知らないことは罪?
ウイルスやスパイウェアの脅威というのは比較的わかりやすいと思います。
感染すると被害に遭う、そのため感染しないための対策をしよう、という風に考えることができます。
でも、Webサイトで発見される脆弱性はなかなかわかりづらいものが多いみたいです。
例えば、SQLインジェクションやクロスサイトスクリプティング(XSS)は以前紹介しましたが、「難しい!」と思った方もおられる
と思います。
こうしたパッとわかりにくい問題は、Webサイトの運営者にもやはりわかりにくいんですね。
だから、そもそも「何が問題なのかわからない」もしくは「どうやって調査すればわからない」というまま、脆弱性を残したままにしているケースって非常に多いと思います。
フィッシングに悪用されたPayPalのXSS脆弱性,2年間放置されていた可能性あり
記事によると、脆弱性の指摘を受けていたけど、XSSの脆弱性の仕組みが理解できなくて、ほったらかしにしていたみたいですね。
その結果として、多くの顧客情報が漏れてしまっているようです。
このようにセキュリティの知識を知らないことは罪であるとも言うことができると思いますので、サーバやネットワークの管理を任された場合にはしっかりとセキュリティの知識を身につける必要があります。
セキュリティベンダーで働くエンジニアです。
難しいセキュリティの話題をわかりやすく解説していきたいです。