【Webアプリケーションのセキュリティ 2】〜 責任範囲 〜 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.18(水)

【Webアプリケーションのセキュリティ 2】〜 責任範囲 〜

特集 特集

 前回記事では、Webアプリケーションに係わる人々の多様さについて注意すべきことを説明した。今回は、それに関連してWebアプリケーションの責任範囲について述べたい。

 サーバサイドに用いられるWebアプリケーションの「ユーザ」、つまりライセンスに同意するのは、通常サーバ運営者である。もう少し具体的に言えば、ASPなどのプログラムを購入し、ライセンス許諾を受けるのは、Webサービスを提供しようとする組織である。このとき、Web閲覧者はこのライセンス条項には何ら拘束されないということには十分注意しなければならない。

 ソフトウェアのライセンスの常識となっているのは、そのソフトウェアの使用に関して起こる損失、被害に対して一切責任をとらない、という意味の免責条項である。しかしこの免責について認めるのはユーザ、サーバサイドWebアプリケーションの場合にあってはサーバ運営者であって、Web閲覧者ではない。Web閲覧者が何らかの被害を被ったとき、誰がどのように責任をとるべきなのかは十分注意しなければならない。何の取り決めもなされていない場合には、サーバ運営者が全ての責任を負わされる可能性もあり得る。

 一方サーバ運営者が免責としてWeb閲覧者にこのような「自己責任で閲覧」を強制する仕組みは非常に難しい。というのもこのような免責について書かれたものをWeb閲覧者が必ず読むとは限らないからである。

 成人向きのコンテンツを商業サービスとして提供しているWebサイト(映像送信型性風俗特殊営業)において、topページを年齢確認ページとし、これををゲートウェイと見なして、Web閲覧者がこのページを見ることを前提している構成をとっているところがよく見られるが、このようなページ構成をとっただけで、「年齢確認」に関して過失がないと主張できるかどうか不明である[1]。

 何故なら、閲覧者がこのページで年齢確認を行わずに、成人向きコンテンツを見てしまう可能性は全く排除されていないからである。「直リンク」や「Deep link」と呼ばれるような、特定コンテンツに直接アクセスする方法が紹介されていた場合、その紹介に従ってアクセスした閲覧者は何の年齢確認もなしに成人向きコンテンツにアクセスしてしまう。

 特定の(免責に関する)「注意書き」を閲覧者に確認、承諾させてからコンテンツ閲覧ができるような仕組みとして、Web閲覧者のブラウザが送出するReferer情報を利用する手段の有効性がよく上げられるが、Referer情報はサーバ運営者が期待するものが得られるとは限らないので、これに頼るのは危険である。厳密なセッション管理がなされなければ、特定注意書きページを見せてからコンテンツページを提供する仕組みが構築されたとは言えないであろう。


office
office@ukky.net
http://www.office.ac/

[1] http://www.houko.com/00/01/S23/122.HTM

(詳しくはScan本誌をご覧ください)
http://shop.vagabond.co.jp/m-ssw01.shtml


《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

    [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  3. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  4. Heart of Darknet - インターネット闇の奥 第3回「アクターとダークウェブ」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第4回 「"やりかねない"男」

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  7. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第2回 「二重帳簿」

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第3回「通信密室」

  10. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×