マーケティングやデザインよりも安全性を 問われるweb サービスへの企業姿勢 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.18(水)

マーケティングやデザインよりも安全性を 問われるweb サービスへの企業姿勢

製品・サービス・業界動向 業界動向

 本誌および多くの媒体の記事では、利用者に、通常スクリプトをオフにしてweb を閲覧することが推奨しているものが多い。
 これは、ひとえに、IE のスクリプトとクッキーには、継続的に脆弱性が発見されているためである。
 11月9日に発見されたIE のスクリプトとクッキーについては、ようやく16日にパッチがリリースされたが、それまでの間は、マイクロソフト社自身もスクリプトをオフにしてwebを閲覧することをすすめていた。
 利用者は、スクリプトをオフにするか、IEを使わないかしか自衛の手段はないのである。

 ところが、web の中には、スクリプトをオンにしないと利用できないサイト = R-MSサイトが存在する。
 スクリプトを使うこと自体には、問題はない。問題は、スクリプトをオンにしないと利用できない点にある。スクリプトをオンにしなければ利用できないメニューや機能があると、利用者に危険をスクリプトをオンにするように強制していることになる。

 以前、本誌でR-MSサイト実態を調査した際には、民間企業の調査対象webのほとんどがR-MSサイトに該当していた。

スクリプト強要する企業サイト一覧 危険なサイトに「R-MSマーク」を (2001.11.12)
https://www.netsecurity.ne.jp/article/1/3269.html
国土交通省、中小企業庁など官公庁にもスクリプトを強要する危険なサイト (2001.11.12)
https://www.netsecurity.ne.jp/article/1/3265.html
スクリプト強要のあふれる企業 web 無知で無自覚な web に歯止めを (2001.11.12)
https://www.netsecurity.ne.jp/article/1/3264.html
スクリプトの利用を強要するサイトはネット利用者の脅威である (2001.11.12)
https://www.netsecurity.ne.jp/article/1/3263.html


 企業がこのような R-MSサイトを作る理由として考えられるのは、下記のようなことであろう。

・コスト削減
 スクリプト利用によるweb制作コストの削減
・マーケティングデータ収集
 技術力あるいは予算のない企業にとって、クッキーとスクリプトの利用はマーケティングデータを収集する効果的なツールとなる
・デザイン
 筆者はセンスがないので、よくわからないが、いわゆる「クール」なwebデ
ザインなどのためにスクリプトを利用することがあるらしい。
 ゲームやお遊び的な要素をスクリプトによって加えることもあるが、それはなくても本来のweb利用のさまたげにはならないので、ここでは対象にしない。

 これらは、あくまでもサイト側の論理であり、利用者の便益になることはない。利用者の便益にならないことで、利用者を危険にさらすのは、あきらかに問題といえる。
 そのようなセキュリティ無視の状態を放置しておくことは、企業なりの冷徹な計算があるのかも知れないが、そのために犠牲になるのは誰しも望むところではないだろう。

企業の競争戦略の一環としてのセキュリティ軽視(2001.11.13)
https://www.netsecurity.ne.jp/article/1/3273.html

 すでに、現実に IE の脆弱性をついた起きた事件では、多くの被害者がでているのである。

msn、オリコをはじめとする多数のwebが改竄、感染の踏み台にされる (2001.9.19)
https://www.netsecurity.ne.jp/article/9/2842.html
「プライスロト FUCK japanese」事件にみる事後対処の問題点 (2001.8.23)
https://www.netsecurity.ne.jp/article/1/2672.html

 ふたたび、被害者を出さないためにもセキュリティの重要性を認識し、web制作にも反映させることが必要である。
 ちまたで、最近増えてきたセキュリティポリシーのセミナーでは、このような利用者を守るセキュリティのポリシーは教えてくれていないのだろうか?

「企業の競争戦略の一環としてのセキュリティ軽視(2001.11.13)」に見るように、多くの企業には”いまは”セキュリティを強化したくない理由がある。利用者自身もセキュリティ軽視の web 利用を控える、あるいは、積極的に R-MSサイトの指摘を行うなどの対応が不可欠である。
 被害がでようがなんだろうが、利用者が減らない限りは企業は、web のセキュリティをまともに考えてくれない可能性が高いのである。

[ Prisoner Langley ]

(詳しくはScan本誌をご覧下さい)
http://www.vagabond.co.jp/vv/m-sc.htm

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. 次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

    次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

  2. Raspberry PiにKali linuxをセット、「ホワイトハッカ育成ツール」発売(スペクトラム・テクノロジー)

    Raspberry PiにKali linuxをセット、「ホワイトハッカ育成ツール」発売(スペクトラム・テクノロジー)

  3. 30年度サイバーセキュリティ政府予算730億円、防衛省と厚労省が各45億円超(NISC)

    30年度サイバーセキュリティ政府予算730億円、防衛省と厚労省が各45億円超(NISC)

  4. 自分の利用しているサーバの状況を確認する方法 不正中継確認

  5. ルートゾーンKSKロールオーバーのプロセス開始、DNSパケットサイズに注意(JPRS)

  6. 新アルゴリズムを開発、古い制御システムでもサイバー攻撃対策が可能に(日立)

  7. Apache Strutsの脆弱性リスクの有無を判断できるツールを無料配布(Black Duck Software)

  8. 顔認証システムの現状、顔写真を使った「なりすまし」も3Dデータ照合で防ぐ

  9. ルートゾーンKSKロールオーバーの「新KSKでの署名開始」を延期(JPRS)

  10. マルウェア侵入の検知を高精度化するAI技術を開発、侵入前後の違いを検知(富士通研究所)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×