AmebaがCSRFの脆弱性について見解を表明
問題と見解
- 外部セキュリティ監査会社の監査レベルは投下予算によって決まるのでまちまち
- とくにCSRFなどは複数の画面を網羅的に検証するためコストが高くなりがちです。一画面あたりの監査費用は数万円かかるわけだから、数百画面存在する昨今の動的なサイトであれば、開発コストよりも普通にオーバーすることもあると思われます。何でも自由にできる夢のシステムをつくるには無限のお金と時間がかかりますが、セキュリティについても同様のことは言えるでしょう
- このため事業の継続性の観点からあまりこの点をユーザーや法規制が攻めすぎると「採算とれるかどうかわかんないけど面白いことをやりたい的な新規サービス」そのものが生まれて来なくなるでしょう
- とくにCSRFなどは複数の画面を網羅的に検証するためコストが高くなりがちです。一画面あたりの監査費用は数万円かかるわけだから、数百画面存在する昨今の動的なサイトであれば、開発コストよりも普通にオーバーすることもあると思われます。何でも自由にできる夢のシステムをつくるには無限のお金と時間がかかりますが、セキュリティについても同様のことは言えるでしょう
- このためAmebaは新規サービスや社内プロジェクトについてはβ版で完成途上である旨、および、CSRFなどの意図しない書き込みによる被害を受けても問題ない旨をエンドユーザーと合意形成すべきであったのではないでしょうか
- 逆にエンドユーザーは、とくに無料の新規サービスや規模の小さい会社のサービスについては上記の経営上の事情もあるわけだから、サービス提供会社が重要事項を説明しているかどうか確認した上でAt Your Own Riskでサービスを使うべきともいえます。
http://ameblo.jp/staff/entry-10411733287.html
一部の皆様より質問いただきました、弊社サービスのセキュリティ対応について、
ご報告いたします。弊社では新規サービスの開発時はリリース前に、
既存サービスは定期的に、外部セキュリティ監査会社による調査を必ず実施しております。調査報告は深刻度別に分類され、これまでユーザーの皆様のデータ漏洩や
破壊につながる可能性がある部分については即時の対応を、
それ以外の部分については一定期間内での対応実施を徹底して参りました。現在、昨今の事情を鑑み、影響の大きな部分については優先度を最上級にし、
緊急対応を行っております。