office氏の活動を振り返れば、クロスサイト・スクリプティングの脆弱性を指摘した活動が特に精力的でメジャーだと思う。

2001年頃、インターネットバンキングのログイン画面をクロスサイト・スクリプティングから偽装される恐れがあった、みずほ銀行も、修正され、サイトのセキュリティは高まっている。

ま、今回、UFJ銀行とともにフィッシング詐欺のターゲットとされたのに、情報公開が少ない点は、相変わらずな感をぬぐえないが。

そして企業は泥縄でセキュリティをなんとかしようとするから、こういう文面になる。
http://www.jcb.co.jp/goriyou/teguchi.html

事が起きてから慌てて対処しようにも、普段社内でセキュリティを重視して強化を行っていないから、注意喚起文を書こうとしても、利用者に何を注意してもらえばいいか、分からないのである。カード最大手のJCBでこの様である。

他からコピーしようにも、意味が分からないからコピーできなかったと想像できる。
それにしても酷い文面である。

一方、他から意味も分からずコピーした悪例が、高木浩光氏の日記で再三槍玉に挙げられている、SSLの証明書の警告を無視してくれという文面である。

利害関係のあるチェックには漏れが起き易い。

先日も、個人情報保護法に絡むセキュリティ・セミナーの登録画面がSSLでなかったのを発見してあきれたばかりである。さすがに連絡を行ったが、返答は得られなかった。

2月に政府が掲げるセキュリティ政策の一端を担う団体で登録を行ったら、SQL文の結果が画面に表示されて驚いたことがある。連絡したら、デバッグ用の画面をそのまま使ってしまったとの事であった。

個人情報の漏洩の謝罪文を２〜３日でWebサイトから消したサイボウズのプライバシーポリシー、ご立派な態度である。
http://cybozu.co.jp/company/privacy_statement/index.html

これでは、利用者は何を信じたら良いか分からない。
企業に許可を得てからのみセキュリティを評価できるとなれば、利害関係から的確な指摘は得られないだろう。
監査法人は会計監査の観点から厳しく公正性を求められているが、それは株主への影響もあってのことで、セキュリティ対策が行われていないことで個人情報が漏洩したところで所詮は行政罰、所轄の多い経済産業省が全ての企業を監督しきれるわけも無い。

PL法を勝ち得たように、立証責任を企業側に預けてはいけないのである。