編集部からのお知らせ
新着記事まとめPDF「データサイエンティスト」
ZDNet Summit 2021開催のご案内

ウェブセキュリティ最前線--問題の解決への道 - (page 2)

文:Mike Ricciuti and Joris Evers(CNET News.com) 翻訳校正:矢倉美登里、小林理子

2007-07-23 03:03

 「われわれには、セキュリティ対策に関する情報がある。だが、ウェブ2.0などのアプリケーションを構築するときに、こうした対策がどれだけ適用されているかを知る媒介となるものがない。標準の策定に取り組む非営利団体といったような団体が現れるだろうか?おそらく現れるだろう。信用できない情報たくさんある以上、有用な情報を集める中央情報センターといったものが必要なことは確かだ」とHoffman氏。

 現在、ウェブセキュリティの大きな部分を管理している企業の幹部の間にも、もっと業界内で協力しあう必要があるとする意見がある。

 「セキュリティは、業界全体に何よりもプラスになる。われわれは、情報やツールを共有してコミュニティーに還元する方法の有効性を探っているところだ」と語るのは、Yahooのセキュリティチームで「Chief Paranoid Yahoo」の肩書きを持つArturo Bejar氏だ。

 明白に思える目指すべき方向は、政府の介入を受けず、業界全体の協力という形をとり、独占やカルテルへと発展することをきっぱりと排除する設計になっていることだ。だが、こうしたアプローチは言うがやすしだ。これまでに、ほかのデジタル技術においてこうしたアプローチが何度も試されてきたが、結局、まとまりがつかなかったり、事実上はいちばんの利害を持つ企業や団体が支配権を握る結果に終わったりした。

 早い話、Windowsについて考えてみればいい。10年以上にわたって訴訟が続き、多大な額の税金が投入されたが、世界のパソコンユーザーの90%以上が毎日利用しているWindowsに対して、Microsoftの管理の手を緩ませることはほとんどできなかった。

 ウェブが登場してまもないころ、すべての利害関係者がウェブのために必要に応じて協力し歩み寄るという利他的な考えから、非営利団体のW3Cが設立された。W3Cは、インターネットが誕生したばかりの無法な開拓時代の信頼できる権威となり、ウェブの標準を一から定義する上で大きな役割を果たした。だが同時に、W3Cの活動の多くは、たいていの場合、標準を定めることによってもっとも利益を得る企業そのものが定めた標準を中心とする。

 いずれにしても、W3Cはウェブセキュリティの監視役にふさわしい団体ではないのだろう。なぜならW3Cが規定するのは、基本的に他者が使用するツールだからだ。セキュリティ侵害にはたいてい、ツールそのものだけでなく、その利用方法が関係してくる。

 「標準を作る団体は、適切な基本線になるきわめて明確な標準を作成することに全力を注ぐべきだ。この世で最悪な標準が何かと言えば、それはあいまいな標準だ。だが現状は、あいまいな標準が数多く存在する」とHoffman氏は言う。

 ほかにも、Web Application Security Consortium(WASC)のような団体が、アプリケーションのもっとも安全な開発方法を規定しようとしている。さらに、業界全体でウェブ開発者が、XSSed.comのようなサイトを通じて、研究とセキュリティに関する「最良の実例」の共有化を進めている。XSSed.comは、クロスサイトスクリプティングの新しい脆弱性とその解決方法に関する情報を公開している。

 だが、このような取り組みでできることには限度がある。大手ウェブ企業は、セキュリティ上の問題があろうとかまわず、長年にわたって製品開発を進め、あいかわらず毎日のように新しいバグが生まれている。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

関連記事

関連キーワード
Google
Yahoo
Microsoft
セキュリティ

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]