今週のWeeklyCMSではImpressCMSコミュニティからセキュリティについての放送をした事で、そろそろCMSとセキュリティについて特集を組まなければならないと思い始めました。
最近の流れとして情報流出にフォーカスが来ていると思います。思い起こせば、前回のOpenID特集もオバマ大統領の新戦略「サイバースペースにおける認証済み身元情報のための国家戦略(National Strategy for Trusted Identities in Cyberspace 、NSTIC)」もそうですし、最近話題のソニーの情報流出もそうです。
ソニーの場合ゲーム機だから比較的安全と見られていたという記事を見かけますが、情報流出はゲーム機ではなく、サーバですから他のPCと何ら条件は変わりません。 ジョージ・ホッツ氏によるプレイステーション3のハッキングに端を発し、これを知的財産権侵害としてソニー側が訴えた事でPS3を自由に使いたいハッカー達を刺激した様です。当初はDDoS攻撃による抗議行動だった様ですが、米国匿名ハッカーが「SCEが(配信サービスの)PSNをどのように管理しているのか」についての詳細な情報(SCEによるユーザー行動の監視、クレジットカード情報のテキストファイル送信、収集情報のオンライン・サーバ 上の配置)が明らかになり今回の史上最大の情報流出を招いた様です。
元記事「ソニー、ハッカーとの暗闘 脆弱だった「プレステネット」 個人情報流出 ゲームジャーナリスト 新 清士」
ここからは私の雑感ですが、「プレステネット」自体の開発がセキュリティ専門家が関わらずにアウトソーシングで作られ、通り一遍等の脆弱性スキャナーに通って安心して運用していたという様な感じではないでしょうか。オーダー先はシリコンバレーで、開発の中心はインドや中国等で世界的なアウトソーシングかもしれません。報道される内容からするとパスワードが平文だったりクレジットカードもテキストファイルだったり、収集した情報がオンラインサーバ上に有ったりと開発者目線で「へっ!?」という事が沢山ありました。
今回の事を教訓とするなら、安易なアウトソーシングはかえって高く付くという事でしょうか。そうは言っても、アウトソーシングは無くならないので、認証や個人情報はやはりNSTICの様な方向で調整されていくと思います。
では 外部認証を導入すれば安全は確保されるでしょうか?答えはNOです。サーバにデータがあり、外部とのインターフェースを持てばそこにセキュリティホールが発生する可能性があります。
という事で、インターネットがインフラとなっている昨今、 IPA(独立行政法人情報処理推進機構)にご協力頂き、各CMSコミュニティと皆さんと一緒に WeeklyCMS としてのセキュリティ特集を今後考えて行きたいと思います。
0 件のコメント:
コメントを投稿