XSSは本当に危ないか?日本のセキュリティ意識は過剰? 99
ストーリー by hayakawa
貴方はどう思いますか? 部門より
貴方はどう思いますか? 部門より
あるAnonymous Coward 曰く、
日本のセキュリティ対策会社として著名な「株式会社ラック」にお勤めの方が書かれた、@ITの記事「世間の認識と脅威レベルのギャップ——XSSは本当に危ないか?」が少し話題を呼んでいる。
著者は「いま、あえて問います。世間でいわれているほど、XSSは危ないのでしょうか?」、「おしかりを覚悟で書きます」、「XSSってそんなに危ないのか? 認識にギャップがないか?」と疑問を投げかけている。その理由として著者は、これまでセキュリティ対策の現場で働いた経験からして、「企業の株価が暴落したり、ビジネスを脅かすようなXSSは見たことはありません」とのことで、「SQLインジェクションと比べたら微々たるもの」といった根拠を挙げている。
XSSは罠を仕込んで被害者を誘い込む必要があり、攻撃の手間が大きいために実際の攻撃は多く発生していないということのようだ。その上で、次のように想いの丈を述べられているのだが、スラッシュドットの諸兄はどのように思われるだろうか。
- 年に1回も起きないことに関してセキュリティ投資をする価値があるのか?
- “技術的に可能”なことがそのまま現実に起こるのか?
- XSSの脆弱性のためだけにシステムの再構築する必要があるのか?
- この問題で株価が下がることなんてあるのか?
- やられてしまったら営業担当者1人に謝罪にいかせた方が安いんじゃないのか?
こんな年に何回も起こらないようなことに… (スコア:4, 興味深い)
いざことが起きたら「なぜなにもしなかったんだ!」と言い出すのがたくさんいて困る
Re:こんな年に何回も起こらないようなことに… (スコア:1)
議事録を出して意味があれば、きっと元コメの人も苦労しなかったのではないかと、思うのわけですが。
Re:こんな年に何回も起こらないようなことに… (スコア:1)
議事録もレビューしないと、ミスタイプ(「じぞ」)が防げませんね。
個人的なイメージというか願望 (スコア:3, おもしろおかしい)
高木先生ってって美人局の脆弱性とかにひっかかりそう。
ひっかかって欲しい。
脆弱性の指摘は正論だから批判すると「意識がなってない」とか鬼の首を取ったように言われるけど、
そんな人には「100台あるサーバのパスワード、全部違うものにしておいたぜ!32文字以上でな!」
と言ってあげたい。
Re:個人的なイメージというか願望 (スコア:2, おもしろおかしい)
>高木先生ってって美人局の脆弱性とかにひっかかりそう。
>ひっかかって欲しい。
もう引っかかってるそうですよ!
HiromitsuTakagi 最近立て続けにふたりの女子にやろうよとねだられたので始めることにした。 2008/12/23 [hatena.ne.jp]
ちんこもげろ
Re:個人的なイメージというか願望 (スコア:1, すばらしい洞察)
まぁ彼は出る杭をたたくのが仕事ですから。
あ、Script Kidy の代表である旧名 Office も、他人のミスをあげつらうだけ。という点では同等同質。
Re:個人的なイメージというか願望 (スコア:1, すばらしい洞察)
今回の「危ないか?」という問いは、脆弱性を知った上で無視するかしないかを判断しましょう、という経営上危ないか否かの問題であって、
イチイチ指摘するほど危ないことなのか?という問題ではないです。
鬼の首とか関係ありません。
Re:個人的なイメージというか願望 (スコア:1)
リスクマネジメントってそういう事なんだよな。
責任(賠償に応じたり重役クラスの馘首とかな)を
取れるところが、「費用対効果と打撃時の責任
甘受を首脳部に持たせる」ということなんだよね。
1円の損害があるので、10億かけます...馬鹿か?
10億円の損害がありえるので10億円かけましょう..
これも馬鹿なんだよね。
Re:個人的なイメージというか願望 (スコア:1)
どうして被害を想定してそれに見合う事をするってのが
「結局バレなきゃいいって」ことになるのかなぁ?
もしかして、被害に見合った対策とりたくないので、
「結局バレなきゃいいって」ことでやっているわけですか?
Re:個人的なイメージというか願望 (スコア:1)
> そんな人には「100台あるサーバのパスワード、全部違うものにしておいたぜ!32文字以上でな!」
> と言ってあげたい。
140台ありますが全部別です。そしてパスワードの有効期限は 180 日以内。
というか全部違うものにするだろ常識的に考えて…
# 全部覚えろとかいう話だったら速攻で辞職願を書くが、大抵は何らかの形で台帳管理するしなあ。
Re:個人的なイメージというか願望 (スコア:2, 興味深い)
台帳の実体が「パスワードが書かれた紙が挟まってるバインダーファイル1冊」とかだったら、そりゃまあ意味ないです。
もうちょっと違う方法ですよっと。
# これ以上はIDでは書けんw
Re: (スコア:0)
32文字以上はアレだけど、普通サーバのパスワードは全部違うよね?
パスワードジェネレータで作った奴で。
でもXSSは株価に影響しないからいいのだって判断は、セキュリティの専門家かつ
高度な経営判断を下せる立場の人間のみが下せるわけから、オレは一生関係しそうにないな。
Re: (スコア:0)
HTTP Mutual Access Authentication がそれを解決します [aist.go.jp] という話ですか?
Re:個人的なイメージというか願望 (スコア:1, おもしろおかしい)
高木先生は一騎当千ということか...
セキュリティに限った話じゃないよね (スコア:2, 興味深い)
過剰品質を求めるのは、良くも悪くも日本の特質の一つ。それが日本の良い点でもあるので、簡単に否定してしまうのはどうかと思う。そのために多くのコストが浪費されているのは、確かに無視できない問題だけどね。コストと品質で何処でバランスをとるのか再考すべきってのは同意。IT関連はそのあたりのコンセンサスが取れていないように思うし。
Re:セキュリティに限った話じゃないよね (スコア:2, すばらしい洞察)
海外では丈夫で長持ちが日本製品の良さとして見られていますが
考えてみれば公称10年の耐久期間のものが、それこそ過剰品質によって20年もつとかなんですよね。
形あるモノなら、元が高くてもセカンドハンド、サードハンドで活きるという意味でそれでもいいんですが
モノづくりとちがってトータルソリューションとかサービスとか中古に行かないし、国内では過剰品質のものが好まれるし。国際的に勝負できるソフトウェア産業が育たないというのはそういうことなのかもしれませんね。
# 日本のOSSの奇妙さ(翻訳が完璧でないと使わない人がいる、i18n版から独立した日本語版が派生する)や、
# /.Jのストーリーの内容はさておき「てにをは」にツッコむコメントや、
# ソフトウェアアップデートに対する「未完成品売るんじゃない」なんて批判も一部は過剰品質か...
企業側のコストと利用者のコスト (スコア:2)
意図せずそういう予告を書き込むことになってしまった人が
警察に逮捕拘留される可能性があるわけですが
そういう場合も担当者が出てきて「ごめんね」で済むのでしょうか?
法的にWebアプリ運営企業側がそういう人たちへの救済コストを
支払わないといけないものなのかどうか分からないので。
もし企業側にそういうコストが発生せずお金を出さなくて済む場合でも
利用者側はもう二度とそのサイトには近づかなくなるでしょう。
ゲートウェイ理論 (スコア:2, おもしろおかしい)
みんな:そうだったのかー
コンサル業者A(元ほーむぺーじ制作会社社長):そうだったのかー
コンサル業者A:セキュリティ対策って大抵あまり必要じゃないんですよ。これは値段を吊り上げる為で、例えばXSS...
コンサル業者A:SQLインジェクション対策もあまり必要じゃないんですよ
社長:ソウダッタノカー
...を想像してしまった。
少し、頭冷やそっか (スコア:2, すばらしい洞察)
>年に1回も起きないことに関してセキュリティ投資をする価値があるのか?
例え話はあまり持ち出したくないけど、地震災害なんて一生に一度も遭わない人だっているかもしれないのに
みんな耐震補強された家に住んでるし、自動車保険だって一生無事故だったらまったくの無駄になってしまうのに
みんなちゃんと入ってます。
>“技術的に可能”なことがそのまま現実に起こるのか?
確率論で言うなら「技術的に不可能なことが現実に起きる」確率よりは「技術的に可能なことが現実に起きる」
確率のほうが高いでしょう。
あとはそういうのを起こそうとする人がいるかいないかの問題。
>XSSの脆弱性のためだけにシステムの再構築する必要があるのか?
重大なインシデントを引き起こす可能性がある以上、必要でしょう。
>この問題で株価が下がることなんてあるのか?
>やられてしまったら営業担当者1人に謝罪にいかせた方が安いんじゃないのか?
やられてしまったら営業が謝って済むレベルじゃなくなってると思われ。
#面倒くさがって対策をとらないことが一番の敵
Re:少し、頭冷やそっか (スコア:2)
地震くらって死んだ会社がありましたねぇ。
そう、SANYOとか。
# それだけじゃないんだろうけど
Re:少し、頭冷やそっか (スコア:1, すばらしい洞察)
あまり例え話がうまくないですね。
耐震補強も自動車保険も、何かあった場合の損害が大きすぎるから入ってるのであって、
逆に今回の件は「(実際にどうかはともかく)何かあっても大したことないからいらない」と言ってるわけで。
大きな地震があっても人は死なない家も壊れない、事故っても金払う心配はない、という前提ならそりゃ誰も対策しませんよ。
Re:少し、頭冷やそっか (スコア:1)
たとえ話にするなら、蒟蒻畑より危険な食べ物がちょうどいいのでは?
モチやパンなどその他普通に食べても多数の死者を出している食品は多々あるのに、
たまたま普通じゃない食べ方で死者が出た蒟蒻畑だけをマスゴミ総出でバッシングして行政まで動いて製造中止・製法変更に追い込んだ。
これは異常ではありませんか?
リスク管理というなら蒟蒻畑よりも危険度が格段に大きなモチやパンへの対策を優先するべきで、
労力や予算はそっちに回したほうがいい。
こういう話でしょう?
ψアレゲな事を真面目にやることこそアレゲだと思う。
Re:少し、頭冷やそっか (スコア:1)
>XSS対策に傾注するとSQL対策が疎かになるなどという事実はない。
無限の予算と無限の人員があるのですか?うらやましい環境ですねw
私の勤務先にも会社の客先にも、そんな余裕があるところはありませんね。
>XSSでバッシングで「製造中止・製法変更」に類する状態に追い込まれたなどという事実はない。
たとえ話というものが理解できないのですか?
元ソースで言われていることとしては、「リスクに見合わないほど潔癖なまでの過剰な対策を求めること」が問題なのですよ?
「リスクに見合わないほど潔癖なまでの過剰な対策を求められた」事例としての蒟蒻畑なのに、
「製造中止・製法変更に類する状態」と条件を限定するなんて、「たとえ話」という観念が理解できていないのではありませんか?
たとえ話もストーリー本文も元ソースも読まないならコメントしないでくださいね。
ψアレゲな事を真面目にやることこそアレゲだと思う。
客よ、目くじら立てるなって事? (スコア:1)
コストと期待値を比較評価したと言う論拠を顧客に突きつければ説得出来そうな気がするんですが、 現実にはそんなことはなく、原理主義者とか原理主義者に煽られてその気になってる素人が多すぎる、っちゅうことでしょうか?
素人考えですが、説得は諦めて、「○○の被害が起きたら賠償金いくら」ぐらいまで契約に盛り込んでおいて、 どこまでのセキュリティー対策をやるのかを完全にベンダ側の裁量にしてしまうとか?
Re:客よ、目くじら立てるなって事? (スコア:2, 参考になる)
# ここにぶら下げてみる
原文を見る限り、別に「XSSなんて全く対策しなくてよろしい」って言っている訳じゃ無いんですよね。
XSSが致命的な問題を引き起こすような場所については、ちゃんと対策はすべきだと言ってますし、
そうではない場所については、それらに応じた対処の優先順序があるだろうということかと。
# 親コメントの方の言うとおり、損害と利益を天秤にかけてということになるでしょう。
Re:客よ、目くじら立てるなって事? (スコア:1, 参考になる)
これが該当するものかと。
Re:客よ、目くじら立てるなって事? (スコア:1)
その時点で考えうるあらゆる脆弱性のパターンを列挙しろと? さすがに穿った見方すぎでしょう。
かけられるコストの範囲で考えたら XSS 程度そんなに優先度を高める必要はないが、場合によっては優先順位を高める必要がある、と言っているだけでしょう。
掲示板や日記は普通の人にも分かりやすい「サーバにデータを登録するパターン」として挙げているだけにしか見えませんよ。
バランスを考えて対応しろと言っているのに、他の深刻な脆弱性はどうでもいいと判断できる意味がわかりません。
Re:客よ、目くじら立てるなって事? (スコア:2, 興味深い)
それは実際に行っている業務中のレポートにあれば十分であり、こんな Web 中の記事内に想定されるあらゆる脆弱性のパターンを列挙する、なんてのはただの馬鹿です。
LAC は別にサイト構築を一手に引き受けているような企業じゃありませんけど。
検証するアプリがどういった情報を取り扱い、該当アプリに脆弱性があった場合にどれだけの問題が発生するかを設計しているのは検査を依頼する側の会社がやることでしょう。
一律に XSS は大したことがないと言っているのではなく、XSS 脆弱性があるからこれは常に大問題だと考える事はプライオリティが全く理解できていないのではないかと啓蒙しているだけでしょう。
長くなりすぎる上に「普通分かるだろ……」と思ったので前コメントには書きませんでしたが、たかが掲示板であると言っても「ゲーム会社 (例えばコーエーとか) が運営する、ユーザ情報と連携した掲示板」や「mixi のコミュニティ機能」なんかは個人情報に繋がる可能性があります。
こうした「掲示板」ではそこらに転がってる掲示板スクリプト (mini BBS とかでもいいですか) 等と比較すると脆弱性があった場合の問題レベルが全く異なる事は容易に想像できます。
そういった事を全く想像できない時点で想像力が足りないのではないでしょうか。
Re:客よ、目くじら立てるなって事? (スコア:1)
読解力も想像力も欠如し、書かれている内容の表面だけをさらっと見てそれが全てだと思いこむような人ばかりであればそうなのでしょうね。
あらゆる場合において XSS は非常に危険で何をおいても対応しなければならないような問題であると考える必要はない、としか書いていないように思えますが。
豪快に勘違いしていませんか? 元コメントで言っているのは以下の通り。
LAC は別にサイト構築する段階から関わり、情報設計や影響範囲までを「設計」しているようなトコじゃない、と言っているのですが。
問題が起きたら (スコア:1, すばらしい洞察)
速攻取引やめるわ
考えることを促すことは,必要でしょう (スコア:1, 興味深い)
株価を下げるようなXSS関係の事故を,頻繁に発生させることも,“技術的に可能”ではあるわけで,
「こういう事故もありうると解かってはいたが今までなかったから投資しなかったのです」という説明を,
いざ事故が起きた後で誰か1人に言わせるだけで済むのかどうか,
という問題ですよね。
株主や銀行へ説明する役目の人(たぶん営業担当者じゃないでしょう)が,
その場面を思い浮かべながら,それぞれで,考えておくべき問題だと思います。
えーと (スコア:1, 興味深い)
強盗=つかまる
っていうのは、基本的にわかってるけど
XSS=つかまる
って、思ってないと思うんだよね(つーかネットならなんでも比較的ばれないと思ってる)。
今回の犯罪予告も基本こんなのでつかまんねーだろって思ってるから次々つかまるし。
要は、本来犯罪の抑制があれば気にしなくていい対策をさせられてるんじゃないかな。。。
その理屈でいくと (スコア:1)
Re:その理屈でいくと (スコア:3, すばらしい洞察)
自動車保険のアナロジでXSS脆弱性保険を考えてみると、 まずシステムを査定して金額を決めます。 軽度な脆弱性が残ってる場合にはそれに応じた金額になって、 「このシステムの場合、月に○○万円払って貰えれば、 被害が生じたときに××万円の損害補填をします」みたいな(運転履歴で自動車の保険料が変わるような感じ)。
で、「穴を埋めるコストより、こっちの保険の方が安いですよ」と営業するわけです。
で、著者が嘆いているのは、どんな細かい危険に対しても保険料∞に設定されちゃってる現状。
# 個人的に「絶対の安全性!」の類を経済的に妥当な落とし所に持ってく仕事は
# 保険屋がやるのがベストだと過信してます
いまさらながら、、、 (スコア:1)
結論はこう (スコア:1, 興味深い)
元記事 [atmarkit.co.jp]の結びはこうなってる。
なるほど、このセキュリティエバンジェリストの言うことを真に受けていると(XSSを放置してSQLの対策が進む)、そのうち攻撃の対象がXSS脆弱性に移っていって被害が出始める、ということですね。わかります。
ISMSでやれよ (スコア:1)
答えとして (スコア:1)
「セキュリティ対策どうなってますか?XSSとか?」
に答えるために対策してます。
そんな記事に釣られないクマー(AA略) (スコア:1)
当然ながら費用対効果の問題でしょう (スコア:0)
リスクアセスメントして、受容ってのもアリ。
Re:当然ながら費用対効果の問題でしょう (スコア:1, すばらしい洞察)
評価しないで受容というのがLACスタイルなら、私はLACにはもう仕事を頼みません。
XSSってそんなに騒がれてるっけ? (スコア:0)
SQLインジェクションですら、既存のサービスに危険性があるかどうか碌に
検証されていないとしか思えないのだけれど。
Re: (スコア:0)
トーストは、バターを塗った面を下にして落ちる。 (スコア:0)
マーフィーが教えてくれた。
Re:トーストは、バターを塗った面を下にして落ちる。 (スコア:2, 参考になる)
反対側に猫を付ければ地面に落ちなくなりますよ。 [uncyclopedia.info]
◆IZUMI162i6 [mailto]
あらゆるリスクを0にすることは不可能なわけで (スコア:3, 興味深い)
そもそも日本に於いてはリスクが0にならないということを認識してる人があまりに少なすぎるんではないかと。
弊社でも「あらゆる状況を想定してリスク対策を取れ」なんて命令が下されたことがあって、私から見たらどうでも良いところに結構なコストをかけてましたが。
それこそ「頻度×賠償費用立場が変われば、コストの見方も変わる
は誠にその通りと思いますが、つまりは全社的な方針として打ち出すべき/なにかあった時は賠償に応じます、というところまで含めて見積るのが適正でしょうね。
あらゆる既知のセキュリティホールを塞いで3重にバックアップも取って、しかし災害ですべて失われた……なんて可能性だって考えられますが、「そんなこともあろうかと世界12箇所にデータセンターを作って相互にバックアップする体制を構築」なんてしようものならどれだけのコストがかかることか。
ちょっと出典を失念してしまったんですが、某自動車修理工場には斯様な文章が挙げられていたそうで:
「早い、安い、丁寧。お客様はこのうち2つまでお選び頂けます」
何を優先し、何を捨てるか。すべてはバランスの問題ですよね。
Re:あらゆるリスクを0にすることは不可能なわけで (スコア:2, すばらしい洞察)
>あらゆる状況を想定してリスク対策を取れ
あらゆる状況を想定した結果、この案件をお断りすることにしました。
っていう選択の自由があれば楽なんだけどね。
金・時間・能力のバランスが取れていない仕事ってのが一番のリスクだと思うんだけど。
Re:あらゆるリスクを0にすることは不可能なわけで (スコア:1, すばらしい洞察)
そんな結論をいきなり持ち込むからいけないんじゃないかなー。
リスク対策A:100万円 納期1ヶ月後
リスク対策B:1千万円 納期半年後
リスク対策C:1億円 納期1年後
みたいにオプション突きつけてやればいいんじゃね?w
対応範囲を明確にした上で。
選ぶのはあくまでクライアント。
Re:あらゆるリスクを0にすることは不可能なわけで (スコア:1)
社内の話として考えていましたので、クライアント向けの話であれば、そのように話されるのがいいかと思います。
あと、「受注後の仕様変更につきましては・・・」っていう話をするのも大事です。
Re:あなたならどんな攻撃しますか? (スコア:2, 参考になる)
Web埋め込みで可能性が高いのは、ウィルス/ワームの感染用のスクリプトにリンクって
やつじゃないですかね?
もっともユーザ側の対策も可能で、noscript [mozilla.org]とかでIFRAMEを禁止してれば
大抵この手のやつにも感染する可能性はかなり減ります
さらにpeerguardian [google.co.jp]とかも入れて想定外のサイトへのアクセスを
ブロックするの対策のひとつ
まぁサーバー側でちゃんと対策してくれれば、本当はそれが一番なんでしょうけどねぇ~