個人情報ゲット」 と 「善意で警告したのに不正アクセス」
    天秤にかけるには、割が合いませんね。
  • そうだ (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2004年02月10日 12時45分 (#492796)
    Office氏に頼むといいよ。
    対応しないと晒されるけど。
  • 資格試験 (スコア:1, おもしろおかしい)

    by Anonymous Coward on 2004年02月10日 12時54分 (#492806)
    ○○基準管理者とかの肩書きでも作れば少なからず
    モラルの底上げと雇用創出

    #者じゃなくて士じゃないと強制力ってないんですよね。_| ̄|○
  • 管理者の社会的地位 (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2004年02月10日 13時04分 (#492820)
    管理者に必要とされる資質が、技術力や社内対応能力に加え、法解釈や良識ある社会的な対応等、質、量とも高度化し、ますます重荷になっていくわけですが、さすがにこの辺で管理者の社会的地位を見直してみることも必要かと…。

    せめて、「ネット管理者手当て」出して(^^;

    # 本音が含まれているのでAC

  • by lunatic_sparc (15416) on 2004年02月10日 13時11分 (#492831)
    現実性があるかどうか疑問だけど、「誰かが監査してこのサイトは安全だよ」マークを発行するってーのはどうでしょう。

    『office印』じゃ雪印みたいに信用ないかもしれませんが、どこか例えば SECOM みたいな会社がサイト利用者に対して安全性を示すと共にログ監査もしていて、保険もどっかの損保会社と組んで提供するなんてのは商売になるんじゃないかと。

    プライバシの取り扱いについての認証みたいな感じでしょうか。

    #BM特許って訳にはいかないかもしれないけど一応 ID。
    • >現実性があるかどうか疑問だけど、「誰かが監査してこのサイトは安全だよ」マークを発行するってーのはどうでしょう。

      別記事のコメントでも書いたけど、プライバシーマーク [privacymark.jp]は?
      親コメント
      • by lunatic_sparc (15416) on 2004年02月10日 13時33分 (#492860)
        > 別記事のコメントでも書いたけど、プライバシーマーク [privacymark.jp]は?

        一応、『監査ガイドライン』をざっと見ると安全性確保のところ(4.4.4.2 個人情報の利用の安全性の確保)で担保されるようには見えるけど…

        ここの部分を厳格に運用すればいい、のかなぁ。

        ただ、サイトの安全性って点ではちょっとカバレッジが異なるような気もします。
        どっちかってーとコンプライアンス主体ですものね。
        親コメント
        • by Anonymous Coward on 2004年02月10日 17時27分 (#493067)
          当社は先日監査を受けましたがかなりいいかげんな
          でっちあげ記録書類、ごまかしのシステム対策は一切指摘されず、
          無事認定を通ってました(^^;

          実質的な役には立たない認定だと感じます。

          # やばいのでAC
          親コメント
    • by Coo-Neruasobu (17846) on 2004年02月10日 13時49分 (#492878)
      プライバシーマークか何だったか忘れましたがそれを掲げたサイトが穴だらけでマークの発行団体も利権になっている、とセキュリティ関連の ML か日記で見たような。

      方法論の前に体質の問題かと。
      親コメント
    • by mocchino (13752) on 2004年02月10日 15時04分 (#492932)
      使う側がセキュリティを意識したサイトを企業に要望するか?ということがもっとも早く企業を動かすことになるでしょう

      個人情報もれても、企業が重荷になるほど損害賠償されないなら保険なんて入る意味ないですし...
      評判が思った以上に落ちないのなら、注意すらしないでしょう
      企業側からお金を払ってでもその信頼性を勝ち取りたいと思われるほどにならないと、この手の監査機関って無意味になると思います

      ISO9000みたいに取っていないとある程度不利に立場になるのなら、企業もお金出しても監査してもらうんでしょうけど...
      今はセキュリティを気にしているのは一部の人だけでは無いでしょうか?

      #お昼の番組で、いま個人情報があぶないっって話題にしてもらう?(苦笑)
      親コメント
  • by Anonymous Coward on 2004年02月10日 13時41分 (#492869)
    ダメなサイトが淘汰される気がするけど。
    弱いセキュリティーを法律で保護にした結果
    免疫が無くなり全体が弱体化する方が恐いな。

    これにより技術の停滞の恐れがありますね。
    ドンドンアタックされた方が強固になると思うけど
  • by of (17899) on 2004年02月10日 13時51分 (#492880) 日記
    脆弱性を報告する窓口は当然として、そういうアタックを事前に予告できる窓口があるといいなぁ。

    →「2/22 14:00より 111.222.333.444 というIPからXSSの脆弱性を見つけるためのアタックしますのでよろしく」
    とか事前に記録に残せるような。

    ←「その日は担当者が不在で対応が遅れますので別の日にしてください」
    とかやりとりができれば双方が幸せじゃない?
    • by Fortune (6210) on 2004年02月10日 13時57分 (#492882) 日記
      > ←「その日は担当者が不在で対応が遅れますので別の日にしてください」

      最近の風潮を見ると、いつでもこの返答になる気がするんだけど。
      ニュースとかでも良くあるじゃん
      「担当者が不在の為、コメントできません」
      とかさ:-P
      親コメント
    • by digoh (17917) on 2004年02月10日 16時02分 (#492981) 日記
      それは「ちゃーんすっ!」ってことなのカナ?なのカナ?(笑)

      信頼関係が無い場合(ってこの例の場合常時の気もするが)、

      『不在』の日が確定するまで予告しつづけ、不在の日のみアタックするクラッカー
      →あえて『不在』と伝え、罠を仕掛ける企業
      →あえて予告をしてない日を選ぶクラッカー
      ……などと化かし合いになるだけのような(^^;
      親コメント
  • アンケートフォームはファイルに書き出さないで,即座に印刷.(w

  • 『このスクリプトは正しく設置した場合、ハッキング耐久性レベル2と認定します』などと、掲示板やアンケートスクリプトの耐久認定をしたらいかが?
    サイト運営者ももちろんだが、スクリプトの作者にこそ「セキュリティ脆弱性」の意識を持たせないといけないと思います。
    サーバーごとハックされたらともかく(サイト運営者レベルでは対策出来ない)、設置するスクリプトを選ぶ目安になりますものね。
    ついでに設置状態でチェックしてくれる機関もあればよいかと。
  • 脆弱性というより設定ミスの方が多い訳だから、
    セキュリティチェックプログラム走らせるなり、
    第三者による設定チエックを行えばかなり防げると思うのだが。

    #設定・管理を一人に任せて、お金も時間も掛けてないのもまた現実。
  • by Anonymous Coward on 2004年02月10日 17時38分 (#493083)
    祈る。
  • by Rem (17869) on 2004年02月10日 19時10分 (#493154) 日記
    個人サイトを管理してます。
    あんまり知識もないのでえらそうなことはいえないのですが、やっぱり
    不必要な情報は取らない
    ていうことですね。

    そんなことよりも、一回もれてしまった個人情報の怖さを一般の人が気がついていない、ていうのが大きいんじゃないでしょうか?

    むかーしのことですが、TBCの情報流出事件があったとき、エステ系の秘密がバレて恥ずかしい、と憤っていたお姉さまたちは多かったのですが、イタズラ電話が増えないか心配、とかそういったことが聞かれなかったのがアレだなぁ、と思いました。そりゃ、自分の体重やスリーサイズがバレるのは恥ずかしいでしょうけど、住所氏名が流れちゃったことのほうが怖いのですが。

    個人個人が自分についての情報の価値を認識してない、ていうのが管理側へ対する甘さで出てきているのかな?と思いました。
  • by Anonymous Coward on 2004年02月10日 19時52分 (#493174)
    Webサイトとかメールサーバなんて持たないことですね。
    ついでに管理者もリストラできて、人件費も節約できます。
typodupeerror

犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー

読み込み中...