水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 事実上名指し

事実上名指し

2006年12月9日(土曜日)

事実上名指し

「企業のWebアプリケーションには100%脆弱性がある」---セキュアスカイ社長 乗口雅充氏 (itpro.nikkeibp.co.jp)

うーん……。

乗口氏がセキュアスカイ・テクノロジーを設立した2006年3月以降,ユーザー企業のWebアプリケーションを検査してきたが,実際に顧客のシステムを検査してみると,必ず脆弱性が見つかるという。「多くの企業にとっては脆弱性があるのか無いのかということが問題なのではなく,脆弱性が発覚しないことが目的になっている」

余計なお世話かもしれませんが、この発言、大丈夫なのでしょうか。

セキュアスカイ・テクノロジーの主要取引先 (www.securesky-tech.com)のページを見ると、そこに掲載されている社名は 3つだけしかありません。この状態で、「100%」という数字を出しつつ先に引用したような発言がなされると、それは 3社を名指しして言っているも同然になってしまいます。

そして私はポケモン (www.amazon.co.jp)を好んでプレイしており、ポケモンだいすきクラブ (www.pokemon.jp)に個人情報を登録している身でもあります。ですので、その 3社の中に「株式会社ポケモン (www.pokemon.co.jp)」がリストされているのが気になってしまったりするのですよね。

要するに、セキュアスカイ・テクノロジーの社長の発言からは「株式会社ポケモンのサイトには脆弱性があった」と断定できるのですが、サイトの利用者である私はそのようなお知らせを全く受けていないので、これはなかなか複雑な気持ちになります。

※まあ、私の経験からしてもウェブアプリの脆弱性が公表されることは極めて希で、多くの企業が脆弱性を公表しないという事は事実でしょう。なので言っていることは間違っていないと思いますが。

※この記事には他にも思うところがありますが、それはまたの機会に……。

関連する話題: Web / セキュリティ

最近の日記

関わった本など