脆弱性をなくすために、サイト管理者は何をなすべきか? 140
ストーリー by yoosee
日々此精進 部門より
日々此精進 部門より
tamago915曰く、"ACCS の個人情報漏洩などから、セキュリティ脆弱性の指摘のあり方について考えることが多くなりました。この事件のあと、モラルに沿った指摘を行ってほしいと呼びかける記事も掲載されています。/.-J でも、いくつかの記事が投稿されていますが、個別の事件、あるいは脆弱性を発見した側について論じる記事ばかりで、サイト管理者側の責任や義務といった点については脇に置かれていた面はあります。
もちろん、脆弱性など存在しないことが理想です。ですが、日々新たなサービスやソフトウェアが作られ、日々新たな脆弱性が発見される現状では、その理想に近づくことは容易ではないでしょう。とはいえ、その努力を怠るようなサイト管理者は、管理者としての資質を問われてもやむを得ない、という意見も十分に理解できます。
セキュリティ脆弱性をなくすという理想に近づくために、サイト管理者はどうあるべきか、また、今後どのような組織や社会や法律が整備されていくべきか。/.-J の参加者のみなさんからの忌憚なき提言をいただきたいと思います。"
サイバーノーガード戦法! (スコア:5, おもしろおかしい)
# さすがにAC
Re:サイバーノーガード戦法! (スコア:2, おもしろおかしい)
おいおい、参考にしちゃヤバいだろう
Re:サイバーノーガード戦法! (スコア:1)
その辺の社長さん達が本気にとりそうで怖い……。
「燃えたよ・・・燃え尽きた・・・真っ白にな」 (スコア:1, 興味深い)
WEPがOFFの無線LANからアクセスされた場合
どこの誰か特定なんてできませんよ。
アタックされて相手が特定できなかったら、もう再起不能ですね。
あぷろーだやP2P、名簿業者へ情報が流れるれて責任者が青くなるだけ
#萌えたよ・・・萌え尽きた・・・真っ青にな
Re:サイバーノーガード戦法! (スコア:1)
「○○株式会社のwebサイト e-○○ はCNG-mAを採用している模様。」
(CNG-mA : CyberNoGuard Method A)
等とすればいいってコトですな。
具体的な脆弱性を示すことなく、そのサイト(と運営している組織)がどういう程度であるのかを明示できる、なかなか良い手かも知れません(笑)
#せっかくだから、手持ちのサイトからリンクを張っておくか?
-+- 想像力を超え「創造力」をも凌駕する、それが『妄想力』!! -+-
シュリンクラップ契約を結ばせるとか (スコア:1)
#もちろん免責は分かりにくい場所に =)
Mc.N
Re:シュリンクラップ契約を結ばせるとか (スコア:1)
-+- 想像力を超え「創造力」をも凌駕する、それが『妄想力』!! -+-
標準的なルールとルート作りとか (スコア:5, 興味深い)
実際自分が見つけただけでも、某超有名ショッピングサイトでセッションハイジャック、画面偽装から騙しによりパスワード収集が出来る、現金に交換可能な仮想通貨を扱った某サイトでページを訪れたログイン済みのユーザーから財布を抜くことが出来る、と危険度の高い問題が幾つかありました。
社会的に web アプリケーションの利用頻度、重要度が高まる反面その品質は十分とは思えず、潜在的危機を溜め込んでいる現状はマズいと思いますし、それ以上に脆弱性の指摘を十分に活用できず、ある種拒否反応を示す (メディアも含めた) 社会機能/企業/行政に危険を感じるワケです。
で、脆弱性が利用者の危機や損失を招くという社会的認識、開発/管理運営を戒めるための社会的圧力が必要で、かつ企業も脆弱性の指摘を有効な情報として摂取出来る事が必要だと思います。
教育、行政等の多方面でお題目で唱える「IT 化」の中にセキュリティに関する本質的な理解を入れて進めていく必要があると思うのですが、
まぁ手近な所から、取り敢えず脆弱性の通知と公表にマスメディア、企業、利用者 (通知者含む) の三者に対して影響があり、且つそれぞれから中立的な指摘/公表に関するルールとルートが整えば状況は少し変わるような気がします。
# 結局は社会のセキュリティに関する関心度/理解の低さが一番の問題だと思ったり。
サイト管理者の責任論について (スコア:4, 参考になる)
いくつかのセキュリティ関連の記事についたコメントで、「脆弱性を存在させておくサイトがいけないんだ」という主張がありました。この点についてもう少し深く突っ込んだ議論が必要だと思うのですが、元のコメント自体がオフトピックに見なされていることもあり、あまり話題が広がっていかなかったと感じています。
責任をとれ、という意見もありましたが、では果たしてどんな責任をとればいいのか、という問いには反応がなかったという認識です。現状、法的責任は発生していないはずなので、法整備が必要なのか、道義的な責任を負うべきなのか、そういった部分の考え方を聞いてみたいと思っています。
個人的には、信用を喪失するという社会的責任が発生するわけで、それ以上の責任は問えないのではないかな、と感じています。もちろん、自分の個人情報が漏洩したり、金銭的な被害が出た場合は、それに応じた賠償責任を追及していくことになりますが。
余計な~をなくす (スコア:3, すばらしい洞察)
余計なことをしない、余計なデータをとらない。 とか。
脆弱性をなくす、とは若干視点が異なる部分、いざというときの被害範囲を最小限にとどめるってことも含めて、大切なことかと。
Re:余計な~をなくす (スコア:2, 参考になる)
tDiaryのたださんの日記の「tDiary.Netは個人情報を聞かない。」 [tdiary.net]を思い出しました。
「他の情報なんて怖くて聞けないよ(笑)。」というのは冗談めかしておっしゃってますが、情報をあつかう(あずかる)側にとっての重要な認識だと思います。
Re:余計な~をなくす (スコア:1)
余計な懸賞に応募しない
脆弱性がある事を前提に問題発覚後の対応を期待出来るサイトだけに
個人情報を渡す方向で・・・ってゆーのが消費者の動向になるかな?
個人情報ダダ漏れの後で、通報者逮捕、手紙のひとつもよこしゃしねぇ
ってサイトが増えそうだし
#あと財布の為にも余計な買い物はしないと
____
#風邪をひきました、脳が故障しています
#残念ながら仕様です。
サイト脆弱性データベースを作る (スコア:2, 興味深い)
申し訳ないけど,業界関係者には期待できませんし。
斜点是不是先進的先端的鉄道部長的…有信心
オープンリレーデータベースORBSの末路 (スコア:3, 参考になる)
もはや存在しません。 [kobe-u.ac.jp]
個人を組織に置き換えただけで、同じ末路をたどることにでしょう。
一つの案だとは思いますが、それだけでは問題の解決にはなりません。
Re:サイト脆弱性データベースを作る (スコア:1)
今まで以上に、かなり危険ではないでしょうか。
即閉鎖、またはクラッキングを余儀なくされそうな気がします。
でも、サイト管理者に無視出来なくさせるという点から見ると有用ですね。
OpenRelay とは本質的に異なるんじゃ (スコア:1, 興味深い)
そゆ意味ではワームに感染する Windows と一緒とも言える。
ACCS のケースは利用者に迷惑を掛ける可能性のある穴。
これを一緒くたに論ずるのはいかがなものか。
どっちかってーと「Slashに聞け!」で聞きたいのは『ポートスキャンはしても構わないと思いますか?』、『穴を探す目的でサイトをつついて回るのは正しい行為だと思いますか?』だなぁ。
アタックテスト (スコア:2, 興味深い)
定期的にアタックテストを自発的に受けて、
安全であることをサイト自らがアピールする。
だれそれがチェックして公表では、
調査だけでも不正アクセスになりかねないので
サイト自らがチェックを申し出ないとだめだと思います。
Re:アタックテスト (スコア:2, 興味深い)
サイバーノーガード戦法がベストなのでしょうか?
私は違うと信じたい。
せめて、WEBサーバーの脆弱性とXSSくらいは、
アタックテストでつぶしておいてほしいと思います。
#アタックテストがもっと普及すれば、
#アタックテスト自身も、もっと洗練されてくると思います。
結局一番良いのは (スコア:2, 興味深い)
Re:結局一番良いのは (スコア:1)
ふと思った。 (スコア:2, 参考になる)
こちらがモラルを守ったとしても、それを証明する術はないんですよ。
例えば、「CGIに脆弱性があってこうなるとこうなります」って伝えても、
顧客情報やらを盗んでいないって証明はできませんよね。
サーバー次第でログはいくらでも消せる。
となると、こちらが善意による警告を行ったとしても、痛くも無い腹を探られる事になる。
それだったら最初から警告なんぞしない方が、触らぬ神になんとやらなわけで。
ドコとは言いませんが、管理義務を怠ったのに被害者面してる会社とかね:P
そうでなくても、とある方法で調べればセキュリティの
甘いトコの個人情報なんか嫌でも取得できるのに。
貴方ならどうします?
「警告しないで個人情報ゲット」 と 「善意で警告したのに不正アクセス」
天秤にかけるには、割が合いませんね。
そうだ (スコア:1, すばらしい洞察)
対応しないと晒されるけど。
資格試験 (スコア:1, おもしろおかしい)
モラルの底上げと雇用創出
#者じゃなくて士じゃないと強制力ってないんですよね。_| ̄|○
管理者の社会的地位 (スコア:1, すばらしい洞察)
せめて、「ネット管理者手当て」出して(^^;
# 本音が含まれているのでAC
Re:管理者の社会的地位 (スコア:1)
それなりに予算があればセキュリティはもっといいと思います。
#真面目に予算が欲しいのでID
安全サイトマーク (スコア:1)
『office印』じゃ雪印みたいに信用ないかもしれませんが、どこか例えば SECOM みたいな会社がサイト利用者に対して安全性を示すと共にログ監査もしていて、保険もどっかの損保会社と組んで提供するなんてのは商売になるんじゃないかと。
プライバシの取り扱いについての認証みたいな感じでしょうか。
#BM特許って訳にはいかないかもしれないけど一応 ID。
Re:安全サイトマーク (スコア:1)
別記事のコメントでも書いたけど、プライバシーマーク [privacymark.jp]は?
Re:安全サイトマーク (スコア:1)
一応、『監査ガイドライン』をざっと見ると安全性確保のところ(4.4.4.2 個人情報の利用の安全性の確保)で担保されるようには見えるけど…
ここの部分を厳格に運用すればいい、のかなぁ。
ただ、サイトの安全性って点ではちょっとカバレッジが異なるような気もします。
どっちかってーとコンプライアンス主体ですものね。
Re:安全サイトマーク (スコア:1, 参考になる)
でっちあげ記録書類、ごまかしのシステム対策は一切指摘されず、
無事認定を通ってました(^^;
実質的な役には立たない認定だと感じます。
# やばいのでAC
Re:安全サイトマーク (スコア:1)
方法論の前に体質の問題かと。
Re:安全サイトマーク (スコア:1)
個人情報もれても、企業が重荷になるほど損害賠償されないなら保険なんて入る意味ないですし...
評判が思った以上に落ちないのなら、注意すらしないでしょう
企業側からお金を払ってでもその信頼性を勝ち取りたいと思われるほどにならないと、この手の監査機関って無意味になると思います
ISO9000みたいに取っていないとある程度不利に立場になるのなら、企業もお金出しても監査してもらうんでしょうけど...
今はセキュリティを気にしているのは一部の人だけでは無いでしょうか?
#お昼の番組で、いま個人情報があぶないっって話題にしてもらう?(苦笑)
Re:安全サイトマーク (スコア:1)
救いようのない馬鹿野郎を雇って派遣してしまった、監査請負企業さんの失態。
ただそれだけでは。
Re:安全サイトマーク (スコア:1)
それは「体制に対して」ですよね。
どっちかってーと車検みたいな、というか自賠責みたいなものがあるとよさげかなぁと。
法律を撤廃すると (スコア:1, 参考になる)
弱いセキュリティーを法律で保護にした結果
免疫が無くなり全体が弱体化する方が恐いな。
これにより技術の停滞の恐れがありますね。
ドンドンアタックされた方が強固になると思うけど
窓口を作る (スコア:1)
→「2/22 14:00より 111.222.333.444 というIPからXSSの脆弱性を見つけるためのアタックしますのでよろしく」
とか事前に記録に残せるような。
←「その日は担当者が不在で対応が遅れますので別の日にしてください」
とかやりとりができれば双方が幸せじゃない?
Re:窓口を作る (スコア:1)
最近の風潮を見ると、いつでもこの返答になる気がするんだけど。
ニュースとかでも良くあるじゃん
「担当者が不在の為、コメントできません」
とかさ:-P
Re:窓口を作る (スコア:1)
信頼関係が無い場合(ってこの例の場合常時の気もするが)、
『不在』の日が確定するまで予告しつづけ、不在の日のみアタックするクラッカー
→あえて『不在』と伝え、罠を仕掛ける企業
→あえて予告をしてない日を選ぶクラッカー
……などと化かし合いになるだけのような(^^;
Re:窓口を作る (スコア:1)
脆弱性が見つかったときだけ通知する(こともある)という形だけれど
それだといい感情を持たない管理者の人がいるのも無理はありません。
# 最悪、アラート鳴りっぱなしで事後報告なしとか。
では今からアタックをかけようとする人が礼儀として前もって挨拶をするにしても
そういう連絡をとる手段がないのではないか、という話です。
いくら指摘が正しくても、失礼な人と一度思ってしまうとおつきあいを続ける気にはなりませんね。
んー、悪戯の格好の的かな。
脆弱性を探す人は、何も見つからなければそれでいいのかな。
ログは残さない (スコア:1)
アンケートフォームはファイルに書き出さないで,即座に印刷.(w
スクリプトの耐久性認定 (スコア:1)
サイト運営者ももちろんだが、スクリプトの作者にこそ「セキュリティ脆弱性」の意識を持たせないといけないと思います。
サーバーごとハックされたらともかく(サイト運営者レベルでは対策出来ない)、設置するスクリプトを選ぶ目安になりますものね。
ついでに設置状態でチェックしてくれる機関もあればよいかと。
脆弱性というより設定ミスの方が多い (スコア:1)
セキュリティチェックプログラム走らせるなり、
第三者による設定チエックを行えばかなり防げると思うのだが。
#設定・管理を一人に任せて、お金も時間も掛けてないのもまた現実。
脆弱性をなくすために、サイト管理者は何をなすべきか (スコア:1, おもしろおかしい)
弱小なのですが (スコア:1)
あんまり知識もないのでえらそうなことはいえないのですが、やっぱり
不必要な情報は取らない
ていうことですね。
そんなことよりも、一回もれてしまった個人情報の怖さを一般の人が気がついていない、ていうのが大きいんじゃないでしょうか?
むかーしのことですが、TBCの情報流出事件があったとき、エステ系の秘密がバレて恥ずかしい、と憤っていたお姉さまたちは多かったのですが、イタズラ電話が増えないか心配、とかそういったことが聞かれなかったのがアレだなぁ、と思いました。そりゃ、自分の体重やスリーサイズがバレるのは恥ずかしいでしょうけど、住所氏名が流れちゃったことのほうが怖いのですが。
個人個人が自分についての情報の価値を認識してない、ていうのが管理側へ対する甘さで出てきているのかな?と思いました。
そんなに怖いのであれば (スコア:1, すばらしい洞察)
ついでに管理者もリストラできて、人件費も節約できます。
Re:悲しい現実 (スコア:1, すばらしい洞察)
Re:悲しい現実 (スコア:1)
#真っ先に削除される人間その1raslant
Re:まず脆弱性の評価基準の合意が必要 (スコア:3, 参考になる)
#私も片手ぐらいは新規の脆弱性報告していますが、まともな対応受けたことは一度もないです。
#一般的にまともな対応すると知られているベンダも、マイクロソフトぐらいでしょう。
Re:まず脆弱性の評価基準の合意が必要 (スコア:1)
>(少なくとも日本国内では)一般的に通用する基準があったほうが、話を進めやすいだろう、ということです。
企業体などの集団を動かすのは、国家や国際機関など(後者が望ましい)公的に認識された存在が、啓蒙や規則や罰則を行使する必要があると思いますね。
(個人または一般の企業が警告する場合、利害の発生有無に関わらず業務妨害(威力業務妨害)として捉えられる可能性があります)
で、そういう認定機関が規則や罰則のレベルを設ける、と。
ここで言うレベルってのは自動車運転免許のような違反点をベースとし、違反者(事業者)への出頭義務・戒告・名称公開なんかも視野に入れたほうがいいのではないかと考えます。
つまり、
>非常に危険なので、1週間以内に対応されなかった場合、一般公開します
は『善意の一市民』が直接やりあうべきではないかな、と。
#件の某氏が善意であるかどうかは置いといたとしてだ
個人のタレコミ→認定機関で精査→該当個所に指導、の流れを作ってフィルターの役割も果たす、と。
#もはや「世間的に恥かしい」だけでは罰則にならないと思ってるのでID
---- 何ぃ!ザシャー
Re:まず脆弱性の評価基準の合意が必要 (スコア:1)
「ACCSがあるじゃない」と言うのは正直却下したいです。
現状ではACCSがその役割を果たせていない(と思われる)ので挙げているわけなので:P
---- 何ぃ!ザシャー
Re:大変なセキュリティホールが発見されました! (スコア:1)
個人レベル、重要情報無し、書き換えられても被害軽微な包丁程度のものなら自分で管理するのはOKでしょうが、商用サイトで個人情報を持っていたりするものは刀扱いぐらいでいいと思います。
問題は「長さ」の定義が難しいことかなぁ…。