2014年のステークカジノ ルーレット動向 「ステークカジノ ルーレット格差社会」における企業のサイト構築と運営

2014年05月29日

ステークカジノ ルーレット

「格差社会」ステークカジノ ルーレット単語が使われるようになって久しいが、インターネットセキュリティの世界においても格差が広がり続けているステークカジノ ルーレット。その「セキュリティ格差社会」の現状と企業としてどのように対応すべきなのかを、KCCS プロダクトサービス事業本部 技術顧問 徳丸 浩氏とセキュリティ営業統括部 セキュリティ営業部 部長 大嶋 茂雄氏に伺った。

近年のステークカジノ ルーレットリスクと「ステークカジノ ルーレット格差社会」の現状とは

Q
最近はOpenSSLやApache Strutsのステークカジノ ルーレットなどを狙った攻撃が話題です
A

(徳丸)OpenSSLのHeartbleed脆弱性ですが、大丈夫だろうと思われていたSSLに脆弱性があって証明書を取られてしまう可能性も出てきたステークカジノ ルーレットことになったので大変です。とはいえ実装のバグなので淡々と対応するしかなく、大騒ぎするのもどうかと思っています。

Apache Strutsに関しては特にStruts1のステークカジノ ルーレットが問題です。Struts1はすでにサポートが終了していますが、Struts1とStruts2は互換性があるとは言えず、移行が難しいのです。Struts2の方にも深刻なステークカジノ ルーレットがかなりあり、実際の攻撃も多く行われています。

また最近ではステークカジノ ルーレット発覚から攻撃が始まるまでの期間がだんだん短くなってきており、素早い対処が求められるようになったのが最近の傾向かと思います。

プロダクトサービス事業本部 技術顧問 徳丸 浩

Q
そのほかに現在気になる攻撃はありますか?
A

(大嶋)3月から4月くらいにかけて、パスワードリスト攻撃やFilesManのようなバックドアを打ち込まれた事例があり、昨年流行っていた攻撃がまだ継続しているステークカジノ ルーレットのが傾向としてあります。

お客様からはパスワードリスト攻撃にサイトを対応させたいが、ユーザビリティを損なわずに短期間で対策したいと相談されることが多いです。簡単に二要素認証がよいステークカジノ ルーレットっても、それだと利用者が離れてしまう可能性があります。

そこでWAFを使ってパスワードリスト攻撃を緩和するステークカジノ ルーレットニーズが結構あります。WAFでCAPTCHA認証を後からサイトに追加することができるので、パスワードリスト攻撃を受けたときにはCAPTCHA認証で緩和しようステークカジノ ルーレットやり方です。あとはWAFを使ってIPのレピュテーションを行い、海外のIPアドレスからのアクセスはブロックするステークカジノ ルーレット対応が多く出てきています。

ステークカジノ ルーレット営業統括部 ステークカジノ ルーレット営業部 部長 大嶋 茂雄

  • CAPTCHA認証: ステークカジノ ルーレットのID・PW入力前後に人間が画面を見て考えないと判断ができない画像に書かれている文字を入力させる機能
Q
パスワードリスト攻撃以外には
A
(徳丸)パスワードリスト攻撃以外ではフィッシングも続いています。フィッシングだとフィッシングサイトをどこかに立てないステークカジノ ルーレットけないのですが、今は世界中で見張っていて、ブラウザ側も警告を出すようになりました。そこで今はマルウェアによる攻撃に変わってきています。オンラインバンキングに接続した時に、「乱数表の番号を入れてください」ステークカジノ ルーレットった偽画面をマルウェアが出すようになっているのです。しかしマルウェアはサイトの方ではどうしようもありません。
Q
結局は利用者に対策してもらうしかないのでしょうか?
A

(徳丸)でも、サイト運営者の立場ではそうとも言っていられないですよね。また利用者にも格差の問題があって、大半はあまりよい運用はできてないステークカジノ ルーレットのが現状です。パスワードの使い回しもまだまだ多そうです。セキュリティの世界にいると、どうしても理想的な世界を追い求めてしまいますが、私は2008年くらいから「セキュリティ格差社会」ステークカジノ ルーレット言葉を使い出したんです。すごく安全に使っていてもゼロデイが心配だねステークカジノ ルーレットような人もいれば、逆に気にせずソフトウエアを全然更新していないような人も多いステークカジノ ルーレットことです。

パスワードリスト攻撃はセキュリティ格差が生んだ攻撃ステークカジノ ルーレット見方もあります。セキュリティレベルの低いところからIDとパスワードを盗んで、セキュリティの強固なところにそれを使う。サイトのセキュリティは強固だけど、両者のIDとパスワードの問題なので被害に遭ってしまうステークカジノ ルーレットわけです。

でも利用者のリテラシーが急に向上するとは考えにくいので、こういうものだとある程度受け入れてやるしかないと思っています。サイトの運営者が頑張って対策するしかないステークカジノ ルーレットのが浮き彫りになったのはこの1年くらいではないでしょうか。
Webサイトの格差もそうで、ちゃんと対策しているステークカジノ ルーレット企業がある一方でSQLインジェクションが普通にあるサイトもたくさんあり、その辺の格差は課題ですよね。

(大嶋)セキュリティ格差社会の話でいうと、セキュリティレベルの高い企業は海外や子会社などセキュリティ対策をしっかりやりましょうと投資を増やしている傾向にあります。一方、セキュリティレベルの低い企業はあまり変化が見られません。逆に被害を受けたからどうしましょうと駆け込んできて、現状分析ではなく、サイトを停止させずに公開したいから何か使える防御製品はない?ステークカジノ ルーレットような相談はかなり多かったですね。

ステークカジノ ルーレット格差解消のカギは「脆弱性診断」

Q
企業としてはどのような心構えでステークカジノ ルーレットを運営すればいいのでしょうか?
A

(徳丸)企業の場合は何かしらのビジネス的な目的があってWebサイトなどを公開していますから、安全なサイトにするステークカジノ ルーレット責務は生じます。個人情報がないからステークカジノ ルーレット言い訳をよく聞くのですが、サイトが改ざんされてそこを見た人がウイルスに感染するステークカジノ ルーレットことは割とよくある話で、それは避けないといけません。

例えば、サイト運営者だけど開発はSIベンダなどの他社に依頼をしている、ステークカジノ ルーレット構図で考えると、サイト運営者側には防衛策をもう少し講じて欲しいステークカジノ ルーレット思いがあります。それはちゃんと発注時に仕様を出しましょう、受け入れ時には診断をしましょう。そして、そこで出てきた問題を分析して、改善しましょうステークカジノ ルーレットことです。

ステークカジノ ルーレットのは、後から対策するステークカジノ ルーレットのはお金が余計にかかってしまうからです。最初からやれば1で済んでいたのが、後からやったら10かかってしまうことが普通にありますので、例えば、発注時にセキュリティの仕様をちゃんと出しておけば、それなりによいものができるはずですし、脆弱性が見つかってもそれは仕様に書いてあるから無料で直してもらうステークカジノ ルーレットことがやりやすいわけです。

けれど実はこれがなかなか難しい問題なのです。現実問題として、発注時のセキュリティ仕様をきちんと書いてないと、それは仕様書に書いてません、ステークカジノ ルーレットことになりかねないからです。だから事前に仕様についてはきちんとやっていただきたいですね。

それと少しお金はかかりますが、サイト公開前の脆弱性診断はやはり行ってほしいです。受け入れテストみたいな感じですね。実は2008年くらいからセキュリティの格差が出てきたステークカジノ ルーレットのは、企業によって改善しているかどうかの違いが出てきたからです。

SQLインジェクション攻撃が多発し始めたのは2005年で、その頃は脆弱性診断を行うと、格差なくSQLインジェクションなどが見つかりました。まんべんなく悪かったのです。ところがその頃から学習や改善を重ねた企業は、2008年くらいの段階でSQLインジェクションなんかない、ステークカジノ ルーレット状況になりました。このような格差が広がってきたのが2008年です。3年の間に格差が広がったわけです。

でもセキュリティレベルの低い企業でも今からでも遅くない、諦めないで2005年から2008年に先進的な企業がやり始めたことを今からでもやりませんか、ステークカジノ ルーレット提案ですね。最初は、またSQLインジェクションが出たよ、みたいなレベルでも良いので、そこから改善を続けることでだんだんセキュリティレベルの高いところにいけるのではないかと思います。

またセキュリティレベルの高い企業はもう対策不要か、ステークカジノ ルーレットとそうではありません。新しい脅威はどんどん増えていますし、サイト自体も増えていますので、対策は淡々とやっていかなければいけません。今、セキュリティレベルの低いところにいるステークカジノ ルーレット企業は、ぜひ高いところを目指していただきたいです。

(大嶋)最初にも言ったのですが、昨年流行った攻撃が今年も継続して起きているのは実際のお客様を見ても明らかで、特定の攻撃に対して対策をしていても安全ではないと思っています。全体的なリスクを把握するのがまず重要です。そのためにはやはり脆弱性診断を行いませんか、ステークカジノ ルーレットことだと思います。

対談の様子

ステークカジノ ルーレット サービスイメージ

インタビュアープロフィール

山本 洋介山(やまもと ようすけざん・@yousukezan)

@IT、ScanNetSecurityなどの媒体でステークカジノ ルーレット関連の記事を執筆、twitterステークカジノ ルーレットネタまとめ(http://twitmatome.bogus.jp/)、ブログを日々更新する傍ら、WebサイトやWebアプリケーションなどの脆弱性検査も行う。

取材時期: 2014年5月

掲載されている情報は、発表日現在の情報です。最新の情報と異なる場合がありますのでご了承ください。