2003年4月 Prisoner'Choice インシデント事後対応 ベスト&ワースト 2003年4月にネット上で発生したインシデントの中で、ライター集団 Prisonerが、独自の観点で選んだインシデント事後対応 ベスト&ワーストをお送りする。>> ベストは、マクロメディア 4月のベストは、バナー広告等で世界中で使用されている Macromedia Flash をリリースするマクロメディア(株)である。 3月28日、匿名の第三者から編集部に、Flash ADに CSS 脆弱性がある旨を指摘した一報が届く(当脆弱性による事故は発生していない)。これを編集部、および提携先であるイスラエル SecuriTeam(Beyond Security Ltd.)で検証し、4月2日にマクロメディア(日本)へメール連絡を入れた。4月7日に返信いただくも、少々の誤解が生じていたため、再度詳細を記したメールを同社宛てに送信。マクロメディアでは対処業務に入った。 編集部のその後の取材によると、『セキュリティ問題が発生したときに、各製品ラインごとにタスクフォースを組む体制を用意しております。今回の件もU.S.のタスクフォースが日本オフィスと連携をとり対応しました』との返答を、同社CTOの田中章雄氏から得た。 その後も電話やメールでの情報交換は続き、主として技術内容に関しての確認を編集部・マクロメディア(日本)間で行っている。米国では主要広告利用者への個別連絡、デザインガイドライン(英語)の加筆修正も行われた。 マクロメディア(日本)においても、同社ページ上で綿密な情報開示がなされている。本件については編集部と同社で、リスク評価などにおいて細かい点で、認識の相違がある。そのような場合、往々にして片方の意見が封じ込められて、自社の見解だけ発せられる場合が多いが、本件では見解に差異がある NetSecurity のページにリンクが貼ってあり、そこを訪れたユーザは双方の意見を照らし合わせることができる。「こういった意見があり、それに関する弊社見解はこうである」という、非常に理にかなった配慮。内容についても、問題の概要や対処法など、包み隠さずに問題を捉え、綿密に開示している。こうした情報開示についても、前述の田中氏からコメントをもらっている。『ウェブでの情報開示については、積極的に行っています。U.S.のサイトではSecurity Zoneというエリアを設け、セキュリティに関する情報をまとめたポータル的なサービスを行っています。 http://www.macromedia.com/devnet/security/security_zone/ また、エンドユーザ向けの製品だけではなく、開発言語、開発ツール、サーバ製品を扱っている性質上、どのようにアプリケーションを開発し、また運営したらセキュリティを向上できるのかというベストプラクティスに関する情報もデベロッパー向けに提供しています。 http://www.macromedia.com/devnet/security/ 今回のCSSに関する件も、Macromedia Flashの開発社にウェブからの "ユーザインプットをフィルタ" するというベストプラクティスを通して、Macromedia Flashだけに限らずウェブアプリケーション全体のセキュリティ向上に貢献できればと思います』[ Prisoner DAMLAK ] ──────────────────────────────〔Info〕──Scan Monthly Report Best Worsthttp://shop.vagabond.co.jp/p-sbw01.shtmlネットワークセキュリティ・インシデント年鑑2003http://shop.vagabond.co.jp/p-inc02.shtml───────────────────────────────────
