2004年9月30日(木曜日)
迷走する教訓
Internet Watch にも「レンタルサーバー会社の安全性を認証する第三者機関を~ACCS久保田理事 (internet.watch.impress.co.jp)」というのが出ましたね。
まず、今回の事件において問題となった、セキュリティホールのあるCGIプログラムを提供していたレンタルサーバー会社の責任については「現在のところ、実行犯である元京都大学研究員に対する刑事裁判がまだ決着していないため、法的責任については現在も検討が続いている状態」と同氏は語った。
裁判が結着していないことがどう関係するのか良く分からないですね。office さんが何をしたかということは、ACCS・ファーストサーバが管理責任を果たしていたかどうかということとは関係ないのではないでしょうか。office さんがアクセスしていなかったら「管理責任を果たしていなかったことが発覚しなかった」可能性は高いですが、だからといって「管理責任を果たしていた」ということになるわけではないでしょう。
それにしても「実行犯」ですか。まだ無罪が推定されているはずなのに完全に犯人扱いしてしまっているのは……まあ、アクセスしたこと自体は争っていないわけですし、それはそれで仕方ないようにも思います。しかし、この言葉から「奴 (officeさん) さえいなければ何も問題なかったのに」というニュアンスがにじみ出てしまっているような気がするのですよね。
その上で「レンタルサーバーを借りるときに、きちんとそのサーバー会社がセキュリティに対して適切な体制を整えているかをチェックしないと、実際に情報が漏洩した際にそのサーバー会社を選んだことに対して委託元としての法的な管理責任を問われる可能性が高いが、個々の企業にはそのようなチェックを行なうノウハウがないために実質的にはチェックは困難」と指摘。「そのような問題を避けるためにも、サーバー会社が適切な管理を行なっているかどうかを認証する第三者のチェック機関が必要だ」と訴えた。
なんかこれも論点がずれているような気がしますね。今回の話は別にファーストサーバのサーバにパッチが当たっていなくて root を取られたというような話ではないわけで、
- ファーストサーバが配布していた csvmail.cgi が脆弱だった
- ACCS (ヨセフアンドレオン) はその脆弱な CGI を何の疑いもなく運用していた
- そこで本来は必要ない個人情報まで必須項目にして個人情報を集めていた
- しかも SSL すら使っていなかった
- ファーストサーバは「古い CGI は脆弱だ」とアナウンスしていたのに ACCS (ヨセフアンドレオン) はそれを無視した
というような話でしょう。
※ちなみにファーストサーバには当時から SSL のサービスはありましたので、SSL を使っていなかったのはファーストサーバ側の都合によるものではなく ACCS 側が (おそらくは費用と相談して) 選択した結果です。
このような話になることを避けるのに必要なのは「サーバー会社が適切な管理を行なっているかどうかを認証する第三者のチェック機関」なのですか? 今回 ACCS はたまたまサーバ会社が配布していた CGI を使っていましたが、これがそうではなくて、そこらで配布されているフリーの CGI を使っていたらどうでしょう。あるいはヨセフアンドレオンが自作していたらどうでしょう。 サーバ会社を監査して何か意味があるのでしょうか。
本当に必要なのは CGI の監査であり、Web サイトの監査でしょう。ここには当然 Web サーバの監査は含まれるでしょうが、サーバ会社の監査は必要ないはずです。
しかし調査報告書 (www.askaccs.ne.jp)はけっこうまともなことを言っていたと思うのですが、どうして理事はこうなってしまうのでしょうね。
※あるいは、久保田理事は故意に論点をずらしているのかなぁ、という気もします。「セキュリティがショボイサーバ会社が悪いハッカーに侵入された」というようなイメージを植え付けられれば、「ACCS は悪くない、仕方ない」という印象を持ってもらえそうですし。
- 「迷走する教訓」にコメントを書く
関連する話題: セキュリティ / ACCS / ASK ACCS 個人情報漏洩事件 / ファーストサーバ
- 前(古い): 2004年9月29日(Wednesday)のえび日記
- 次(新しい): 2004年10月1日(Friday)のえび日記