2009年03月19日
本当のリスクとは何か
世間の認識と脅威レベルのギャップ——XSSは本当に危ないか?
http://www.atmarkit.co.jp/fsecurity/column/kawaguchi/013.html
今やエンジニアであれば誰でも知っていると言って差し支えないかもしれない、
クロスサイトスクリプティング(XSS)。
# ただし、正しく理解し、説明できる人間は未だ少ないのかもしれませんが…。
記事の内容は、XSSは危険だと過剰に煽られている感がある、とのことですが、私はそうは思いません。
確かに一般的なリスク分析では影響度と発生確率から考えて低リスクと考えられるかもしれませんが、
それは「今現在」の話であって、将来に渡ったリスク分析ではありません。
現在、大小内外様々なシステムにおいて「Web化」は規定路線であり、発生確率は日々高まっています。
また機密情報を扱うような重要なシステムでも「Web化」されていますので、影響度も高くなっています。
リスクマネジメントはPDCAサイクルによって実施され、評価、改善されていくのですが、
Webのイノベーションの進歩の早さにこのPDCAサイクルが追いつけない可能性が高く、
そうすると切り離せない技術コンポーネントであるJavaScriptなどでのリスク、
特にXSSのリスクが高まります。
皆がそう考えているのかは知りませんが、
そういう現状がある以上XSSへのリスク評価が過剰であるとは思えない訳です。
トラックバック
このエントリーのトラックバック:
http://news.brain-gate.net/mt-tb.cgi/637
