サイバーノーガード戦法の話をしたときに、ノーガードなサイトの見分け方についてもう少し突っこみます、と予告していましたので、いささか時間が経ってしまいましたがその続きを書いてみたいと思います。

 とはいえ、のっけから敗北宣言するようで申し訳ありませんが(笑)、いたるところで普通に目にするWebサイトのうちどれがノーガードか、というのを見分ける絶対的な基準はおそらく無いでしょう。体系化できるような手がかりも見つけられていませんので、バラバラとまとまりのないTIPSを並べることになりそうです。

 まあ、議論のためのたたき台ということで、始めてみましょう。

 まずひとつ、大々的に「しょぼい」Webサイトが挙げられるでしょうか。例えば、パッと見画像データが消えてるマークなど出てるとか、レイアウトが不自然だとか、そういう「見て分かる」サイトです。普通の感覚なら、こういう見た目からしょぼいサイトに大事な自分情報を提供したりはしないでしょうけどね。この着目点をもう少し拡大して、更新年月日やNEWS、TOPICなどの情報から、

・最後にメンテナンスされたのはいつか
・どのくらいの頻度で更新されているのか

を読み取って材料にする手はあるでしょう。もちろん、更新が頻繁なサイトがすべて良いというわけではありませんが、更新にそれだけのパワーを割いているということは、例えばIPAから脆弱性の報告がなされた場合の対応も(質はともかく)それなりに期待できるのではないでしょうか。

 関連して、Webアプリケーションの脆弱性について改修を行いました、という情報が公開されているサイトは、少し安心できそうです。経験上ということになりますが、特にある程度規模が大きいWebサイトでは、脆弱性をゼロにするというのは至難です。言い換えれば、多かれ少なかれ、どのWebサイトにも何らかのセキュリティ上の問題点が潜在している、と考える方が自然である気がします。
 そうした情報を公開してくれていれば、期間とパフォーマンス、傾向や頻度などから、判断する材料にできそうです。平たく言えば、「同じような脆弱性を何度も直している(=対処の体制や手順に問題があるかも?)」、「改修までの期間が数日から1~2カ月程度(=気付けば直せるだけの体制は持っているらしい。しかし数日レベルの修正を何度も繰り返しているというのはうかつなだけで、チェック体制が甘いのかも?)」、「改修にかかる期間が半年以上(=機動性や安全管理に問題あり?その間部分的にでも機能停止していればまだしも…)」などという分析ができるのではないでしょうか。

 では、情報が出てこないところが不安かというと、そういうところに直結するわけではないでしょう。開発→公開リリースのプロセスの中に、セキュリティ監査が入っているならそこで脆弱性を拾って直しているかもしれませんしね。情報公開されている方が材料がある分、少しだけ判断しやすい、というだけのことでしょう。

 Webサイトの見た目としては、デザインがきれい(いかにもデザイナーがデザインしました、という風)か手作り風か、というポイントもあることはあります。でも、デザイン系のスタッフがWebアプリケーションも作っちゃいましたという図式には、正直なところ危うさをどうしても感じてしまう(もちろん全部が全部危ういというわけではないのでしょうが)。手作り風デザインの危うさとどっちもどっち、というレベルでしょう。

 見た目から判断するポイントとしてはきれいさよりもむしろ、例えばInternet Explorer(IE)以外のWebブラウザー(FirefoxやOperaなど)でそのページを見たときに、真っ白になってしまうようなサイトは避けた方が良いかもしれません。IEでしか見ることができない、ということはつまり、IEでしかテストをしていない、ということでしょうし、確かにトップページはたまたま真っ白かもしれませんが、他のページをFirefoxやOperaなどで見ると、本来運用側が見られたくないもの(エラーメッセージなど)が見えてしまうかもしれません。
 それに加えて、IEでしかまともに見えないということは、IE特有の解釈や機能を利用しているということでしょう。ちょっと強引ですが、そういう条件だとなおさら脆弱性が発生しやすい、と言ってもいいかもしれません。

 エラーメッセージも重要です。もちろん、Webサイトを見ているときに出るエラーにはさまざまな原因があるわけですが、ネットワークやサーバーに多数のアクセスが集中して重くなっているというケース以外でエラーが出てしまうということは、深刻な問題につながる可能性が高いのではないでしょうか。例えば、SQLエラーとかODBCエラーとか、あるいはアプリケーションエラーとかが出ているのを見かけたら、危ないWebサイトの徴候と捉えるべきでしょう。

…やはり、自分が今見ているWebサイトが安全なのかどうかを、専門家以外が確かめることというのは難しいですね(笑)。技術的な側面から掘り下げると、ユーザーの立場であっても最も確実に安全性を確かめようとすれば、結局のところWebアプリケーションの脆弱性監査を実施しなければならないでしょう。ぜい弱性監査となれば、当然それ相応の知識が必要になってきます。しかし、普通はそんなことは無理でしょう。しかも、もしある程度の知識があったとしても、相手の同意もなくうかつに「検査」すれば犯罪になってしまう可能性もあるわけです。

 となるとここまで挙げてきたあたりの、見て分かる範囲でチェックするくらいがユーザーとしてできるせいぜいのところでしょうか。それでも無いよりはましというのが現実です。この話題でいつも思うのは、大事な情報を預けるところを調べる手立てがもっと欲しいということですね。前回出てきた「Webスカウター」のように、そのWebサイトの強度(安全性)を数値化して出してくれれば良いんですけどね。

 ちなみに、この話題をもう少し追求してみたい方は、IPAのサイトにある

情報セキュリティ早期警戒パートナーシップガイドライン(PDF文書へのリンク

をご参照ください。

■変更履歴
記事中、「Firefox」の表記に誤りがありました。本文は修正済みです。[2007/06/18 14:30]