水無月ばけらのえび日記

WASForum Conference 2010: クロージングディスカッション 脆弱性対策至上主義からの脱却

公開: 2010年6月4日0時10分頃

WASForum Conference 2010、Live IDの話の後は最後の最後、クロージングディスカッション。壇上には三井物産セキュアディレクションの国分裕さん、テクマトリックス株式会社の酒井喜彦さん、そして司会は株式会社テックスタイルの岡田良太郎さん。席からはスピーカーの門林さん、松岡さん、高木さんが乱入する形となりました。

以下は、話された内容の一部を断片的にメモしたものです。敬称は略させていただいています。正確性はいまいちな上に、途中ところどころ飛んでいますのでご注意ください。

国分

昔からすると変わってきている。昔は自前で全部やっていたが、最近は外のサービスと連携したり、複数サイトにまたがったり、新たな考え方が今後必要になってくる。

酒井

企業サイトのマッシュアップは進んでいない?

これから対策しなければならなくなる話。伝えていかなければならない。

岡田

今日の話は脆弱性検査で指摘する範囲に含まれる?

国分

指摘している。設計に起因する問題も指摘している。かんたんログインも。

岡田

反応は?

国分

なかなか厳しい。「分かるんだけどユーザからのニーズがあるし……」と言われることが多い。やめることを検討しているお客様もいるが、さまざま。

そもそも、脆弱性検査を頼んでくるところは意識が高い。Cookie対応など、どんどん言っていってもらいたい。

門林

クライアント証明書は使われている?

属性を入れたりいろいろなことができるはずだが、そういう使い方を見たことは?

国分

使っているサイトはあるがIDのかわりにとどまる。属性まで使っているところは見たことがない。

門林

暗号学者からするとCookieも論外。暗号化されていないから。

ソフトウェアのへたくそなつくりを指摘→直れば立派、というのはそろそろ……。

国分

設計思想によって脆弱性がある、というのは被害につながるので指摘はしている。

岡田

2～3年前、雨後の竹の子のように不良検査会社が出てきた。その後どうか。

国分

ツールによる検査だけで良いサイトもある。そうではなくてしっかり見てほしい、というサイトもある。顧客も二極化している。

岡田

ものを作る立場としてどうか?

酒井

うちではAppScanがメイン。構築の方も見ているが「やっていただきたい」。今日聞いた話をいかにしてお客様に伝えるか。

ぜひ資料配付をお願いしたい。来てないけど資料で分かる、ということはあんまりない。バズワードが面白かったね、で終わらせたくない。

高木

Cookieが駄目と言われたが、SSL/TLSも一緒。CookieのポイントはJSから触れるという点だけで、やり方としては普通。

門林

ケータイは物理的なセキュリティに立脚している。ケータイを持った人を本人扱いにしてしまう。認証に重要な要素をスルーしている。だから5歳の子どもが父のケータイでゲームコンテンツを購入してしまう。誰がどう責任を取るのか。ビジネスとして考えなければならない。そこも含めてのエコシステム。

高木

ソフトバンクでは、課金の時に暗証番号を入れていたのが省略されるようになった。初回アクセスで包括認証というのは無茶ではないか。総務省研究会で問題にすべき。auも入力を省略できるようになった。リアルの契約と電子契約は違う。暗証番号によって「買う」と意思表示していたはず。これでは架空請求の餌食になる、なんとしても元に戻すべき。

門林

総務省の研究会はポリシー論だけで結論を出して終わっている。国がやれば良いじゃないか、というのも問題。インターネットにも様々な問題がある。spam、ボットネットなど。ケータイでも時間差で同じ事は起きる。かんたんログイン、透明でない仕様……情報が出てこないので専門家はどうしようもない。商用サイトも含めて検査をされている会社こそ出せる統計情報があるのでは?

ここでもやはりかんたんログインの話が。

クロージングと言いつつあんまりまとめになっていませんでしたが、それはそういうものということで。

• 「WASForum Conference 2010: クロージングディスカッション 脆弱性対策至上主義からの脱却」にコメントを書く

関連する話題: セキュリティ / WASForum Conference / WASForum Conference 2010