カカクコム事件に見るセキュリティの本質とは

Security 6月 2, 2005
(Last Updated On: 2018年8月3日)

「まるごとPHP Vol.1」で共同執筆させていただいた岡田さんの記事です。

幸か不幸か、該当したところではたして真剣な対処をするのだろうか。無論、そうあって欲しいが、実のところ、これまで何年にもわたり、ウェブサイトにかかわるセキュリティ脆弱性と対応策が公表され、正しいプログラミング方法について公表されたとしても、それに対応することを怠っているサイトは非常に多いのだ。その点で、きちんと対処してきたサイトは、特定のサイトが被害にあうというニュースを聞くころには、すでに対処し終わっているのではないかと思う。

きっちりしている所とそうでない所の差はどんどん拡大してきていると思います。「デジタルディバイド」が問題になっていましたが、今後は「セキュリティディバイド」が問題になってくると思います。

このブログでもSQLインジェクションでUNIONクエリを使った攻撃が可能だったのか公表すべき、と書きました。しかし、UNIONクエリを使った攻撃が可能か公表の有無に関わらず対処を済ませるユーザは情報の開示を待たずに、パスワードの変更など、必要な対処を済ませているでしょうね。

ところで、リスク管理にはリスク自体を無くすという考え方も必要と思います。例えば、昨日の時点でもNSAのサイトにXSS問題が残っていました。しかし、NSAとしては盗まれるクッキーは無いのでリスク無し、と判断しているのかも知れません。不必要に守るべき物(情報)を作り過ぎないのもリスク管理には必要ですね。

# 不必要かつ不用意に個人情報を収集しすぎるWebサイトは多すぎですね。

投稿者: yohgaki