ウェブアプリの脆弱性にどう対応する?
タレコミ by 戸高芳広
戸高芳広 曰く、
現在ITproで「【緊急連載 今本当に必要なセキュリティ対策】」という連載が始まっている。この記事の中でカカクコムの穐田CEOは、「自社内では考えうる限り最高のシステムだと思っていたが,実際診断を受けたらそうとは言えないと指摘された」と述べている。慢心した馬鹿だと思われるでしょうが私にはこの人の気持が良く解ります。
個人的な話で恐縮ですが、今年の初めに報告されたAWSTATSの脆弱性の時には、私が脆弱性の情報をまだ掴んでいなかった1月19日から私のサイトに対して多数の攻撃が行なわれていました。インターネットからウェブアプリへのアクセスを認めないポリシーだった為、クラックは免れましたが、もし公開されていれば私のサーバはSELinux ターゲットポリシーを有効にしていたにも関わらず、スクリプトキディの遊び場になっていた事でしょう。
カカクコムに対する攻撃の詳細が報告されなかったり、ホワイト(グレイ)ハット的行為が日本では糺弾され、少しセキュリティに関心がある程度ではなかなかセキュリティを高めるのが難しくなってきているように個人的に思います。スラッシュドット諸志は、ウェブアプリの脆弱性に対して、そしてクラッカーの手にサーバが落ちた時にどのような対策、ポリシーを用意しているのでしょうか。