- 2009-07-25 (土) 21:53
- 記事
ソフトウェアの弱点(脆弱性)情報を発見して独立行政法人情報処理通信機構(IPA)に届出をすると、ソフトウェアの開発者やウェブサイト運営者に連絡して、なおすよう取り計らってくれる届出制度。
その規範となる情報セキュリティ早期警戒パートナーシップガイドラインの2009年度版で、簡単に言えば「◯◯のウェブサイトで使っている製品のバージョンが、脆弱性があるってよく知られたバージョンのままなんですけど…」的なウェブサイトの届出について、注意喚起を出してまとめて終了とバルクで取り扱えるようになった。
早速IPAで「EC-CUBE」の古いバージョンを利用しているウェブサイトへの注意喚起を出したわけだが、このEC-CUBEという製品の開発者側での公表内容が少し特徴的だった。
IPAから推奨されているEC-CUBEのバージョンアップには、現在のところ高度に専門的な知識が必要になりますが、脆弱性対策に限っては、該当箇所の修正によって対応することができます。
旧バージョンをご利用の方でバージョンアップが難しい方も、脆弱性情報の対象バージョンを参照の上、必ず対策は行って下さい。
これだけでは何を言っているのかわかりにくいが、まとめると。
- ウェブのショッピングカートシステムとして稼動させているので、事業者から見るとうかつな「バージョンアップ」は難しい。
- そこで、「バージョンアップ」ではなく「該当箇所の修正」で逃げてください、と告知。
- 実際に細かい情報まで見にいくと、脆弱性ごとに「ここをこう書きかえればOK、と修正する箇所が具体的に書かれている」
- 修正情報はプログラマにおなじみの diff などの差分ではなく、「手動でこうなおせ」というもの。
手慣れたプロならば、差分を取るなりバックアップシステムで確認しながらするなりでバージョンアップも可能だし、diff があれば一気に対応もできる。そこをあえて、普及している対象を考えてローテクな場当たり対策に徹しているところが、公知する立場と対策をして欲しい立場の違いということで実に興味深かった。この目線をしっかりと覚えておきたいものだ。
関連記事:
- Newer: スーパーロボット大戦K
- Older: [物欲]スパロボK購入