誰もが信頼している製品・サービスに潜む脆弱性
福本:開発者側で意識すべきは、メンテナンスがすでに止まってしまっているモジュールは使わないようにするということです。よく使われていても、もう何年もメンテナンスがされていないものもあります。開発者が撤退してしまったものや、すでに亡くなってしまっているものなどは、万が一脆弱性が見つかっても誰も直せないという事態に陥りかねません。開発の際に使うライブラリやモジュールが、将来にわたり安心して使えるかどうかは確認すべきでしょう。
佐々木 勇人(ささき・はやと) JPCERTコーディネーションセンター 脅威アナリスト 政策担当部長 兼 早期警戒グループ マネージャー 2010年から独立行政法人情報処理推進機構(IPA)にて勤務後、2013年から経済産業省 商務情報政策局 情報セキュリティ政策室(現サイバーセキュリティ課)に出向し、経済産業分野、重要インフラ分野におけるセキュリティ対策の企画調整業務にあたるほか、インシデント対応における官民の組織間調整に携わる。2016年7月、JPCERT/CCに入職。国内外のセキュリティ情報の収集、分析および早期警戒情報や注意喚起などの情報発信業務、関係構築、調整業務に従事。また講演等、普及啓発活動にも取り組んでいる。
福本 郁哉(ふくもと・いくや) JPCERTコーディネーションセンター 早期警戒グループ 脆弱性アナリスト 前職において、Webアプリケーションやモバイルアプリの脆弱性診断、セキュア関連コンサルティング、脆弱性診断ツールの開発などに従事。2017年、JPCERTコーディネーションセンター早期警戒グループに着任。脆弱性アナリストとして、脆弱性の解析業務に携わるほか、セキュアコーディングに係る講師や情報セキュリティの啓発活動も行っている。
谷川 耕一 :ライター