現在地 HOME > 掲示板 > IT5 > 820.html ★阿修羅♪ |
|
Tweet |
WEBセキュリティの社会的要素と「しつけ」【IT_Pro記事】「セキュリティは結局、人だ」、確かに、、。
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20040708/147010/
Wednesday, July 28, 2004
先日の情報セキュリティEXPOの専門セミナーで、「WEBセキュリティ」のテーマを担当しました。その講演の報道として、日経BPにて「“フィッシング”に利用されないようなサイト作りを」 - テックスタイル岡田氏 という記事が掲載されました。
実は、フィッシングの話に終始したわけではなく、むしろこの話題はWEBのセキュリティの考え方をどのように反映させるか、それによってどんなリスクが軽減できるか、という話の一環で補足的、例証的に取り上げたにすぎません。この機会に、そのあたりを少し説明したいと思います。
前提として、セキュリティは、技術的な要素に加え、社会的な要素があります。ビジネスの観点からすれば、WEBサイトで行なうどんなことも、その企業の社会的な責任が強調されてしかるべきです。ですから、企画段階において、WEBセキュリティは技術の話より先に、社会的な責任のほうを検討しなければなりません。
技術的な要素が、機密性(Confidentiality)、保全性(Integrity)、可用性(Availability)の3つであるのに対し、社会的な要素とは、説明能力(Accountability)、信ぴょう性(Authenticity)、信頼性(Reliability)の3つが挙げられます。
技術的なセキュリティ要素の優先順位は、社会的な要素によって判断され、強弱がつけられることになります。
たとえば、顧客の情報資産がクリティカルな脅威にさらされていることがわかった場合、可用性のためにサイトをそのままにしておくのはよくありません。むしろ可用性は犠牲にし、機密性を守るためにWEBサイトを止める、という判断があることでしょう。これは、信頼性という社会的なセキュリティを守るというミッションによって優先順位が判断されるわけです。
そうすると、セキュリティを守る「技術」の位置付けが明確になってきます。これは、社会的な責任を果たすという目的のもとに、生じ得る難しい問題を極力減らすための道具なのだ、ということです。それをどう操るか、ということは経営的な問題だからです。 社会的な責任からはじめ、そして技術的な手法にブレイクダウンしていくのです。
そこで、例えば、昨今流行の「フィッシング(phishing)」 - なりすましサイトにユーザが「釣られる」被害 - を軽減するためにできることを、どのように整理できるか考えるとしましょう。 下記の例は詳細な点を網羅していませんし、一概に○×はつけられないでしょうが、検討の進め方を示しています。
まずは、「説明責任」。すると、企業が説明を意図的に怠ることにつながる手法(たとえばアドレスバーを隠す、フレーム表示する、など)をどうするか考えられます。「信ぴょう性」を確保するために、紛らわしい、容易に誤用される手法(似たドメインの許容、フレーム表示)を考えます。最後に、「信頼性」を確保するためには、「こういう方法はとらない」ということの明示や、オンライン・オフラインを問わず顧客とのコミュニケーションの中で企業のサービスの姿勢(プライバシ保護、本人確認のポリシー、他の業者によるクッキーの有無など)を示していくことができます。
あらゆる種類の詐欺、詐称はなくならないでしょう。だからこそ、企業としては、ユーザがそれを信じてよいのかどうか判断できるほど、最善を尽くしているかどうかを考えなければなりません。その点で「社会的なセキュリティ」の3要素は、思考ツールとして非常に有用です。起こり得るあらゆる脅威に関して、それに対応する技術を評価するところから始めると泥沼に陥ることがよくあります。セキュリティ手法の検討に疲れ果てると、セキュリティぼろぼろのサイトになってしまいかねません。
そういうときにこそ思い出して欲しいことがあります。つまるところ、セキュリティ問題は特定の手法の善し悪しの問題というより、「しつけ」の問題だということです。「セキュリティは結局、人だ」と言われますが、人のしつけという意味は当然のことながら、ひいては、採用する方策にそれは反映されてきます。レベルが上がってくると、そのガイドラインは「ドレスコード」にも例えられるのでしょうね。
落ち着いて、その企業のあるべき姿勢を原点に、もう少し上の角度から見て整理すると良いのでしょう。企業のWEBサイトは、その企業の「しつけ」について良くも悪くも雄弁に語っているんですね。自戒の意味をこめて、精進したいと思います。
Copyright by Riotaro OKADA/okdt.org at 7/28/2004
link url:http://okdt.org/blog/2004/07/web.html
「“フィッシング”に利用されないようなサイト作りを」――テックスタイル岡田氏【IT_Pro記事】
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20040708/147010/
「米国で流行中の“フィッシング”は国内でも流行するだろう。フィッシングの被害を防ぐためには,ユーザーが注意するばかりではなくサイト運営者も注意が必要だ」――。テックスタイルの代表取締役CEOであり,Web Application Securityフォーラムのアドバイザリボードである岡田良太郎氏は7月8日,「情報セキュリティEXPO」のセミナーにおいて注意を呼びかけた(関連記事)。以下,同氏の発言の一部をまとめた。
フィッシングに名前を使われないようにするには,フィッシング・サイトを作りにくくしておくことが重要である。具体的には,「ポップアップ・ウインドウを使わない」「アドレス・バーを隠さない」「フレームを使わない」――こと。例えば,いつもアドレス・バーを隠しているサイトでは,アドレス・バーが表示されないことにユーザーが慣れてしまう。その結果,アドレス・バーを隠したフィッシング・サイトに誘導されても「いつものこと」だと思って怪しむことなくだまされる。
外部業者のドメインを使わないことも重要だ。アクセス・トラッキングやキャンペーンに外部業者のサイトを使う場合が少ないようだが,ユーザーには,そのサイトが正規のサイトなのか,フィッシング・サイトなのか分からない。その企業の公式ドメインを頻繁に変えないことも大切だ。
慎重なサイト作りをしている企業では,以前からポップアップ・ウインドウやフレームを使っていない。そういった企業のサイトは,フィッシングに名前を使われる可能性は小さい。正規のサイトに似せたフィッシング・サイトを作りやすいサイト,正規のサイトなのかフィッシング・サイトなのか判別しにくいサイトが,まずは名前を使われるだろう。
フィッシングに名前を使われると,サイト運営者も巻き込まれることになる。「フィッシングに利用されないように対策を施していたかどうか」を説明する責任を負う。フィッシングに名前を使われることが多い米国のある有名企業は,フィッシングに利用されにくいサイトに変更する作業に追われていると聞く。国内で大流行する前に,ユーザーばかりではなく,サイト運営者もフィッシングに備える必要がある。
(勝村 幸博=IT Pro)