Web 2.0 特有の脅威に対して企業の対策は？

Web 2.0 には数多くの魅力がある。コンテンツを作成してサイトにアップロードするという大変な作業を、ユーザー自身が負担してくれるという点もその1つだ。企業でも Blog や Wiki、RSS といった Web 2.0 ツールの採用が進んでいる。

しかし、セキュリティについても、その進歩に見合うベスト プラクティスが採用されているだろうか？　採用していない企業は、Secure Enterprise 2.0 Forum が、発展しつつあるこの技術に関連するセキュリティ問題のトップ10リストを提供しているので見てみるといいだろう。

リスト (PDF ファイル) では、コンテンツの共有やコミュニティへの参加といった Web 2.0 タイプの行動を悪用する従来どおりの脅威と合わせて、Web 2.0 テクノロジに特有の脅威が掲載されている。

Web 2.0 特有の脅威としては、クロスサイト スクリプティング (XSS) やさまざまな新しい種類のインジェクション攻撃、そして情報漏洩などがある。

Web 2.0 環境向けのセキュリティ ソフトウェアの販売を手がける WorkLight でマーケティングおよび製品戦略担当バイスプレジデントを務めている David Lavenda 氏は、Eメールの中で次のように述べている。「われわれの経験から言うと、最も危険度が高く、企業が注意すべき Web 2.0 関連の脅威は、おそらくクロスサイト スクリプティングだろう。この種の攻撃は検知するのが難しい」(WorkLight は、テクノロジ企業、調査会社、セキュリティ専門家などで構成される Secure Enterprise 2.0 Forum の発足を支援した)

Lavenda 氏は、Web 2.0 テクノロジにはコンテンツの共有が伴なうため、XSS 攻撃に対しては特に脆弱だと指摘する。

前述のリストによると、Web 2.0 テクノロジ最大の特長であるユーザー生成コンテンツ (UGC) が情報漏洩の原因にもなっているという。さらに UGC によって、ブランドに影響を及ぼしかねない不適切なコンテンツが企業のサイトに掲載されるおそれもある。

こういった問題への対処法としては、Karmaloop の実践している2方向からのアプローチがいい例となるだろう。Karmaloop は衣料品と靴の小売業者で、Web 2.0 テクノロジを積極的に採用している。

Karmaloop の CEO (最高経営責任者) Greg Selkoe 氏は、取材に対して次のように説明した。まず、同社はサイトにアップロードされたコンテンツをすべて検査している。それから、サイトの魅力を高めてユーザー同士のコミュニティを形成することで、ユーザーの力を利用している。Selkoe 氏は、「いつでも誰かが当社のサイトを閲覧しており、もし不適切なものが見つかれば連絡してくれる。それをわれわれが削除するというわけだ」と述べた。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール