水無月ばけらのえび日記

Webを活用したビジネスでの心構えとは?

中島

お上からの言葉が分かりやすい。行政から「セキュリティ大事ですよ」と言われちゃったらやるだろう

高木

今まで2回くらい出てはいるのですが……。

2001年にXSSの問題を経産省の審議官に説明したとき、「これはワームのように広がるのか?」と聞かれた。広がらないよなぁと思いつつもいろいろ説明した。

経産省からプレスリリースは出ている。IPAセキュリティセンターの取り組み、情報セキュリティ白書などもある。しかし、中島社長の耳には届いていない。

認識のある人は注意してくれるのだが、認識のない人の耳には届かないという問題がある。

高木

サウンドハウスには、SQLインジェクションを知っている技術者がいたのか。

中島

2006年の時点でも最低2人はいた

高木

カカクコムの話で「技術が大切だということを知った」と言っていた。ちゃんとやれば守れると言うこと。

穴さえなければ良いのだと言うことを知っているかどうかがキーになる。

ベンダーはソリューションを売ろうとする。ハッカーセーフは有効か。

中島

……(何も言わず)。

この後、中島社長はしばらく沈黙。

あと、どなたの発言か忘れましたが、「リアル店舗では『なんか中国人が多い』とすぐ分かるが、Webではログを監視していないと分からない」という話があって印象に残っています。

セキュリティ対策、どこまでやれば適切なのか?

高木

外注と自社でだいぶ事情が違う。外注のケース、特に自治体発注で、ロクに見ずに検収してその後脆弱性発覚ということがある。

安全な作り方のスタンダードを作れば良い。

専門技術者が評価される仕組みが必要。試験ではなく、本当のプロフェッショナルをうまく評価する仕組みが必要。

中島

戦争なんだ、道路で人が倒れている。理屈抜きで助けてほしい。免許とかどうでも良い

セキュリティ対策コストは誰が負担するべきか?

中島

行政にがんばってほしい。くだらん道路を造るくらいなら援助してほしい。

中川

セキュリティ価格は消費者に転嫁されるが、消費者には区別がつかない。

NGNだと匿名性が少なくなるのではないか。

高木

(ぼそっと)NGNはダメだと思いますが

門林

Webは利用者に労働させることで安くしている。企業側が負っていたリスクも消費者に押しつけられている。

カード会社も16桁のカード番号と数桁のパスワードという脆弱な仕組みを使い続けたいために情報を隠蔽する。今のカードシステムは考え直した方が良いのかもしれない。もう Felica に変えてしまったら?

アメリカ主導の「カード」というシステムにこだわる必要はないのではないか。そうすることでリスク負担の構造も変えられるのではないか。

高木

一般市民も勉強してほしいという話があったが、話を聞くと、どうもサウンドハウスではDBにパスワードを生で格納していたということのようだ。そのような実装は非常識。

技術的な常識を全て把握していれば何も起きないはず。そういう常識を共有できる方法はないのか。

対策はしつくした、CIO、CTOができることは?

高木

セキュリティを分かっている人材を評価する仕組みをつくる。

門林

良き翻訳者になれ。経営サイドの言葉と技術サイドの言葉を両方理解すること。

中川

PDCAサイクルが重要。常にチェック、見つけたらアクションという流れを会社のプロセスに流し込む。

中島

一寸先は闇のジャングルの中にいるという認識を持つ。光がほしい。光、ガイダンスがほしい。

山崎

対策をしつくした状態が仮にあったとしても、環境が変化したら漏れが出る。

監視、モニターが必要。中川さんのPDCAの話に同意。

私の感想

中島社長に言いたかったことを高木さんが言ってくれたので、すっきりしました。:-)

中島社長はひたすら「行政が頑張れ」という主張を展開していましたが、高木さんは「既にやっている」と反論。「サウンドハウスには、SQLインジェクションを知っている技術者がいたのか」という質問はまさに核心ですが、これに「いた」と答える社長が凄い。「じゃあ、どうしてSQLインジェクションでやられたのですか?」……という質問は出ませんでしたが、その質問をしても建設的な感じの議論にはならなそうですね。

やはり認識が大きく違うのではないか、ということを再認識させられました。