サイバーセキュリティ財団って、実際どうなのよ?というお話

先週末に書いた、チャイルドフィルターに対する批判エントリー、結構いろんな方に読んでいただけたようです。

自分のやってる事業が窮地に陥るようなセキュリティインシデントが発生している最中という、本来であれば何事にもおいて最優先でその対策への対応・指揮に当たらなければならない状況下であったにも関わらず、人に会うことを優先させた人がトップに立つ組織ですよ、サイバーセキュリティ財団って。多少、話盛ってるにしても、そういうことを対外的に文章にしてしまう時点で、信用しちゃいけないタイプの人だ、と感じましたし、そういう人物がチャイルドフィルターに絡んだ情報流出事故が発生した際に、果たして誠意を持って対応・対処できるのかという点において不安しかない、というのが正直なところなのです。

[From ボクがチャイルドフィルターをオススメしない理由 - Soukaku's HENA-CHOKO Blog]

しばらく、それに関することは書かなくていいかな、とか思ってたんですが、今週も終わりになって、動きがあったのでその辺をまとめておきます。
#流石に週刊化はしないと思うが…。

忽然と消えた特別顧問

財団案内に、国内でも著名なセキュリティベンダーの名前がいくつか載っていたことは把握していたんですが、とりあえず言及しないで静観しておこうという感じでいたところに、突如それらの会社の名前が消えたということで、取り上げておきます。

3 月 16 日あたりまでは、財団案内には以下のような形で 4 社の名前が乗っていたのですけど、3 月 17 日の時点で突如名前が消えました。

チャイルドフィルター プロジェクトメンバー

F-Secure は法人向けのアンチウィルス製品で、デジタルアーツは Web フィルタリング製品で有名なところですし、インフォセックも脆弱性診断やセキュリティ監視と行った分野では実績のある会社だったりします。最初は特別顧問とはいえ「へぇ、なんでか知らんけど、よく参加してるよなぁ」と感じてはいました。
先週後半にチャイルドフィルターの話が流れ始めたタイミングで、財団案内を見た時に特別顧問がごっそりチャイルドフィルター プロジェクトに移動したのをみて、「あ〜、自分とこの製品とバッティングするようなプロジェクトにデジタルアーツの名前載せちゃってて、ホント大丈夫?」と気にはなっていたんですけどね。やはりなんらかの形で問題になったために会社側から降りるという申し出がなされたのか、はたまた財団側で「迷惑かけちゃいかん」と判断して名前を消したのか、その真相は闇の中ではありますが、結果的に特別顧問から名前が消えた会社が出てきた、ということになったというわけです。
#自分のエントリーが影響した、とは考えにくい…。

セキュリティに関する情報交換や注意喚起やってます?

ところで、財団案内のビジョン、書かれていることには、とても良いことが書いてあるなぁ、と思う部分もあるんですよ。

これから訪れる超ICT化の時代に対応出来うるサイバー防衛戦士の育成は全ての企業・個人において最重要課題であります。
業界の垣根を越え全ての人々がサイバーセキュリティに対する注意意識を持たなくてはならない今当財団が設立されました。

[From 一般財団法人 サイバーセキュリティ財団]

書いてあるのはいいんですけどね、財団メンバー間でのセキュリティ関する情報交換、注意喚起や「注意意識」(ふつう、危機意識のような…)を持つための活動といったこと、普段からやってるんですかねぇ、という疑惑がが出てきた…。


財団メンバーの Web サイトをチェックしていたら偶然見つけてしまったんですよ、このところ話題になっていた WordPress の脆弱性を突かれて書き換えられちゃったところを…。

# tweet では幹事って書きましたが、実際は参事として名を連ねているところでした。

現在は、その対策中なのか HTTP は応答無しの状態になっていますが、公開していたページの大半をヤラれていたという状況…。
この脆弱性に関しては、 IPA から 2 月 6 日に第一報が出た以降、随時情報のアップデートがされてましたし、 IT 系のニュースサイトでも結構大きな扱いになっていたわけで、セキュリティ関連の業務に携わっていたら、当然のようにチェックすべきだし、知っていて当然だろうという内容。

「業界の垣根を越え全ての人々がサイバーセキュリティに対する注意意識を持たなくてはならない」と謳っている財団に参加しているメンバーのサイトが、こういう状況でになっていたということは、財団内で日常的にセキュリティに関する情報提供や注意喚起とか勉強会と言った類のことが定期的に行われていたのかのかな〜、と疑問に思うわけであります。
少なくとも、「これ、ヤバメの脆弱性の話だから、気をつけてね」という話をやりとりしていたり、相互にメンバーのサイトのチェックをしていたりということをやっていれば、派手にヤラれてしまう前に対策できたんじゃないかと思うんですがね…。

財団の事業の中には、「技術者への支援(CSE)」というところで「最新のセキュリティニュースをメルマガ形式で配信します。」というセキュリティニュース速報のサービスをやっているわけですから、それをそのまま財団メンバーに流すだけでも違うと思うんですが、まさか個人会員が存在しないからそのサービスは始めてません、ってオチではないことを祈りたいところ。

レスポンスがないのは、不安を煽るだけ

大体においてセキュリティに関することって、急を要する事が多いんで、何かあった時の対応レスポンスって、と〜っても大切なんですが、それって普段の対応の状況においても出てくると思うのですよ。
例えば「チャイルドフィルター使いたいけど、こんな機能があるのか知りたい」といった質問があった時に、出来る限りレスポンス良く対応することは、質問者に対する不安感の払拭に繋がりますし、そういうやりとりを見ている潜在的ユーサの心象も良くなると思うんですが、どうもそういうことへの配慮が感じられないのです。

実際、自分は幾つかの質問を財団のFacebookページに書き込んでいるんですが、最初の質問こそ 1 日で回答があったものの、その後の追加質問に対しては 4 日以上放置プレイされている状態。決して答えてもらえないようなことを質問しているわけではないはずなんですが、こうも答えてもらえないとなると、技術的に判ってる人、財団メンバーに居るんですか?って突っ込みたくなる…。
想定問答集とか用意してありそうなもんですけど、そういうものは公開されていませんので、直接質問するしかないんですが、質問しても返事がないまま放置されてしまうというのは、如何なものでしょうね?

放置といえば、チャイルドフィルターの解除申込みが、5 営業日放置されているというのもあります。
解除申込みすると「通常3営業日以内にご連絡いたします。」と表示され、「入力された内容を確認しだい、削除用のプロファイルをこのメールアドレス宛てにお送りします。」という内容の確認メールも届くのですが、それ以降は音沙汰がありません。とりあえず、このまま督促しないでいたらどうなるか試してみますけど、自力でプロファイル削除できないユーザだと、解除申込みからプロファイル削除までの間、アクセスログ抜かれ放題になるんですけど、それで善しと思ってるんですかね…。

と、まぁいろいろ書いてみましたが、なんかサイバーセキュリティ財団って、「サイバーセキュリティやってる俺達、カッコイイ!ウェーイ!!」ってノリでやってるような感じがしてくるんですが、それって何か間違ってるよなぁ…。
#そもそも、ノリだけでセキュリティにかかわられては困る、というのが個人的の感想ではあります。

トラックバック(0)

コメントする