半数以上の脆弱性が放置されている ? 22
ストーリー by reo
ここはサザンクロス 部門より
ここはサザンクロス 部門より
ある Anonymous Coward 曰く、
米 IBM X-Force のレポートによると、2010 年上半期の脆弱性公表件数は前年同期よりも 36 % 増加し 4,396 件に上り、記録的なレベルに達したとのこと (日本 IBM のプレスリリース) 。そのうち 55 % が上半期末になってもベンダーからパッチが提供されていないらしい。
公表された脆弱性のうち 55 % は Web アプリケーションの脆弱性とのこと。JavaScript を使った攻撃が増えており、難読化された JavaScript は従来のセキュリティー・ツールでは検出できないらしい。また、PDF を利用した攻撃も増えているとのこと。逆にフィッシング詐欺は減少しているらしい。ただし、金融機関をターゲットにしたフィッシング詐欺は依然として流行っているとのこと。
脆弱性を放置してもいいんじゃないの? (スコア:1, 興味深い)
> 半数以上の脆弱性が放置されている
脆弱性を放置した結果生ずるリスクと脆弱性への対応費用を評価して
割に合わないというなら脆弱性を修正しないという判断もアリだと思うけどね
使う側は使う側でリスクマネジメントすればいいだけの話だし
Re:脆弱性を放置してもいいんじゃないの? (スコア:4, 興味深い)
すべてのリスクを知るのに必要なコストが0ならば、その手もありだね。
実際には、すべてのリスクを知るのに必要なコストは0ではない。というか非常に高い。
さらに対策を考えなくてはいけなくて、そのために必要な知識を得るのも非常にコストが高い。
# ここでいうコストは「お値段」だけじゃなくて、時間、学習という行為がもたらす苦痛、なんかも含む。
まぁ、最終的に思いついた対策を実施するためのコストというのもあるんだけれど、実はそれは全コストの中でもっとも安かったりする。
.
実は一番高いコストは、「以上のコストを払ってでもリスクマネジメントをするべきか?」という問いに対する答を理解するために必要なコストだったりする。
このコストが安いなら、世のお母さんは「勉強しなさいっ」と子供をしかる必要もなく、君のように短慮な発想で「リスクマネジメントすりゃいいじゃん」なんぞと言い出す奴も出ず、ゆえにこのような話が出ること自体なく…
結果として、/.J はまるでつまらないサイトになるはずなんですよ。
fjの教祖様
Re: (スコア:0)
リスクマネジメントでは認知できているリスクだけが対象なので
「すべてのリスクを認知する」必要など全くないしそのためのコストを心配する必要もない
所詮ここは雑談サイトだからえらく的の外れた議論で愉しむのもいいかもしれないけど
マトモな議論がしたいならリスクマネジメントの基本について勉強するといいよ
Re: (スコア:0)
じゃあ何も認知しなかったことにしよう
Re: (スコア:0)
Re: (スコア:0)
okkyさんのコメントは、「証明は各自でやっておくように」的な問題と思ったのでやってみた。
>このコストが安いなら、世のお母さんは「勉強しなさいっ」と子供をしかる必要もなく
「リスク」を「勉強しないことから引き起こされる不利な事柄」とすると、「コスト」は「勉強しないと何がやばいかをすべて挙げ」、「対策を考える」ことになるのかな。
で、問題のこれ↓
>実は一番高いコストは、「以上のコストを払ってでもリスクマネジメントをするべきか?」という問いに対する答を理解するために必要なコストだったりする。
これを勉強の例で言うなら「『勉強しない
わかりづらい(Re:脆弱性を放置してもいいんじゃないの? (スコア:2)
「利用者側がリスクマネジメントすりゃいい」という提案に対しての反応なので、「利用者がリスクマネジメントするには、リスクを知る必要がある」というのが出発点になる。
まあ当たり前の話で「/.はSSLを使ってないけど、リスクマネジメントすりゃ良い」という発言には、暗黙の前提として「SSLを使っていないとどういうリスクが起こりうるか」を知っている必要がある。
# SSLを知らない人が、SSLを使わずにパスワードを入力する事に対するリスクを知ることは出来ないので、リスクマネジメントが必要であるという事すら判らない。
つまり、リスクマネジメントをする為に必要な知識を得るのが非常にコストが高いというのも、まあ当たり前の話。
例えば単なるネットサーフィンをするに当たって、Webがらみの全ての脆弱性とリスクに関して把握しておいて「まあ俺がヨドバシで買ったWindows XPにルートキットは入ってなかったろうし、それでUbuntuをダウンロードしたサイトは(中略)だから/.で捨てパスワードを入力しても良い」とかいう事になる。
で、以下の問いは
こう変換できる。
コストA = 『リスクを知ること・そのリスクの対策を考えること・リスクを理解すること・対策を立てるために知識を得ること・その時間を使うこと・その意欲を保つこと』
問いA = 「コストAを払っても、リスクマネジメントをするべきか?」
答えA = 問いAに対する答え
一番高いコスト = 答えAを理解する為に必要なコスト
つまり、「『ばかげたコストを払って利用者側がリスクマネジメントするのは不合理』という答えを理解するには、コストを払ってこなかったお前には無理=まあそのコストが一番高いんだけどね」という非常に韜晦じみた皮肉(セキュリティに関しての啓蒙が上手くいかない事への自虐?)なわけですな。
# なぜならばかげたコストであることを知るためにはコストAのコストを払ってその高さを理解する必要があるわけで……
Re: (スコア:0)
そのソフトの製作者が有罪になったり賠償責任を負わされるリスクって現状ではめちゃくちゃ低いんじゃないかな
大抵のソフトは利用許諾条件に「as-isで提供」「動作結果における損害には責任を持たない」という条項を盛り込んでるし
ソフト製作者は新しく発見された脆弱性への修正義務を負っているっていう法的根拠が無い限り
脆弱性を放置するのも自由でしょ
何がなんでも修正するべきって意見には、法的な合理性も経済的な合理性も感じられない
Re:脆弱性を放置してもいいんじゃないの? (スコア:1)
「ソフトウェア脆弱性の所有権問題」って奴ですね。
確か宮本 久仁男さんが監訳している本にそんな内容のものがあったような気が…
# あぁ、ある…でどこかの山に積んである状態だったと思うので、ちょっと自信がない。
fjの教祖様
Re: (スコア:0)
放置しても第三者が関知するところではないですが、実際には被害は
その放置している組織だけにとどまらない事も多いので、放置する
くらいなら、ネットから切断してもらったほうがいいでしょう。
そういうところまでは洞察せずに「放置すればいい」と言ってるんですよね?
#誤った認識は広めないで欲しいな。
#一種のソーシャルエンジニア的なセキュリティアタックに当たるんじゃないかな。
Re: (スコア:0)
Re: (スコア:0)
なんて低脳なコメントなんでしょう。
分かっていて脆弱性を放置し、それが原因で第三者への攻撃に使われたとして、
被害者から訴えられたり、あるいは取締りの対象とされる可能性すらも想像
できないんですね。
最近のスラドは、こういう低レベルな思考しかできない人が増えてますね。
もう夏休みは終わりだというのに。
Re: (スコア:0)
ここは、使うだけでなく作ることもある人の巣窟ですから。
だから、JavaScriptとIFrameはいまだに怖い。 (スコア:1)
どっちも個人的には使いたくない。
ネットに繋がないのが最強の防御 (スコア:0)
もう本もCDもなにもかも近所の店で買いましょう。
Re:ネットに繋がないのが最強の防御 (スコア:2, おもしろおかしい)
メーテル
またひとつ
近所の店が消えるよ
まさに童話が現状を予見していた (スコア:0)
Re:まさに童話が現状を予見していた (スコア:1, おもしろおかしい)
Re:まさに童話が現状を予見していた (スコア:1)
「森の奥にはモヒカン族 [wikipedia.org]がウヨウヨしていますよ」
Youthの半分はバファリンでできています。
部門 (スコア:0)
Re:部門 (スコア:2)
僕は銀河鉄道かと思った
永久に0にならない (スコア:0)
なんせWinnyは開発者による対策提供予定は無いですから。