logo

ウェブセキュリティ最前線--MSがデスクトップから学んだ教訓 - (page 4)

文:Joris Evers(CNET News.com)
翻訳校正:株式会社アークコミュニケーションズ、大久保崇子、國分真人
2007年07月12日 19時55分
  • 一覧
  • このエントリーをはてなブックマークに追加

 ウェブ上の脆弱性にはクロスサイトスクリプティングのバグも含まれる。このバグは、個人用アカウントをハイジャックの危険にさらしたり、データ窃盗を目的としたフィッシング詐欺に悪用されたりするだけでなく、信頼できるサイトに悪意のあるコードを埋め込むためにハッカーが利用することもある。またSQLインジェクションもよく知られている問題の1つであり、攻撃者はウェブアプリケーションに隠れてデータベースを不正に操作してしまう。

 Microsoftブランドのウェブサイトを業務提携している他社に部分的または全面的にホストさせるなど、Microsoftが事業を拡大するのに伴い、これらの企業との関係に伴う問題を含め、これまでにはなかった新たなリスクも生まれている。たとえば2005年にはMSN Koreaの提携先が、オンラインゲームユーザーの資格情報をMSN Koreaの顧客PCに不正に記録されるというサイバー犯罪の被害に遭っている。

 Microsoftは同年、ソフトウェアが「ライブ時代」に入ったことを宣言するオンラインイニシアティブを立ち上げ、「Office」と「Windows」のオンライン版を発表した。また最近では、同社の初期オンラインアプリケーションの1つである「Hotmail」の改良版も発表している。

 「ライブ」化を進めるこの取り組みは、オンラインアプリケーションの勢いに乗じようというMicrosoftの企てを表している。オンラインアプリケーションの開発に使われるAjaxなどの新しい開発技術は、ウェブサイトを従来のデスクトップアプリケーションのように動作させてその機能を拡張するものであるが、それは同時に、セキュリティ侵害を招く新たな原因ともなっている。

 Boden氏は次のように語っている。「当部門の取り組みに対するプレッシャーは強まったが、セキュリティモデルを作成することにより、業務部門をセキュリティ構想に本格的に関与させることに成功している」。

 Microsoftは、全社一丸となってセキュリティに取り組んでいるという点で競合他社と類似している。マッシュアップが開発形態としてますます一般化する中、セキュリティ面での協力体制なくして複数のオンラインアプリケーションを接続することはできない。

 Boden氏は、競合他社のセキュリティ責任者と同様に、セキュリティがなぜそれほどまでに重要であるかを心に留めておくことが大切であると言う。情報のオンライン保存が続けられる中、ウェブは個人用ファイリングキャビネットとして使われつつある。

 その意味では、あらゆる個人データをウェブアプリケーションに保存しているBoden氏自身やセキュリティ担当部門のメンバーたちも例外でない。

 Boden氏は次のように語る。「私たちはすべてを賭けている。この取り組みが失敗すれば、個人としてだけでなく、キャリア面でも大きな痛手を被ることになるだろう」。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。 海外CNET Networksの記事へ

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]