結局のところ「ホワイトリスト」とは何なのか:セキュリティクラスタ まとめのまとめ 2016年3月版(3/3 ページ)
「ホワイトリスト」って結局何が正しい使われ方なの?
Webの世界では「ブラックリスト」「ホワイトリスト」という用語がよく使われます。ところがこの「ホワイトリスト」の定義や使われ方については、「国や人によって違う」といった議論が度々行われてきました。そんな疑問を解決するためか、3月には「ホワイトリスト」の定義に関するアンケートを徳丸浩氏がTwitter上で行いました。
その結果、580票のアンケート結果のうち8割近くは「許可された入力値をリストとして列挙したもの」という回答で、日本の多くのWebアプリケーション開発者の認識は共通しているようでした。一方でOWASPなどの国外組織が公開している文書では、「入力値に対するアプリケーションの仕様」という意味合いで「White List」という語が用いられることもあるため、徳丸氏は「両者を混同しないように注意すべき」と結論付けていました。
この結果を受けて、Twitter上では「ホワイトリスト」の定義についてさまざまなツイートが行われました。主な意見としては「アプリケーションの仕様というのは違和感がある」「仕様に記載されていないものを拒否するのがホワイトリストではないか」「リストと正規表現を区別する必要はなく、結局は同じことなのではないか」「ブラックリストの反対として“許可されたものだけを使おう”という考え方をホワイトリストと名付けたものの、訳が分からなくなったのではないか」などといった声がありました。
このように、「ホワイトリスト」には人それぞれ違う定義があるようです。安易に「ホワイトリスト」という言葉を用いるのは後々のトラブルにつながる原因になるかもしれませんので、気を付けた方がよさそうです。
この他にも、2016年3月のセキュリティクラスタは以下のような話題で盛り上がっていました。4月はどのようなことが起きるのでしょうね。
- 米国連邦取引委員会(FTC)の技術責任者が「パスワードの定期的変更を考え直すときだ」と促す
- 江崎グリコ、不正アクセスで個人情報8万3000件流出
- 不正アクセスで摘発された中継サーバ業者のサーバ上に個人情報1800万件
- 「標的型メール攻撃」が過去最多?
- 404を返すが実は動いているC&Cサーバがややこしい
- Macにもランサムウェアがやってきた
- 「サイバーセキュリティシンポジウム道後 2016」開催される
- 「Windows」「Samba」の脆弱性「Badlock」がやってくる?
著者プロフィル
山本洋介山
猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いています。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。