パスワードを忘れた? アカウント作成
250974 story
バグ

半数以上の脆弱性が放置されている ? 22

ストーリー by reo
ここはサザンクロス 部門より

ある Anonymous Coward 曰く、

米 IBM X-Force のレポートによると、2010 年上半期の脆弱性公表件数は前年同期よりも 36 % 増加し 4,396 件に上り、記録的なレベルに達したとのこと (日本 IBM のプレスリリース) 。そのうち 55 % が上半期末になってもベンダーからパッチが提供されていないらしい。

公表された脆弱性のうち 55 % は Web アプリケーションの脆弱性とのこと。JavaScript を使った攻撃が増えており、難読化された JavaScript は従来のセキュリティー・ツールでは検出できないらしい。また、PDF を利用した攻撃も増えているとのこと。逆にフィッシング詐欺は減少しているらしい。ただし、金融機関をターゲットにしたフィッシング詐欺は依然として流行っているとのこと。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2010年08月31日 12時11分 (#1817688)

    > 半数以上の脆弱性が放置されている

    脆弱性を放置した結果生ずるリスクと脆弱性への対応費用を評価して
    割に合わないというなら脆弱性を修正しないという判断もアリだと思うけどね

    使う側は使う側でリスクマネジメントすればいいだけの話だし

    • すべてのリスクを知るのに必要なコストが0ならば、その手もありだね。

      実際には、すべてのリスクを知るのに必要なコストは0ではない。というか非常に高い。
      さらに対策を考えなくてはいけなくて、そのために必要な知識を得るのも非常にコストが高い。
      # ここでいうコストは「お値段」だけじゃなくて、時間、学習という行為がもたらす苦痛、なんかも含む。

      まぁ、最終的に思いついた対策を実施するためのコストというのもあるんだけれど、実はそれは全コストの中でもっとも安かったりする。

      .

      実は一番高いコストは、「以上のコストを払ってでもリスクマネジメントをするべきか?」という問いに対する答を理解するために必要なコストだったりする。
      このコストが安いなら、世のお母さんは「勉強しなさいっ」と子供をしかる必要もなく、君のように短慮な発想で「リスクマネジメントすりゃいいじゃん」なんぞと言い出す奴も出ず、ゆえにこのような話が出ること自体なく…

      結果として、/.J はまるでつまらないサイトになるはずなんですよ。

      --
      fjの教祖様
      親コメント
      • by Anonymous Coward

        リスクマネジメントでは認知できているリスクだけが対象なので
        「すべてのリスクを認知する」必要など全くないしそのためのコストを心配する必要もない

        所詮ここは雑談サイトだからえらく的の外れた議論で愉しむのもいいかもしれないけど
        マトモな議論がしたいならリスクマネジメントの基本について勉強するといいよ

        • by Anonymous Coward

          じゃあ何も認知しなかったことにしよう

        • by Anonymous Coward
          リスクの把握こそ、リスクマネジメントの基本というか前提なんですが……。
      • by Anonymous Coward

        okkyさんのコメントは、「証明は各自でやっておくように」的な問題と思ったのでやってみた。

        >このコストが安いなら、世のお母さんは「勉強しなさいっ」と子供をしかる必要もなく

        「リスク」を「勉強しないことから引き起こされる不利な事柄」とすると、「コスト」は「勉強しないと何がやばいかをすべて挙げ」、「対策を考える」ことになるのかな。

        で、問題のこれ↓
        >実は一番高いコストは、「以上のコストを払ってでもリスクマネジメントをするべきか?」という問いに対する答を理解するために必要なコストだったりする。

        これを勉強の例で言うなら「『勉強しない

        • 「利用者側がリスクマネジメントすりゃいい」という提案に対しての反応なので、「利用者がリスクマネジメントするには、リスクを知る必要がある」というのが出発点になる。

          まあ当たり前の話で「/.はSSLを使ってないけど、リスクマネジメントすりゃ良い」という発言には、暗黙の前提として「SSLを使っていないとどういうリスクが起こりうるか」を知っている必要がある。
          # SSLを知らない人が、SSLを使わずにパスワードを入力する事に対するリスクを知ることは出来ないので、リスクマネジメントが必要であるという事すら判らない。

          つまり、リスクマネジメントをする為に必要な知識を得るのが非常にコストが高いというのも、まあ当たり前の話。
          例えば単なるネットサーフィンをするに当たって、Webがらみの全ての脆弱性とリスクに関して把握しておいて「まあ俺がヨドバシで買ったWindows XPにルートキットは入ってなかったろうし、それでUbuntuをダウンロードしたサイトは(中略)だから/.で捨てパスワードを入力しても良い」とかいう事になる。

          で、以下の問いは

          実は一番高いコストは、「以上のコストを払ってでもリスクマネジメントをするべきか?」という問いに対する答を理解するために必要なコストだったりする。

          こう変換できる。
          コストA = 『リスクを知ること・そのリスクの対策を考えること・リスクを理解すること・対策を立てるために知識を得ること・その時間を使うこと・その意欲を保つこと』
          問いA = 「コストAを払っても、リスクマネジメントをするべきか?」
          答えA = 問いAに対する答え
          一番高いコスト = 答えAを理解する為に必要なコスト

          つまり、「『ばかげたコストを払って利用者側がリスクマネジメントするのは不合理』という答えを理解するには、コストを払ってこなかったお前には無理=まあそのコストが一番高いんだけどね」という非常に韜晦じみた皮肉(セキュリティに関しての啓蒙が上手くいかない事への自虐?)なわけですな。
          # なぜならばかげたコストであることを知るためにはコストAのコストを払ってその高さを理解する必要があるわけで……

          親コメント
      • by Anonymous Coward
        放置した脆弱性が悪用されて何か被害が出た場合でも
        そのソフトの製作者が有罪になったり賠償責任を負わされるリスクって現状ではめちゃくちゃ低いんじゃないかな
        大抵のソフトは利用許諾条件に「as-isで提供」「動作結果における損害には責任を持たない」という条項を盛り込んでるし

        ソフト製作者は新しく発見された脆弱性への修正義務を負っているっていう法的根拠が無い限り
        脆弱性を放置するのも自由でしょ

        何がなんでも修正するべきって意見には、法的な合理性も経済的な合理性も感じられない
    • by Anonymous Coward
      そのリスクが、その脆弱性を放置している組織だけにかかるものなら
      放置しても第三者が関知するところではないですが、実際には被害は
      その放置している組織だけにとどまらない事も多いので、放置する
      くらいなら、ネットから切断してもらったほうがいいでしょう。

      そういうところまでは洞察せずに「放置すればいい」と言ってるんですよね?

      #誤った認識は広めないで欲しいな。
      #一種のソーシャルエンジニア的なセキュリティアタックに当たるんじゃないかな。
      • by Anonymous Coward
        誰が困ろうが脆弱性に対する対応の義務など無いのでは?
        • by Anonymous Coward
          >誰が困ろうが脆弱性に対する対応の義務など無いのでは?

          なんて低脳なコメントなんでしょう。
          分かっていて脆弱性を放置し、それが原因で第三者への攻撃に使われたとして、
          被害者から訴えられたり、あるいは取締りの対象とされる可能性すらも想像
          できないんですね。

          最近のスラドは、こういう低レベルな思考しかできない人が増えてますね。
          もう夏休みは終わりだというのに。
          • by Anonymous Coward
            はいはい、使うだけのユーザー様はお帰りください。
            ここは、使うだけでなく作ることもある人の巣窟ですから。
  • 便利にしようとしてるのはわかるけど、
    どっちも個人的には使いたくない。
  • by Anonymous Coward on 2010年08月31日 11時13分 (#1817649)
    中世の城砦都市の時代に戻ったつもりになって、
    もう本もCDもなにもかも近所の店で買いましょう。
  • by Anonymous Coward on 2010年08月31日 11時29分 (#1817664)
    超時空騎団かと思ってしまいました
  • by Anonymous Coward on 2010年08月31日 12時40分 (#1817710)

    なんせWinnyは開発者による対策提供予定は無いですから。

typodupeerror

身近な人の偉大さは半減する -- あるアレゲ人

読み込み中...