Gumblarがあぶり出す 「空虚なセキュリティ対策」 − @IT(情報元のブックマーク数)

川口さんの今月のコラム。「現在の日本のセキュリティ〜ブラックハットジャパンその後〜」面白かったみたいですねー!

皆さんこんにちは、川口です。先日、私はインターネット協会主催の「現在の日本のセキュリティ〜ブラックハットジャパンその後〜」にて、有名なセキュリティ会社社長3人に囲まれ、パネリストとしてお話をさせていただきました。議題は「セキュリティ屋の使命」「PtoP」「人材」「Gumblar」です。このコラムの読者の方が何人も参加していたり、2年前のBlack Hat Japanでお会いした方に再会したり、貴重な経験をすることができました。

Gumblarがあぶり出す 「空虚なセキュリティ対策」:川口洋のセキュリティ・プライベート・アイズ(23) - @IT

上層部にリーチできたガンブラーは凄いかもしれないな。Conficker,MSBlastと並ぶんじゃないかな。

2010年、大手サイトの改ざん事件の報道が行われたこともあり、Gumblarは一気に世間の注目を集め、新聞やテレビで取り上げられる機会が増えました。新聞やテレビで取り上げられるようになるとお客様の組織で「うちは大丈夫なのか?」と、“上層部の偉い人”が騒ぎだす傾向があります。その結果、お客様はWebサイトの外部委託先の管理に奔走したり、慌ててFTPサーバのログを確認したりすることになります。

Gumblarがあぶり出す 「空虚なセキュリティ対策」:川口洋のセキュリティ・プライベート・アイズ(23) - @IT

委託先をどう見るか。ここが重要。契約で縛っても無理でしょ。。。

会社間の関係も問題になります。今回改ざん事件が報道された多くの企業では、Webサイトの運用を外部委託していたものと思われます。同様にWebサイトの運用を外部委託している企業は、今回の相次ぐ改ざん事件の報道を受けて、委託先企業のセキュリティ対策状況を確認していることでしょう。このこと自体は問題はありませんが、自社のセキュリティ対策をそのまま委託先企業に求めてはいないでしょうか。
委託を受ける条件として、委託元企業のセキュリティ基準を満たすことが含まれている場合もありますが、果たしてそれは実行可能な基準でしょうか。Webサイトの運用を委託されている企業自体は大きな組織かもしれませんが、その委託先としては中小のデザイナー事務所が請け負っている場合場合もあります。実施できないセキュリティ対策を求めた結果、その対策が形骸化された状態になっていないか心配です。

Gumblarがあぶり出す 「空虚なセキュリティ対策」:川口洋のセキュリティ・プライベート・アイズ(23) - @IT

screenshot