Scribble at 2021-12-09 07:52:33 Last modified: 2021-12-09 07:57:11

弊社のサイトには security.txt を設置している。理由の一つとして、弊社には代表取締役やサービスを紹介する英語のページがあり、そして GDPR になるべく対応するための "Commitment to Privacy Protection Management" という宣言文を掲載しており(これは経営会議で了承された、弊社の正式な文書である)、要するにアクセスするユーザが EU 圏の人々であると想定していたからだ。しかし、もちろんこの想定は既に Brexit で無効となった。ただし、イギリスでは独自の "BRGDPR" を施行する予定なので、殆ど同じ原則が Brexit 後にイギリスから弊社のサイトへアクセスするユーザにも当てはまると考えて、そのまま文書を掲載している。もちろん、フランス人やドイツ人の大半は英語の文章を読めないので、上記のような英語の文書を掲載しても「公表」したと言えるかどうかは不明だが、EU 圏の全ての言語を使って文書を公表する義務が事業者にあると GDPR で規定されているわけではない。(もちろん、日本人を相手に日本の事業者が個人情報保護方針のような文書をロシア語で掲載したら、それは JIS Q 15001:2017 の 5.2.2 項で求められている「一般の人が知り得る」という状態ではないため、不適格となる。)

ともあれ、ここでの主旨は GDPR の話をすることではなく、弊社のサイトに何らかの脆弱性があると分かったときに、ユーザである外国の方が弊社にどうやってアプローチすればいいのかを security.txt のような手段も使って提供することだ。弊社だと、以下のようになる。

Contact: mailto:security@***.co.jp

Expires: Wed, 31 Dec 2031 23:59 +0900

Preferred-Languages: ja, en

Canonical: https://www.***.co.jp/.well-known/security.txt

Policy: https://www.***.co.jp/statement/personalinfo.html

もちろん、このような規格に沿って security.txt のようなファイルで情報を提供することの最大の問題は、そもそも大半の一般人が security.txt を知らないということにある。確かに、多くの人が知ってからファイルを設置するということでも構わないので、現状でこういうファイルを設置しても、情報セキュリティの実務家の一部が興味をもつくらいだろう。日本で security.txt を紹介している大半のページや記事は、自分のサイトでは運用してもいない小僧や単なるアクセス稼ぎのライターだったりするし、RFC を読んでもいない素人だから、全く信用に値しない。われわれのような実務家なりプロがどう運用しているかを実際に知って、参考にしてもらいたい。

security.txt を少しでも普及させるために必要なことと言えば、恐らくブラウザがアクセスして、アドレス・バーにある「鍵アイコン」から表示できる、SSL サーバ証明書の内容などと一緒に脆弱性の報告先として security.txt の内容を表示することだろう。というか、それ以外にわざわざエンド・ユーザがどうやって調べられるというのか。

  1. もっと新しいノート <<
  2. >> もっと古いノート

冒頭に戻る


※ 以下の SNS 共有ボタンは JavaScript を使っておらず、ボタンを押すまでは SNS サイトと全く通信しません。

Twitter Facebook