• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

今週のSecurity Check

信頼を得るための,企業のセキュリティ・ホール対応

若居和直 2002/07/08 ITpro

 筆者が以前のコラムで述べたように,企業がセキュリティ・ホールに関する報告を受けた場合には,きちんと報告者に連絡した上で,セキュリティ・ホールの修正や情報公開を行うことが重要である。しかし実際には,適切に対応しない企業は多い。適切に対応しないと何が問題になるのか,逆に,きちんと対応すればどのようなメリットが得られるのかについて,今回のコラムでは考えてみたい。

セキュリティ・ホールの修正は不可欠

 企業がセキュリティ・ホールに関する報告を受けた場合の対応は,さまざまなパターンが考えられる。(1)報告者への連絡,(2)セキュリティ・ホールの修正,(3)情報の公開――の有無の組み合わせになるからだ。

 以前のコラムでも述べた通り,

(1)報告者へ連絡した上で,(2)報告者と協力してあるいは独自にセキュリティ・ホールを修正し,(3)ユーザーに情報を公開する

という対応が最も理想的である。報告者も連絡した甲斐があるし,ユーザーにとっても有益である。

 とはいえ,実際には上記のような対応が採られない場合も少なくない。例えば,(1)報告者に連絡した上で,(2)セキュリティ・ホールをきちんと修正するものの,(3)ユーザーに対しては情報を公開しない企業もある。この場合,報告者には不満が残るだろう。

 ただし,報告されたセキュリティ・ホールが,ユーザーのパソコンで動作するソフトウエアなどに関するものではなく,例えば企業のWebサーバーに関するものであった場合には,情報を公開しなくてもユーザーに対する影響は少ないだろう。また,たとえ企業が情報公開しなくても,報告者自身がセキュリティ・コミュニティなどに報告することで,最終的には公になる場合も多い。

 つまり,(1)報告者への連絡と(2)セキュリティ・ホールの修正をきちんと行えば,状況によっては(3)を行わないことも,十分現実的な“解”である。重要なことは,セキュリティ・ホールをきちんと修正することである。それが,報告者のそもそもの目的である。セキュリティ・ホールを修正しないことが,企業の対応としては最悪なものとなる。

 なお,「Webサイトのどこにも連絡先が明記されていない」,「いくら報告しても,定型のメールしか返ってこない」など,担当者に連絡がつかない企業も論外である。そういった企業では,セキュリティ・ホールが放置されたままになる可能性は非常に高い。

きちんとした対応で信頼を得る

 それでは,セキュリティ・ホールを修正さえすれば,報告者に連絡する必要はないのだろうか。実はそうではない。企業でセキュリティ・ホールの修正作業を進めているとしても,報告者には分からないので,せっかくの報告を無視されたものと考えるだろう。

 企業から連絡がなければ,報告者はセキュリティ・ホールの修正が期待できないと判断し,セキュリティ・コミュニティなどにセキュリティ・ホールの内容を公開することになる。セキュリティ・ホールを修正させるための“圧力”にするのだ。

 一度そのようなことがあると,たとえ社内で修正作業を進めていたとしても,セキュリティ・ホールの修正が期待できない企業と思われてしまう。すると,次にセキュリティ・ホールが見つかった場合には,企業に報告することなく,いきなりセキュリティ・コミュニティなどに報告されるようになってしまう。これは,企業にとって好ましいことではない。

 セキュリティ・ホールを発見されるのは,一度きりではない。特に,クロスサイト・スクリプティングのように,類似の手法が多いぜい弱性の場合には,根本的に修正しない限り何度でも見つけられる。そのたびに,セキュリティ・コミュニティなどに報告されることになる。

 その結果,企業の信用は損なわれる。加えて,企業によるセキュリティ・ホールの修正が遅れ,ユーザーを危険にさらしてしまうことになる。

 セキュリティ・ホールをきちんと修正して,情報を公開することは,ユーザーを守るとともに,その信頼を得るために不可欠である。加えて,きちんと報告者に連絡することで,報告者の信頼を得ることができるのだ。

 「セキュリティ・ホールが報告されれば,きちんと報告者に連絡し,セキュリティ・ホールを修正するとともに,情報を公開する」企業であると認めてもらえれば,いきなりコミュニティに報告されることはない。いたずらにユーザーを危険にさらすことは,ほとんどの報告者にとって本意ではない。きちんと対応する企業に対しては,報告者はまずその企業に情報を提供するはずだ。そして,修正作業にも喜んで手を貸してくれるだろう。

 つまり,セキュリティ・ホールの報告にきちんと対応することで,その企業には情報が集まりやすくなるのだ。修正作業にすぐに取りかかれるとともに,情報の公開時期を自身で決定しやすくもなる。逆に,対応がおろそかだと,企業が知らないところで情報が公開され,修正作業は後手に回る。どちらがユーザーと企業双方の利益になるのかは明白だ。

 「セキュリティ・ホールが存在すること自体が“恥”」と考える企業は少なくないようだ。そのため,セキュリティ・ホールが報告されても無視したり,報告者に連絡することなく秘密裏に処理しようとする。ユーザの不利益となる,こういった行為のほうが企業としては“恥”であり,最終的には企業の不利益にもなると考えるべきである。


若居和直(WAKAI Kazunao)
株式会社ラック セキュアネットサービス事業本部
wakai@lac.co.jp


 IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,その週に起きたUNIX関連およびセキュリティ全般のニュースや動向をまとめた週刊コラムです。セキュリティ・ベンダーである「株式会社ラック」のスタッフの方を執筆陣に迎え,専門家の立場から解説していただきます。

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

  • 【ニュース解説】

    Rubyはデータサイエンスで生き残れるか

     世界で利用されている国産プログラム言語「Ruby」が、機械学習や人工知能(AI)開発の盛り上がりを前に正念場を迎えている。米Googleなどを後ろ盾に「Python」が同分野でソフトを充実させる一方で、Rubyの存在感は薄い。5月19日に開かれたワークショップでRuby開発者達は危機感をあらわにし…

  • 【IoTで快適オフィス】

    二酸化炭素濃度まで見える化、IoTで「快適空調」

     トイレや会議室と並んで、社員の不満が出やすいオフィス設備の一つが空調機器だ。温度や湿度など空気の状態は部屋の人数や動きによって変化しやすく、感じ方も人によって異なる。IoTの技術を使って空気の状態などを見える化し、空調設備などの制御を最適化するシステムの開発が活発になってきた。

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る