アーカイブ

2008 年 7 月 のアーカイブ

日本のインターネットを終了しますか?

2008 年 7 月 11 日 コメント 8 件

自宅の高木さんが携帯やWebの固有IDの問題について日記エントリーの大作を完成された。
私も白浜での議論の場にいた一人であり大変興味深く読ませていただいた。

当日の議論より疑問のまま残っていて結局この日記のエントリーでも明らかにならなかったのは、

1 携帯で固有IDを送信するようになるとパソコンでも同様のことが行われるようになるということの信憑性 
(さすがにそれは現実的に起こり得ないんじゃないとか。また楽観的すぎると怒られそうだけど。)

2 仮に上記の状況が実現したとして「実際どんな被害が出るの?」という疑問
 (問題の大きさを理解する上で。)
 
高木さんは「実際どんな被害が出たの?」という質問があったように書いているけど、このときの質問は「実際どんな被害が出る」(と想定される)?という質問だった。被害が出ないから問題がないということを言っているのではなくて、想定される被害を明らかにすることで問題の大きさや必要な対策が明らかになるからだ。

1の状況が望ましくないことはセキュリティやプライバシーに関わるものなら当然理解できるが、現実問題、利便性やコストと天秤にかけられたときに、この問題を広く様々な立場の人に説明するにあたっては2を明確に伝える必要がある。これらの疑問にきちんと答えられれば、高木さんの言うように「「PCもケータイ同様に!」という勢力に対して、ID送信の何が問題で、どうしてインターネットではそれをやってはいけないのか、いつでもすぐに30秒で説明できる」だろう。

高木さんは固有IDによる被害の例として「広告被害」と「ワンクリック不当料金請求サイトを訪れてしまった際に、住所氏名を示して請求されることが起こり得る。 」ことを挙げているけが、それが「「日本のインターネットが終了」するということなのだろうか?

(・・・もちろん、これらは発生すべきでない事象であることには間違いないが、インターネットが終わるというからには、もっと大きな問題をはらんでいるんじゃないかという意味。)

P.S.この手の話を冷静に議論できればよいのですが、どうも感情的なものが入りがちなようで、まぁそういう方はぜひお手柔らかにお願いします。いや感情こそが問題の本質なのかもしれませんが。

P.S.2 問題があるようにも見える技術が使われたりもしながらも試行錯誤の上、良いもの、受け入れられるものが残っていくというのがインターネットのスタイルかもしれません。

P.S.3 「契約者固有ID送信時代の安全なケータイWeb利用リテラシ」として「(可能な場合)固有IDを通知しないよう設定して使用する」というのがあってもよさそうだが・・・。少なくとも私は日常的に通知しない状態で使用しているが今のところ問題も不便なケースも発生していない。

P.S.4 一般に欧米は素晴らしく日本がいかに駄目かという話をすると受けるのだが、米国での生活を経験したものとしてはことプライバシーに関しては相当疑問点が残る。そういった事例の一つとして(昔の)トラッキングクッキーを使ったdoubleclickの話やChoicePointのような企業の存在を持ち出した。米国ではISPが「ユーザーのインターネット閲覧状態を監視して行動を分析し,検索内容や訪問したWebサイトに関連のあるターゲット広告を提供する。」なんてことを今でもやっている。もちろん海外で様々な問題が先に発生するので、その恩恵を日本がこうむっているということについては同意するが・・・。

P.S.5 英国でも「ISPネットワーク経由で収集したユーザーのサイト閲覧動向データを基に、ユーザーの興味に合った広告を表示するという技術。」を持つ企業が「BT、Virgin Media、Carphone Warehouse Group傘下のTalkTalkとの提携を発表」みたいなことになってる。

■参考情報
日本のインターネットが終了する日(高木浩光@自宅の日記, 7/10)
http://takagi-hiromitsu.jp/diary/20080710.html#p01

カテゴリー: 情報セキュリティ タグ:

ウェブアプリケーションセキュリティ祭り

2008 年 7 月 1 日 コメント 5 件

日本のウェブアプリケーションセキュリティのの祭典 WASForum Conference が今週末に開催されます。残席わずかで、そろそろ参加申込が締め切られそうなので興味のある方はお早目にどうぞ。

金曜はセキュリティ侵害の事件当事者の方々の講演もあり大変興味深いです。私は会議の都合で途中抜けなければならず、全部聞けないのが非常に悔やまれます。土曜日の方もウェブセキュリティの最新の動向などが聞けそうで楽しみにしています。

ウェブアプリケーションのイベントだけに申し込みがウェブからでできるようになったのはよかったのだけど、フィッシングサイトですらSSLが導入されるこの時代、EV-SSLでもなくオレオレ証明書でもなく生httpで勝負するところが自信が感じられて素敵です。

【イベント】
■7月4,5日、WASForum Conference 2008開催
http://wasforum.jp/conf2008/

■デファクトCIO、CTOに捧げる、WEBサイトの危機におけるガバナンスと品格
http://wasforum.jp/conf2008/74-cio-ct-day/

12:00開場 13:00スタート 17:00閉会
コンファレンススクエアエムプラス1Fサクセス(東京都千代田区、丸の内)
参加費用:5000円(税込)

13:00-13:15「Web Application Security Forum Conference 2008開催挨拶」
講演者:三井物産セキュアディレクション 佐々木博

13:15-14:00「CIOが為すべきITマネージメントとセキュリティ対策」
講演者:サイオステクノロジー株式会社 執行取締役 CTO 国内事業統括補佐 兼 OSSテクノロジーセンター長 山崎 靖之

14:00-14:45 「不正アクセス事件から学んだこと」
講演者:株式会社カカクコム 取締役COO 安田幹広

15:00-15:45「Web攻撃の脅威に立ち向かうには」
講演者:株式会社サウンドハウス 代表取締役社長 中島尚彦

15:45-16:30「インターネットとセキュリティに関する企業の責任 」
講演者:ライフネット生命保険株式会社 CIO 兼 システム部長 中川達彦

16:45-17:45 パネル・ディスカッション「デファクトCIO、CTOのためのWEBサイトにまつわるITガバナンスの品格」
モデレータ: 株式会社 ユービーセキュア 目崎匠
パネラー:
サイオステクノロジー株式会社 山崎靖之
株式会社カカクコム 安田幹広
株式会社サウンドハウス 中島尚彦
ライフネット生命保険株式会社 中川達彦
奈良先端科学技術大学院大学 門林雄基
独立行政法人産業技術総合研究所 高木浩光

17:45-18:00 「Web Application Security Forum Conference 2008閉会挨拶 & 2nd Day 予告」
三井物産セキュアディレクション 佐々木博
株式会社テックスタイル 岡田良太郎

■7/5 Developers DAY – 事件は現場で起こっている……セキュリティライフサイクルとマルプラクティス
http://wasforum.jp/conf2008/75-developers-day/

9:30開場 10:00スタート 17:00閉会
時事通信ホール(東京都中央区、東銀座)
参加費用:1000円(税込)

Morning Session:
今どきのWebセキュリティ

チェア: 独立行政法人産業技術総合研究所 高木浩光
10:00 – 10:30 EV SSLの意義と課題
有限責任中間法人 日本電子認証協議会 代表理事 秋山 卓司

10:30 – 11:00 SQLインジェクション対策再考
HASHコンサルティング株式会社 代表取締役 徳丸 浩

11:00 – 11:30 携帯電話向けWebのセキュリティ
グリー株式会社 取締役CTO 藤本 真樹

11:30 – 12:00 OpenIDのセキュリティ
サイボウズ・ラボ株式会社 山口 徹

Afternoon Session:
セキュリティ デベロップメント “ライフサイクル”:裏側と表側

チェア:マイクロソフト 高橋正和
13:00-14:00 セキュリティの作り込みはどのように行われているのか?
講演者:マイクロソフト 加治佐 俊一 CTO, ソニー 松並勝

14:00-15:00 Security Wars Episode III:
講演者:高橋郁夫弁護士

15:15-17:00 Webセキュリティのマルプラクティス 思い込みによるソフトウェアエラーをなんとかしろ
講演者:門林雄基、岡田良太郎

カテゴリー: 情報セキュリティ タグ: