« 「阪神優勝」商標事件のその後 | メイン | ユーザーインターフェースにおける常識とは? »

2005年05月28日

カカクコムを反面教師としよう

#商標の話を書こうと思ったら特許電子図書館がダウンしてたのでまた月曜日以降に書くことにします。
#しかし、金曜夜から土日の終日メンテでダウンというのもすごいですね。
#無料サービスとは言え公益サービスなんだからサービスレベルをもう少し何とかしてほしいものです。

さて、話は全然別のカカクコム事件ですが、同社が事故に関する情報をまったく公開していないのが問題になってますね(関連記事)。
すでに関連記事に言いたいことがほぼすべて書かれてますので、あらためて付け加えることもないのですが、カカクコムの姿勢は本当に困ったものです。

「新たな犯罪を誘発するので情報を公開しない」というのは一見正しそうで、まったく間違った考え方です。
セキュリティの世界では"Security by Obscurity"という言い方があります。
要するに情報を隠しておけばセキュリティが確保されるであろうと言う考え方で基本的には間違った考え方であるとされています。
仮に情報を公開しなくても、クラッカー連中は裏で情報交換してますから、それを抑止することはできませんし、逆にリスクが世の中に認識されない害の方が大きいでしょう。

アルミサッシはドライバー1本で開けられるという情報をテレビで流せば、それを見て実行する者が出てくるリスクがある一方で、アルミサッシには予備錠とかアラームつけなきゃ駄目なんだという知識を世の中に広めるというメリットもできます。
ここで、明らかに、前者によるリスク<後者によるメリットであると思います。

さらに、記事中の「これで済んでしまうとなると,セキュリティ対策を全く施していないサイト運営者の言い逃れに,今回の同社の対応が使われる可能性がある。」という懸念についてもまったく賛成です。
少なくとも個人的にカカクコムのサービスを利用する気はなくなりました。

他の企業においては、ぜひカカクコムの対応を反面教師としてもらいたいものです。

#今回のエントリー、ちょっと普通すぎる意見かもしれませんが、まあこう言うしかないということで。

投稿者 kurikiyo : 2005年05月28日 11:32

コメント

同感です。
すでに同じ逃げ方をしている例もあるようです。
しかし、記者側も、「手口」ではなく「対策」を聞くことはできなかったのかと思います。
たとえば、メディアに流れていた「SQLインジェクションへの対策はとられていたのですか?」くらいの質問はあってもよさそうです。これは、OSやデータベースに関係ない「ごく普通」のセキュリティ対策ですから、これを公開することで新たな犯罪が誘発されるとは思えません。
個人的には、それすら疑わしいと思いますが。

投稿者 anonymous : 2005年05月30日 00:00

 私は、価格comの経営陣の知識レベルと技術者の技術レベルを疑ってしまいますね。実は、何も分かっていなかったということを知られることを恐れているために、隠蔽したいのではなかったかと勝手に想像してはいるのですが、真実はどうなんでしょう?

投稿者 anonymous : 2005年05月30日 05:53

真実はどこかのメディアがスクープしてくれるのを待つしかないでしょうね。
あと、これにより顧客がどれくらい競合に流れるかが興味あります。ネットの世界では不買運動(不クリック運動?)なんかなくても、消費者は勝手に移っていきますからね。

投稿者 栗原 潔 : 2005年06月01日 14:46

「同じ逃げ方をしている例」と書いたのは、OZmallでしたが( http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20050527/161628/ )、手口がSQLインジェクションであったことを認めたようです( http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20050531/161856/ )。

今なお「過失がなかった」と考えているかどうかは記事からは判断できませんが、一般的にはセキュリティ対策としてやるべきことをやっていたとは言えないでしょう。それでも公開に踏み切ることができたのは、価格.comと違って具体的な被害の報告がなかったからかもしれません。

これもまた普通すぎるコメントですが。

投稿者 anonymous : 2005年06月01日 21:25

手元にeLOCK社のWeb Alarmというセキュリティー関係ソフトのカタログがあります。カカクコムのように、万一改ざんされた場合に、サイト上の改ざんされたファイルを自動的に見つけ出して、自動的に修復してくれるソフトです。ウェブページの改ざんに関しては、これでほぼ問題解決できます。顧客データ漏洩に関しては、侵入者のアプローチ方法によって有効でない場合も有り得ると思います。

投稿者 bobby : 2005年06月02日 13:02

もうひとつ。
ファイアウォールの設置やOSアップデートの適用などはシステム管理者が考えるべきセキュリティですが、SQLインジェクションのようなものはシステム開発者が考えるべきセキュリティですね。
ウィルス対策などで現実的な問題にさらされてきたシステム管理者がセキュリティに敏感になっているのに比べ、システム開発者がセキュリティへの意識が低いという面はあるのかもしれません。

投稿者 anonymous : 2005年06月05日 00:54

ちょっと亀レスですが、システム開発におけるセキュリティ意識も重要ですが、さらに重要なのはシステム設計さらにはアーキテクチャ設計におけるセキュリティ意識だと思います。
Windows環境のように、ネット経由で勝手に実行コードが振って来る(それを防ぐのはユーザーによるダイアログでの確認のみ)とか、文書ファイルを開いただけで自動的にスクリプトが実行されてしまうとか、PATHの先頭に自動的にカレントディレクトリがあるような設計ではセキュリティを確保するのは至難の技でしょう。
そういえば、システム開発者が考えるべきセキュリティとしては、バッファーオーバーフロー攻撃もありますね。これも、気をつければ済む話なのになかなかなくならないですね。

投稿者 栗原 潔 : 2005年06月12日 00:50