【Webアプリケーションのセキュリティ　２】〜責任範囲〜

　前回記事では、Webアプリケーションに係わる人々の多様さについて注意すべきことを説明した。今回は、それに関連してWebアプリケーションの責任範囲について述べたい。

　サーバサイドに用いられるWebアプリケーションの「ユーザ」、つまりライセンスに同意するのは、通常サーバ運営者である。もう少し具体的に言えば、ASPなどのプログラムを購入し、ライセンス許諾を受けるのは、Webサービスを提供しようとする組織である。このとき、Web閲覧者はこのライセンス条項には何ら拘束されないということには十分注意しなければならない。

　ソフトウェアのライセンスの常識となっているのは、そのソフトウェアの使用に関して起こる損失、被害に対して一切責任をとらない、という意味の免責条項である。しかしこの免責について認めるのはユーザ、サーバサイドWebアプリケーションの場合にあってはサーバ運営者であって、Web閲覧者ではない。Web閲覧者が何らかの被害を被ったとき、誰がどのように責任をとるべきなのかは十分注意しなければならない。何の取り決めもなされていない場合には、サーバ運営者が全ての責任を負わされる可能性もあり得る。

　一方サーバ運営者が免責としてWeb閲覧者にこのような「自己責任で閲覧」を強制する仕組みは非常に難しい。というのもこのような免責について書かれたものをWeb閲覧者が必ず読むとは限らないからである。

　成人向きのコンテンツを商業サービスとして提供しているWebサイト（映像送信型性風俗特殊営業）において、topページを年齢確認ページとし、これををゲートウェイと見なして、Web閲覧者がこのページを見ることを前提している構成をとっているところがよく見られるが、このようなページ構成をとっただけで、「年齢確認」に関して過失がないと主張できるかどうか不明である[1]。

　何故なら、閲覧者がこのページで年齢確認を行わずに、成人向きコンテンツを見てしまう可能性は全く排除されていないからである。「直リンク」や「Deep link」と呼ばれるような、特定コンテンツに直接アクセスする方法が紹介されていた場合、その紹介に従ってアクセスした閲覧者は何の年齢確認もなしに成人向きコンテンツにアクセスしてしまう。

　特定の（免責に関する）「注意書き」を閲覧者に確認、承諾させてからコンテンツ閲覧ができるような仕組みとして、Web閲覧者のブラウザが送出するReferer情報を利用する手段の有効性がよく上げられるが、Referer情報はサーバ運営者が期待するものが得られるとは限らないので、これに頼るのは危険である。厳密なセッション管理がなされなければ、特定注意書きページを見せてからコンテンツページを提供する仕組みが構築されたとは言えないであろう。

office
office@ukky.net
http://www.office.ac/

[1] http://www.houko.com/00/01/S23/122.HTM

（詳しくはScan本誌をご覧ください）
http://shop.vagabond.co.jp/m-ssw01.shtml