前回分はこちら。
今回はセキュリティについて振り返ります。
インシデント
今年はOSS周りのインシデントが目立った気がします。特に大きかったのはOpenSSL、Shellshock、SSLではないでしょうか。とはいえ、OpenSSLについては運営資金も乏しく、開発体制も少なかったため、起こるべくして起こった問題と言えます。これはネットに関わる企業、個人全員の問題です。
Shellshockもずっと昔からあった脆弱性にも関わらず放置されていたわけで、誰が悪いというわけではありません。オープンソースに対するコントビュートについて考えさせられますね。
Fingerprint
Canvasタグを使って生成された署名はブラウザ固有のコードを生成します。そのためCookieと同じようにブラウザ追跡に利用ができます。しかもCookieと異なり、拒否もできません。
シークレットモードにしてもコードが変わらないのがすごいことですが、近い将来ブラウザ側で対応されるのではないでしょうか。
サンドボックス
特にJavaScriptを安全に実行するためのサンドボックスがいくつも登場しています。信頼できる仕組みができあがるとユーザが作成したJavaScriptを安全に実行できるようになりそうです。現在はiframeで括る、ドメインを変更するなどといった形で対応しているところが多いでしょう。
WAF
WAFはWeb Application Firewallの略です。これまではネットワークのパケットに注目していたファイアウォールですが、WAFではXSSをはじめとするWebアプリケーションレイヤーでのデータの送受信について監視を行うようになっています。
とは言いつつもShellshockに元々対応していたWAFはないようで、その意味ではウィルス探知ソフトウェアに近いものがあります。発見された脆弱性については同じ仕組みではやられないと考えれば、徐々に精度があがっていくものと思われます。
情報漏洩
2014年で大きかったのはベネッセの情報漏洩ではないでしょうか。漏洩経路としては内部犯行であり、実は一番ポピュラーな方法です。
インシデントが起きたのはもちろんのこと、その後の杜撰な対抗もあって炎上した案件になりました。ブランドイメージは大きく毀損したと思われます。