| 小 | 中 | 大 | 崩壊 | English | はてブでコメント | Twitterでコメント |
プロの脆弱性対策
脆弱性対策には2種類あります。
「脆弱性を無くすように対策すること」と「脆弱性が発見されて被害が出た場合に、炎上しないように対策すること」の2つです。
スピンドクターと脆弱性関連情報 | 水無月ばけらのえび日記には、脆弱性を表に出さないための標準メソッドが書かれていました。
・できるかぎりスルーし、事実を表に出さない一般の利用者に気づかれないようにすることと、気づかれた場合には「悪質なハッカーにやられてしまったのなら仕方ないです。管理者さん頑張ってください」という気持ちにユーザーを誘導することが、プロの脆弱性対策のようです。
・スルーしきれなかった場合は控えめにアナウンスし、実害がないor少ないことを強調する。外部からの指摘だったことは極力隠し、運営者が自ら発見したかのような印象を与えるように努める
・被害の発生を認めざるを得ない場合は正直に報告するが、自分も被害者であるということを強調する。通常の手段では防げない高度な攻撃であったという印象を与え、被害を受けても仕方なかったという印象を与えるように努める
Amebaなうやセブンネットショッピングの件を見ていても、似たような対策が取られていました。
脆弱性は「ぜいじゃくせい」と読み、「傷つけられやすいこと」を意味しています。傷つけられないように自己防衛するのは構いませんが、そのせいでより被害を大きくしてしまうことだけは避けてもらいたいものですね。
関連リンク
- 情報処理推進機構:情報セキュリティ:脆弱性関連情報の取扱い:ウェブサイトのセキュリティ対策の再確認を 〜脆弱性対策のチェックポイント〜
- 情報処理推進機構:情報セキュリティ:脆弱性関連情報の取扱い:知っていますか?脆弱性 (ぜいじゃくせい)
- 例えば、PHPを避ける
- 脆弱性【ぜいじゃくせい】の意味 国語辞典 - goo辞書
- きじゃくせい - 裏IT用語辞典 - livedoor Wiki(ウィキ)
←一つ前の記事へ