パスワードを忘れた? アカウント作成
76099 story
ソフトウェア

XSSは本当に危ないか?日本のセキュリティ意識は過剰? 99

ストーリー by hayakawa
貴方はどう思いますか? 部門より

あるAnonymous Coward 曰く、

日本のセキュリティ対策会社として著名な「株式会社ラック」にお勤めの方が書かれた、@ITの記事「世間の認識と脅威レベルのギャップ——XSSは本当に危ないか?」が少し話題を呼んでいる。

著者は「いま、あえて問います。世間でいわれているほど、XSSは危ないのでしょうか?」、「おしかりを覚悟で書きます」、「XSSってそんなに危ないのか? 認識にギャップがないか?」と疑問を投げかけている。その理由として著者は、これまでセキュリティ対策の現場で働いた経験からして、「企業の株価が暴落したり、ビジネスを脅かすようなXSSは見たことはありません」とのことで、「SQLインジェクションと比べたら微々たるもの」といった根拠を挙げている。

XSSは罠を仕込んで被害者を誘い込む必要があり、攻撃の手間が大きいために実際の攻撃は多く発生していないということのようだ。その上で、次のように想いの丈を述べられているのだが、スラッシュドットの諸兄はどのように思われるだろうか。

  • 年に1回も起きないことに関してセキュリティ投資をする価値があるのか?
  • “技術的に可能”なことがそのまま現実に起こるのか?
  • XSSの脆弱性のためだけにシステムの再構築する必要があるのか?
  • この問題で株価が下がることなんてあるのか?
  • やられてしまったら営業担当者1人に謝罪にいかせた方が安いんじゃないのか?
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2009年03月25日 13時37分 (#1537619)
    お金をかけていいわけがない、と鼻で笑って予算0にしておいて、
    いざことが起きたら「なぜなにもしなかったんだ!」と言い出すのがたくさんいて困る
  • by leiqunni (8779) on 2009年03月24日 11時59分 (#1536794) ホームページ 日記

    高木先生ってって美人局の脆弱性とかにひっかかりそう。
    ひっかかって欲しい。

    脆弱性の指摘は正論だから批判すると「意識がなってない」とか鬼の首を取ったように言われるけど、
    そんな人には「100台あるサーバのパスワード、全部違うものにしておいたぜ!32文字以上でな!」
    と言ってあげたい。

  • 過剰品質を求めるのは、良くも悪くも日本の特質の一つ。それが日本の良い点でもあるので、簡単に否定してしまうのはどうかと思う。そのために多くのコストが浪費されているのは、確かに無視できない問題だけどね。コストと品質で何処でバランスをとるのか再考すべきってのは同意。IT関連はそのあたりのコンセンサスが取れていないように思うし。

    • by Anonymous Coward on 2009年03月25日 16時23分 (#1537745)

      海外では丈夫で長持ちが日本製品の良さとして見られていますが
      考えてみれば公称10年の耐久期間のものが、それこそ過剰品質によって20年もつとかなんですよね。

      形あるモノなら、元が高くてもセカンドハンド、サードハンドで活きるという意味でそれでもいいんですが
      モノづくりとちがってトータルソリューションとかサービスとか中古に行かないし、国内では過剰品質のものが好まれるし。国際的に勝負できるソフトウェア産業が育たないというのはそういうことなのかもしれませんね。

      # 日本のOSSの奇妙さ(翻訳が完璧でないと使わない人がいる、i18n版から独立した日本語版が派生する)や、
      # /.Jのストーリーの内容はさておき「てにをは」にツッコむコメントや、
      # ソフトウェアアップデートに対する「未完成品売るんじゃない」なんて批判も一部は過剰品質か...

      親コメント
  • 予告inのケースのように犯罪予告を勝手に書き込んでしまうものだと
    意図せずそういう予告を書き込むことになってしまった人が
    警察に逮捕拘留される可能性があるわけですが
    そういう場合も担当者が出てきて「ごめんね」で済むのでしょうか?
    法的にWebアプリ運営企業側がそういう人たちへの救済コストを
    支払わないといけないものなのかどうか分からないので。

    もし企業側にそういうコストが発生せずお金を出さなくて済む場合でも
    利用者側はもう二度とそのサイトには近づかなくなるでしょう。
  • ゲートウェイ理論 (スコア:2, おもしろおかしい)

    by Anonymous Coward on 2009年03月25日 13時46分 (#1537632)
    ラック:XSS対策って大抵あまり必要じゃないんですよ。
    みんな:そうだったのかー
    コンサル業者A(元ほーむぺーじ制作会社社長):そうだったのかー
    コンサル業者A:セキュリティ対策って大抵あまり必要じゃないんですよ。これは値段を吊り上げる為で、例えばXSS...
    コンサル業者A:SQLインジェクション対策もあまり必要じゃないんですよ
    社長:ソウダッタノカー

    ...を想像してしまった。
  • 少し、頭冷やそっか (スコア:2, すばらしい洞察)

    by gesaku (7381) on 2009年03月25日 16時45分 (#1537764)

    >年に1回も起きないことに関してセキュリティ投資をする価値があるのか?

    例え話はあまり持ち出したくないけど、地震災害なんて一生に一度も遭わない人だっているかもしれないのに
    みんな耐震補強された家に住んでるし、自動車保険だって一生無事故だったらまったくの無駄になってしまうのに
    みんなちゃんと入ってます。

    >“技術的に可能”なことがそのまま現実に起こるのか?

    確率論で言うなら「技術的に不可能なことが現実に起きる」確率よりは「技術的に可能なことが現実に起きる」
    確率のほうが高いでしょう。
    あとはそういうのを起こそうとする人がいるかいないかの問題。

    >XSSの脆弱性のためだけにシステムの再構築する必要があるのか?

    重大なインシデントを引き起こす可能性がある以上、必要でしょう。

    >この問題で株価が下がることなんてあるのか?
    >やられてしまったら営業担当者1人に謝罪にいかせた方が安いんじゃないのか?

    やられてしまったら営業が謝って済むレベルじゃなくなってると思われ。

    #面倒くさがって対策をとらないことが一番の敵

    • 地震くらって死んだ会社がありましたねぇ。
      そう、SANYOとか。
      # それだけじゃないんだろうけど

      親コメント
    • Re:少し、頭冷やそっか (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2009年03月25日 17時53分 (#1537817)

      あまり例え話がうまくないですね。
      耐震補強も自動車保険も、何かあった場合の損害が大きすぎるから入ってるのであって、
      逆に今回の件は「(実際にどうかはともかく)何かあっても大したことないからいらない」と言ってるわけで。
      大きな地震があっても人は死なない家も壊れない、事故っても金払う心配はない、という前提ならそりゃ誰も対策しませんよ。

      親コメント
    • たとえ話にするなら、蒟蒻畑より危険な食べ物がちょうどいいのでは?

      モチやパンなどその他普通に食べても多数の死者を出している食品は多々あるのに、
      たまたま普通じゃない食べ方で死者が出た蒟蒻畑だけをマスゴミ総出でバッシングして行政まで動いて製造中止・製法変更に追い込んだ。
      これは異常ではありませんか?
      リスク管理というなら蒟蒻畑よりも危険度が格段に大きなモチやパンへの対策を優先するべきで、
      労力や予算はそっちに回したほうがいい。

      こういう話でしょう?

      --

      ψアレゲな事を真面目にやることこそアレゲだと思う。
      親コメント
  • あり得る被害の規模×攻撃される可能性、で「損害の期待値」を求めれば十分低いんだから、「全ての穴は塞がれなければならない」原理主義で無駄にコストを押し上げてくれるな、ってことですよね?

    コストと期待値を比較評価したと言う論拠を顧客に突きつければ説得出来そうな気がするんですが、 現実にはそんなことはなく、原理主義者とか原理主義者に煽られてその気になってる素人が多すぎる、っちゅうことでしょうか?

    素人考えですが、説得は諦めて、「○○の被害が起きたら賠償金いくら」ぐらいまで契約に盛り込んでおいて、 どこまでのセキュリティー対策をやるのかを完全にベンダ側の裁量にしてしまうとか?
    • by signed-coward (17953) on 2009年03月25日 13時57分 (#1537643) 日記

      # ここにぶら下げてみる

      原文を見る限り、別に「XSSなんて全く対策しなくてよろしい」って言っている訳じゃ無いんですよね。
      XSSが致命的な問題を引き起こすような場所については、ちゃんと対策はすべきだと言ってますし、
      そうではない場所については、それらに応じた対処の優先順序があるだろうということかと。

      # 親コメントの方の言うとおり、損害と利益を天秤にかけてということになるでしょう。

      親コメント
  • 問題が起きたら (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2009年03月25日 13時49分 (#1537635)
    営業が一人来て「脆弱性はわかってたけど金がかかるから対策なんてしてませんw」なんて言われるのか?
    速攻取引やめるわ
  • by Anonymous Coward on 2009年03月25日 13時55分 (#1537641)

    株価を下げるようなXSS関係の事故を,頻繁に発生させることも,“技術的に可能”ではあるわけで,
    「こういう事故もありうると解かってはいたが今までなかったから投資しなかったのです」という説明を,
    いざ事故が起きた後で誰か1人に言わせるだけで済むのかどうか,
    という問題ですよね。

    株主や銀行へ説明する役目の人(たぶん営業担当者じゃないでしょう)が,
    その場面を思い浮かべながら,それぞれで,考えておくべき問題だと思います。

  • えーと (スコア:1, 興味深い)

    by Anonymous Coward on 2009年03月25日 14時01分 (#1537646)
    結構感じるのは、ネット犯罪に関する法整備と一般認識(やれば必ず捕まる)っていうのが無いせいだと思う。
    強盗=つかまる
    っていうのは、基本的にわかってるけど
    XSS=つかまる
    って、思ってないと思うんだよね(つーかネットならなんでも比較的ばれないと思ってる)。
    今回の犯罪予告も基本こんなのでつかまんねーだろって思ってるから次々つかまるし。

    要は、本来犯罪の抑制があれば気にしなくていい対策をさせられてるんじゃないかな。。。
  • by duenmynoth (34577) on 2009年03月25日 14時03分 (#1537651) 日記
    その理屈でいくと自動車保険や不動産関係の保険などは無駄という事になりますね
    • Re:その理屈でいくと (スコア:3, すばらしい洞察)

      by s02222 (20350) on 2009年03月25日 16時00分 (#1537727)
      保険料を適切に設定せよ、という理屈かと。

      自動車保険のアナロジでXSS脆弱性保険を考えてみると、 まずシステムを査定して金額を決めます。 軽度な脆弱性が残ってる場合にはそれに応じた金額になって、 「このシステムの場合、月に○○万円払って貰えれば、 被害が生じたときに××万円の損害補填をします」みたいな(運転履歴で自動車の保険料が変わるような感じ)。

      で、「穴を埋めるコストより、こっちの保険の方が安いですよ」と営業するわけです。

      で、著者が嘆いているのは、どんな細かい危険に対しても保険料∞に設定されちゃってる現状。

      # 個人的に「絶対の安全性!」の類を経済的に妥当な落とし所に持ってく仕事は
      # 保険屋がやるのがベストだと過信してます
      親コメント
  • クロスサイトスクリプティングって、XSSって略すんだ! XML関連の技術用語かと思ったよ。
  • 結論はこう (スコア:1, 興味深い)

    by Anonymous Coward on 2009年03月25日 14時51分 (#1537681)

    元記事 [atmarkit.co.jp]の結びはこうなってる。

    思い起こせば、JSOCでSQLインジェクションを初めて検知した2003年には、今のようにSQLインジェクション大規模な情報漏えい事件が頻発することは夢にも思いませんでした。時代は変わるものです。いつかXSSもお金もうけの手段として使うことができるようになる可能性も十分あります。そのときに警鐘を鳴らすことが私の義務です。

    なるほど、このセキュリティエバンジェリストの言うことを真に受けていると(XSSを放置してSQLの対策が進む)、そのうち攻撃の対象がXSS脆弱性に移っていって被害が出始める、ということですね。わかります。

  • by guineness (35822) on 2009年03月25日 15時22分 (#1537704)
    そういうのは末端技術者の範疇じゃなくてISMSとか 情報セキュリティマネージメントの世界でしょ
  • by OgaIII (6380) on 2009年03月25日 15時31分 (#1537710) ホームページ
    クライアントの
    「セキュリティ対策どうなってますか?XSSとか?」
    に答えるために対策してます。
  • あえてノーガードっぽくうたうことで世間にXSSの怖さを再認識させた川口くんの一人勝ち :-)
  • by Anonymous Coward on 2009年03月25日 13時26分 (#1537606)

    リスクアセスメントして、受容ってのもアリ。

  • by Anonymous Coward on 2009年03月25日 13時30分 (#1537611)
    そもそも、世間ではそんなにXSSは危ない危ないって騒いでいるのか?
    SQLインジェクションですら、既存のサービスに危険性があるかどうか碌に
    検証されていないとしか思えないのだけれど。
    • by Anonymous Coward
      お前は何を言ってるんだ……
  • by Anonymous Coward on 2009年03月25日 13時44分 (#1537627)

    マーフィーが教えてくれた。

typodupeerror

Stableって古いって意味だっけ? -- Debian初級

読み込み中...