【マンスリーレポート 2002/12】インシデント事後対応ベストは花王、4D MATRIX　ワーストは、エノテカ

　2002年12月 Prisoner'Choice インシデント事後対応ベスト＆ワースト

　2002年12月にネット上で発生したインシデントの中で、ライター集団 Prisonerが、独自の観点で選んだインシデント事後対応ベスト＆ワーストをお送りする。

>> ベストは、花王、4D MATRIX

　昨年師走のベスト対応として編集部がチョイスしたのは2社。両社ともWebアプリケーションの脆弱性関連である。

　12月10日、花王の化粧品関連サイト「SOFINA」上の会員用 cgi に、第三者の入力した任意のHTMLタグおよびスクリプトをそのまま出力する問題点が見つかった。編集部から第一報を11:30に送信。花王ホームページ上の問合せフォームを利用した。

　その後15:00に花王から連絡があり、問合せ入力フォームの文字数制限により全文が届かなかった旨の報告を受ける。そこで再度、担当者のアドレスへ送付。同日の18:00には花王から編集部宛てに、「16:40に修正が完了した」旨、報告が届いた。

　その翌日、花王では各部門担当が集い、本件の報告と今後すべき課題の抽出、決定が行われたとのこと。編集部の取材によると「情報システム部門、メディア部門インターネット推進室、広報センター、法務部門、リスクマネジメント室、消費者相談センター、事業本部（化粧品部門）が参加しました」とのこと。さらにここで、「不正アクセスの有無の確認」「セキュリティ監査の導入」が課題として抽出され、実際に行うことになったという。
　さらに聞いたところ「当該サイトへのアクセスログは過去2年分が保存してあり、これをプログラム、および目視により分析、調査し、最終的には外部の監査機関の協力を仰ぎ、不正アクセスがなかったことが判明しました」とのこと。また、その他のWebアプリについてもチェックを行ったという。

　さまざまな視点から「事後」すべきことを抽出し、実際取り組んだといえるだろう。

　もう一社は4D MATRIX 。同社HPによると、10月上旬から11月中旬にかけて、同社が提供する決済.comパーソナルの一部サービスにクロスサイトスクリプティング脆弱性があることがわかり、11月中旬にセキュリティ強化を行ったとのこと。また、その間に実際の被害や情報の漏洩がなかったことも確認済みという。

　クロスサイトスクリプティング脆弱性が露呈するケースは多いが、企業によってその対応は様々である。まったく対応の素振りすら見せないところもあれば、改善はしたが、調査した結果ユーザへの被害はなかった、として告知をしないところもある。たしかに告知を行う場合はビギナー層に過大な不安を与えないようにするため、構成や文面を練る必要があり、相応の手間を要することになる。

　決済.comパーソナルでは、この点に正面から対峙して、情報公開を同社HP上で行っている。「決済パーソナルのお客様が、特に気にしていただく必要のあるものではありません。しかし、実際にどのようなリスクが存在し得るのか、そして、我々がどういう対策を施しているのか、を知っていただくいい機会でもあります」と序文にあり、その後、報告者への謝辞に始まり概略、原因、対応・対策、分析、セキュリティに関する考察と続く。

　情報公開によって今後他のサイトの参考になれば幸い、という考え方は、弊誌の主旨と根幹を同じくするものといえよう。技術面のみならず、情報公開の在り方についても参考になるはずだ。

＜関連記事＞
　◇決済.comパーソナルがサービスのセキュリティを強化(2003.1.6)
https://www.netsecurity.ne.jp/article/1/8063.html

　花王
http://www.kao.co.jp/

　4D MATRIX 決済.comにおけるセキュリティについて (2002-12-27)
http://www.4dmatrix.com/company/security_j.html

[ Prisoner Maga ]

（詳しくはScan本誌をご覧ください）
http://shop.vagabond.co.jp/m-ssw01.shtml