「4万人のボランティアが守る東京オリンピック」？――セキュリティクラスターの反応は：セキュリティクラスター まとめのまとめ 2015年10月版（1/3 ページ）

2015年10月は特に大きなセキュリティインシデントは発生しませんでした。しかし「図書館」に「東京オリンピック4万人ボランティア発言」と話題は尽きることなく……

[山本洋介山（エヌ・ティ・ティ・コミュニケーションズ），＠IT]

　2015年10月のセキュリティクラスターは、特に大きなインシデントが発生しなかったこともあってか、各所で開催されたセキュリティ関連のイベントに参加し、実際に会ってセキュリティ関連の話で盛り上がった方も多かったようです。

　そんな中、神奈川県海老名市では民間企業が運営する二つ目の図書館がオープンしましたが、そのWebサイトに脆弱（ぜいじゃく）性が発見され大きな話題になりました。

　また、ある業界団体の人が「東京オリンピックでは4万人のエンジニアをセキュリティボランティアとして働かせる」と発言し、「どうしてボランティアで働かされなければいけないのか」という当然の反応を招く結果になりました。

リニューアルオープンでいろいろ話題の「海老名市立中央図書館」新サイトに脆弱性が発見される

　佐賀県武雄市で「TSUTAYA」と「スターバックス コーヒー」を図書館内に併設し、集客に役立てようという試みが行われています。この試みではTSUTAYAを運営するカルチュア・コンビニエンス・クラブ（CCC）が図書館の管理を行っていますが、その管理方法に対しては問題点も指摘され、賛否両論が繰り広げられています。

　そんなCCCの図書館ですが、入場者数が増えておりコストも削減できているという発表が他の市町村にも響いたのか、自分たちもCCCにお願いしようという自治体がいくつか現れています。

　そこで、武雄市図書館に続く第二弾ということで、海老名市立中央図書館が10月1日にリニューアルオープンしました。選書の内容などが議論されることの多い同社の図書館ですが、今回はそのWebサイトのセキュリティが話題になりました。

　海老名市立中央図書館では、リニューアルオープンと同時にWebサイトもリニューアルされたのですが、すぐに脆弱性が見つかりネットに晒されてしまいました。外部からHTMLタグが自由に埋め込めるようになっていたのです。

　いわゆるXSS脆弱性ですが、これを用いると図書館サイトに好きなことを書いて表示させることが可能であったため、アスキーアートを表示させるなど、一時は大喜利のようになっていました。この他にも脆弱性が報告されたのか、サイトはその日のうちに閉鎖されました（現在はサイトの脆弱性は修正されているようです）。

　この出来事に関連して、見つけた脆弱性を気軽にネットに晒すことの是非も議論になりました。当然ながら気軽に脆弱性を晒すのは良くないという意見が多数でしたが、「XSSなんてそれほど悪いことができるわけではないし、直接サーバーを攻撃するわけでもない」という意見や、「XSS脆弱性は晒されてセキュリティに気を遣っていないと思われることが一番の被害ではないか」という意見もありました。