2016年05月15日

◆ 日本のセキュリティホール

 日本の企業や団体では、コンピュータのネット接続で、セキュリティがずさんだ。それについての情報の紹介。

 ──

 本項では、二つの情報を紹介する。

 (1) 脆弱性報告サイト WooYun

 脆弱性を見つけて、攻撃する……というのが、よくある話だ。
 それとは逆に、「脆弱性を見つけて、報告する」というサイトがある。単に報告するだけでは、脆弱性が放置されそうなので、「一定期間後に公開する」というふうにする。公開後は、悪意ある人々から攻撃を受けてしまうので、否応なく、修正を迫られる。
 これは、読売新聞・朝刊 2016-05-15 の記事だ。ネットには一部が読める。
  → 中国ハッカー、穴のあるサイト公表…日本関連も
 そのまた一部を抜粋しよう。
 中国のハッカーサイトが今年2月以降、セキュリティーに穴(脆弱性)のある日本の公的機関や企業のサイト名100件以上を公表していることがわかった。
 「公表されるとかえって攻撃者に狙われる」と関係者は困惑するが、危険を表面化させない日本の対応が大量の脆弱性放置につながっているとの指摘もある。
 公表しているのは、中国のセキュリティー専門家らが運営する脆弱性報告サイト「WooYun」。ハッカーらが脆弱性を見つけて投稿し、一定の猶予期限が過ぎると、脆弱性が修正されてもされなくても、サイトに詳細が掲載される仕組みだ。

 紙の記事には、「公開しないで、こっそり教えてくれるだけにしてくれればいいのに」という会社側の話も掲載されているが、何を虫のいいことを言っているんだ。修正する時間は与えられているのだから、修正は可能だ。なのに、「公開するな」と言うのは、「公開しなければ、修正しないで済んだのに」ということだろう。呆れる。
 そこまでセキュリティ意識が希薄なんだか。

 (2) 穴ふさぎの技術者

 穴ふさぎの技術者は、とても高度な技術が要求されることが多いので、日本にはあまり多くいない、と言われていた。しかし、そのうちの一人が、顔出ししてくれた。
  → NHK「プロフェッショナル仕事の流儀」の要約

 本人が身バレゆえの危険を顧みずに正体を明かしたのは、日本の現状を憂慮してのことらしい。彼一人ではとても対策がしきれないのだが、穴ふさぎの技術者を要請する体制がなくて、全然技術者不足になっているらしい。
 これを見ると、「1時間でやってくれ」というような要求を突きつけられている。なぜか? セキュリティの程度(仕事の完結)よりも時間を優先するのはなぜか? どうやら、払える人件費に限度があるせいらしい。たぶん、1件につき、5000円ぐらいしか払わないのだろう。呆れる。

 本来ならば、セキュリティのためには、高度な技術者を高級で雇うべきだ。そうすれば、あちこちから最優秀の技術者が集まって、日本のセキュリティ体制は万全となるはずだ。
 ところが実際には、最重要の点でも、1件につき、5000円ぐらいしか払うつもりはないようだ。これじゃ、穴だらけになるのは、当然だろう。



 [ 付記 ]
 基本的には、「セキュリティを各企業や各官庁が個別に対策する」という方針が、根本的に駄目だ。
 官公庁ならば、(個別でなく)全組織を一括してメンテをするべきだ。そのために、メンテをする機関を新設するといい。たとえば、「情報管理省」みたいなのを新設する。その機関が、全省庁のネット業務のメンテをする。
 現状では、各組織の下の方に、「情報管理者」というのがぶら下がっている。これでは、バラバラに小部門が対応しているだけだから、当然ながら、穴だらけになるだろう。また、対策は個別になされるから、同じ対策をあちこちで重複する形で発注することになる。同じ対策を別々の業者に発注することもあるだろう。馬鹿げていますね。

 セキュリティより、頭に穴があいているようだ。ブレイン・ホール。……いや、 asshole かも。

posted by 管理人 at 23:36| Comment(0) | その他 | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント: