ZAPAnet総合情報局 > ZAPAブログ2.0 > プロの脆弱性対策

プロの脆弱性対策

2009年12月19日 プログラミングTIPS





脆弱性対策には2種類あります。

「脆弱性を無くすように対策すること」と「脆弱性が発見されて被害が出た場合に、炎上しないように対策すること」の2つです。

スピンドクターと脆弱性関連情報 | 水無月ばけらのえび日記には、脆弱性を表に出さないための標準メソッドが書かれていました。
・できるかぎりスルーし、事実を表に出さない
・スルーしきれなかった場合は控えめにアナウンスし、実害がないor少ないことを強調する。外部からの指摘だったことは極力隠し、運営者が自ら発見したかのような印象を与えるように努める
・被害の発生を認めざるを得ない場合は正直に報告するが、自分も被害者であるということを強調する。通常の手段では防げない高度な攻撃であったという印象を与え、被害を受けても仕方なかったという印象を与えるように努める
一般の利用者に気づかれないようにすることと、気づかれた場合には「悪質なハッカーにやられてしまったのなら仕方ないです。管理者さん頑張ってください」という気持ちにユーザーを誘導することが、プロの脆弱性対策のようです。

Amebaなうやセブンネットショッピングの件を見ていても、似たような対策が取られていました。