水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > どこまでガードすれば良いかの指標

どこまでガードすれば良いかの指標

2005年4月1日(金曜日)

どこまでガードすれば良いかの指標

企業のセキュリティレベルを"ベンチマーク" - 経産省の新たな取り組み (pcweb.mycom.co.jp)」というお話がでていますね。

個人的にはサイバーノーガード戦法というお話はシニカルなジョークに過ぎないと思っています。実際にセキュリティがぼろぼろな企業サイトは存在すると思いますが……というか思うも何もこの目でいくつも見てきましたが、それは別に意図的にノーガードにしているわけではないと思うのです。セキュアでない状態で放置されてしまう原因の一つに、何にどれだけコストをかければ良いのか、どれだけコストをかけなければならないのか、ということが分かっていないという点が挙げられるのではないかと思います。

サイバーノーガード戦法という言葉が生まれるもととなった ASKACCS のフォームですが、これも別に漏洩して良いと思って放置していたわけではなく、単にコストをかけなかった結果だと思います。あのフォームは住所氏名電話番号などの個人情報を取得していたにもかかわらず、SSL で保護されていませんでした。ファーストサーバには当初から SSL のサービスがありましたので、技術的にできなかったわけではないはずです。SSL が使われていなかったのは、単にそこにコストをかける必要がないと思っていたからでしょう。同じ流れで低価格の Web 制作業者、低価格のサーバ管理会社が選定されて、あのような結果を招いたのだと思います。

そのあたりは、何を扱うときにどれだけのセキュリティレベルが必要なのかという基準があれば改善が期待できるはずです。こういう指標ができれば改善されて行くのではないかと思います。

※……いや、それは楽観的にすぎるような気もしますが。

関連する話題: セキュリティ / 思ったこと / ファーストサーバ

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)友井町バスターズ (富士見ファンタジア文庫)

その他サイト