Webサイトの脆弱性に関する報告は運営会社に連絡するのか、IPAを通すのか

今回はサイト運営に関する内容です。

Webサイトに不具合があり、個人情報やクレジットカード情報が盗まれたというニュースを良く見かけますが、実際の不具合を具体的に示しているニュースはなく、どんな方法で盗まれたのか、どういうスクリプトが危険だったのか等を知ることができません。サイト運営していると、運営サイトに同じ危険がないか非常に不安になるものです。ただ、実際の手口を公開すると、真似する人が出てくるために公開できないのだと思いますが、本当はこの手の情報共有が出来ればセキュリティの弱いサイトが減っていくと思います。

弊社運営サイトでも脆弱性の報告をいただいたこともあり、その際は直接ご連絡いただいた時と、独立行政法人 情報処理推進機構 (IPA)を通してご指摘いただいた時があります。IPAは脆弱性を発見したユーザからの指摘を転送し、管理するだけですので、発見ユーザが状況を詳しく説明していただければ直ぐに解決できるのですが、そうでない場合もあります(IPAを通じてやり取りするために、意外と時間がかかります)。

そのため、脆弱性の報告は直接サイト運営会社に連絡頂く方がスムーズに対応ができ、結果としてセキュリティが弱い状態が短くなります。運営会社としては、こちらのほうが良いのですが、IPAを通すことによって、IPAは様々なセキュリティに関する情報を1箇所にまとめることができます。セキュリティのデータベースができるため、やはりIPAに連絡をすることも重要だと思います。

一番良いと思うのは、運営会社に連絡し、対応した後に運営会社がIPAに報告するということだと思いますが、今のところ、そのような報告フォームが無いようですので、このような仕組みを作ってもらえるとありがたいなと思います。

セキュリティと言えば、昨年辺りからAmazonギフト券に交換できたりするポイントサイトが狙われていますが、ポイントサイトのセキュリティに関しては、JIPC(日本インターネットポイント協議会)に参加している企業が各社の対策を参考にしながら強化しているとのことです。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください