▼Webサイトの脆弱性を発見したら
誰かがWebサイトの脆弱性を発見した時に、Webサイトの作成者にどのように連絡すればよいのでしょうか?
報告先が分からなければ報告されず脆弱性がそのまま放置されてしまいます。そんな問題に対して、発見者が脆弱性等の報告をするための情報をWebサイトの作成者が提供できるようにする仕様「security.txt」がIETFに提出されています。
https://tools.ietf.org/html/draft-foudil-securitytxt-00
▼Webサイトの脆弱性を発見したら
誰かがWebサイトの脆弱性を発見した時に、Webサイトの作成者にどのように連絡すればよいのでしょうか?
報告先が分からなければ報告されず脆弱性がそのまま放置されてしまいます。そんな問題に対して、発見者が脆弱性等の報告をするための情報をWebサイトの作成者が提供できるようにする仕様「security.txt」がIETFに提出されています。
https://tools.ietf.org/html/draft-foudil-securitytxt-00
▼突然ですがエストニア
突然ですが、エストニアがどこにあるかご存知ですか?
ロシアの西、フィンランドの南に位置しています。エストニアは、北ヨーロッパの共和国で、バルト3国の1つ。EUとNATOに加盟しており、通貨はユーロ、人口約130万人で、首都はタリンです。公用語はエストニア語。英語や他の言語を話せる国民も多いそうです。
日本ではいわゆるマイナンバー法が制定される前に、国民の番号制度を中心に社会全体でITを活用している先進的な電子国家としてエストニアが度々引き合いに出されていました。
今回はエストニアをちょっと身近に感じていただけるような内容をお伝えしたいと思います。
▼オートコンプリートはダメって言うけど
オートコンプリート(入力フォームでIDやパスワードが自動的に入力される機能)って便利ですよね。何種類もパスワードを頭で覚えるのは大変だから自動的に入力されると嬉しいです。
しかし、このオートコンプリートを使うのはセキュリティ的に良くないという言説があります。社内のセキュリティ部門の人からオートコンプリートがONになっていることを指摘された人もいるでしょう。
オートコンプリートはなぜダメだと言われているのでしょうか?本当にダメなのでしょうか?検証していきたいと思います。
▼クライシス管理とリスク管理
『子どもは「この場所」で襲われる』(小宮信夫 著)という本にこんな一節がありました。
「車にぶつかったときにはこうやって受け身を取りなさい」というのがクライシス管理です。一方、「こういう角ではあなたのことが運転手からは見えにくいので気をつけなさいね」というのがリスク管理です。
情報セキュリティ分野でも事故を未然に防ぐことが大事です(それは非常に難しいのですが)から、クライシス管理とリスク管理ははっきり区別したいものです。
▼財布に何を入れていますか?
財布って便利ですよね。財布があればお金が散らばりません。電子マネーが普及してキャッシュレス・財布レスが進む世の中ではありますが、財布を持っていない人は少数派だと思います。
現金をジップロックに入れている人もいますが、そういう人はジップロックが財布ですね。たまに財布を持たずにポケットに入れている人もいます。そういう人は着替える度にお金をジャラジャラ移動させないといけなくて不便だと思います。財布があれば、日常的に使う程度の現金をまとめて持ち運べるようになります。
たいていの財布には紙幣や硬貨以外に、主にカード類を入れておく隙間があります。そこに何を入れていますか? 続きを読む
▼タクシーのタダ乗りの仕方
先日、国交省が「タクシー相乗りサービス」の実証実験を開始するというニュースを目にしました。
このニュースで筆者が思い出したのは、昨年旅行したインドです。筆者がインドでタクシー(「リクシャ」と呼ばれる三輪自動車)に乗った時は、目的地に着くまでの間に知らないインド人が勝手に乗り込んできて途中まで運転手の横に座っていたり、少年が交通量の多い道路を渡るために一時的に乗ってきたりしました。もちろんタダ乗りです。
乗り込まれたからといって筆者が運賃を多く払うわけではないので「降りろ」と言うことはありませんでしたし、運転手も途中の乗り込みを断っていませんでした。日常茶飯事なのでしょう。インド人は自由だ、そして合理的だなと思ったものです。
▼「リークプレス」の謎
今年1月、三重県の地銀である三重銀行のニュースリリースが波紋を呼びました。
1月5日(木)、読売新聞が三重銀行と第三銀行が経営統合を検討しているという記事を朝刊に掲載しました。それを受けて、三重銀行は午前8時40分に「本日の報道について」というプレスリリースを発表し、経営統合に係る報道は同行が発表したものではないとコメントしました。
プレスリリースは、型通りの何の変哲もないコメントでした。問題となったのはリリースされた文書PDFのプロパティでした。文書プロパティを開くと、そのタイトルには、「リークプレス_201701xx_B(週明け報道)_v2」と書かれていたのです。
▼セキュリティをもっと身近に
やれマネジメントシステムだ、リスクアセスメントだ、やれなんちゃらフレームワークだ。なんのこっちゃではありませんか。ちっともピンとこないですね。身近じゃない。セキュリティをもっと身近にしましょう。
さて、結論から言います。セキュリティに限らず、何の仕事でも基本となる動作が大事ということです。仕事の基本動作というのは、偏った見方かもしれませんが、次のようなものです。
▼波紋を呼んだ再発防止策
天下り疑惑が取り沙汰されている文部科学省でメールの誤送信事故があったそうです。
松野博一文部科学大臣記者会見録(平成29年1月10日)
http://www.mext.go.jp/b_menu/daijin/detail/1381045.htm
1月4日夕刻、当省の人事課の職員が人事情報に係るメールを誤って省内の全職員に送信をしました
関係者限定の人事情報が省内全体に知れ渡ってしまったということで、さぞ混乱が生じていると思われます。巷では人事案に反対する職員が故意に全員にメールを送ったのではないかといった憶測が飛び交っていますが、何より事故の再発防止策が「メールの使用を禁止して紙に移行する」ということで波紋を呼びました。
▼セキュリティは品質
IPA(独立行政法人情報処理推進機構)は「安全なウェブサイトの作り方」という文書を公開しています。ウェブサイトの安全性はウェブサイトの品質の一部です。もう少し一般化しますと、製品のセキュリティは、製品の品質の一部です。
例えば、電化製品のメーカーは、製品が発火しないように設計して製造するはずです。消費者が間違った使い方をしない限り製品が発火しないということが、すなわち品質です。
今回は品質とセキュリティの関係について解説していきます。