Web Application Security(WAS)フォーラム設立に伴い、賛同企業・団体を対象にしたプレ・コンファレンスが3月11日に開催され、フォーラム発起人でもある株式会社テックスタイル 代表取締役社長 岡田 良太郎氏が、「セキュアなWebアプリケーション」をテーマに講演を行った。
|
株式会社テックスタイル 代表取締役社長 岡田 良太郎氏
|
同氏はここ数か月のセキュリティ事件増大について「結局事件の露呈する可能性が増しただけなのではないか」との見方を示し、肯定的な部分もある一方で、「これまで扱ってきた情報が大きな問題になリ得ることに気づかせ、好奇心を高めてしまう」悪影響もあると指摘した。
そして社団法人コンピュータソフトウェア著作権協会(ACCS)での個人情報漏えいの件に触れながら「不正アクセス禁止法では、実際に事を行った側の責任を追及するもの。運営側の責任を問う個人情報保護法は2005年春に施行されるなど、社会的に後手に回っている」とした。同氏は「ユーザーの間は、個人情報は漏れる前提で登録するとの自覚が必要なほど信頼性が下がっている」と述べ、自動車事故を例に「事故発生時には歩行者を保護する方向で物事が進む。現在の状況はユーザーが歩行者の立場と言え、運用側の自覚を見直さなければならない」と述べた。
Webアプリケーションでのリスクポイントについて同氏は、「実店舗では入店者のみが外部リスクとなるが、インターネットでは、通りすがりの人々がリスク対象になりうる、そして活発なほどリスクは高まる」との特徴があるとし、また国内企業の体制として「内部リスクへは認識が甘くなりがち」な点も挙げた。
|
「技術的関心があればあるほど、Webサイトの裏側に関心をもつもの」
|
セキュリティを確保する要因に、正確な情報伝達を行う完全性、その対象者を限定する機密性、必要なときに停止しない可用性の3つを挙げた同氏は、「コストとの板ばさみにより実際の目的は欠落し、議論が技術的方策に特化している」ことを問題視。一方でサーバーの脆弱性を放置して運営し、アクセス者に不正アクセス禁止法違反、威力業務妨害を問うものとして、一部で話題になっているサイバーノーガード戦法について同氏は、「フィロソフィーの欠落」とした。
「結局のところインターネットの世界では、見た内容をどう扱うかはユーザーに任されている」とした同氏は、「ソースの閲覧やフォームへの特定の値の入力など、技術的関心があればあるほど、裏側に関心をもつもの」と述べた。しかし「もし脆弱点を発見しても、現在の状況では報告の線引きが難しくなっている」との見方を示した。また接する場がなく、コミュニケーションレベルでの問題もあるだろうとした。
同氏は経営戦略で訴えかけられる民間主導の活動の必要性を訴え、「省庁発のガイドライン策定にも参画するほかに、民間が自由に活動できる基盤や問題発生時の枠組みづくりを進める必要がある」とした。そしてフォーラムでは、枠組みの次に来るものとして「プログラミングテクニックやセキュアなサイト構築手法、アプライアンスやソフトウェアによる防御での活用手法、セキュリティ情報活用のためのアドバイスといった技術的な課題、セキュリティに関する監査や、情報セキュリティの倫理、運営側のモラルと責任といった戦略側の課題について取り組みたい」と述べた。
■ URL
Web Application Securityフォーラム
http://www.wasf.net/
Web Application Security プレ・コンファレンス
http://www.wasf.net/conference.html
株式会社テックスタイル
http://techstyle.jp/
Okdt BLOG(岡田良太郎氏のBlog)
http://okdt.org/blog/
( 岩崎 宰守 )
2004/03/15 00:02
|