Scan Incident Report Vol．013〜017

出版社/著者からの内容紹介
　【Scan Incident Report】は、情報漏えい、クロスサイトスクリプティング脆弱性、Ｗｅｂ改ざん、ウイルス送信など、ネットワーク上で起こった事件を検証し、そのレポートを掲載する、事件情報に特化したメールマガジンです。その他、インターネット関連の規格・法制度、企業の対応法などを、過去の事例とともにご紹介しています。
　今回は、2002年7月の本誌バックナンバー Vol.013〜Vol.017を掲載します。“サイボウズ社製品のクロスサイトスクリプティング脆弱性”“自治体ドメイン別 サーバOS/アプリケーション実態調査”に関するレポートなどを収録しています。

抄録（「電子書店パピレス」より）
　＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
　■クロスサイトスクリプティング脆弱性に対し、
　　　サイボウズ社はどのように対応を進めたか？
　＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

　インターネット・イントラネット用ソフトウェアの開発、販売を手がけるサイボウズ社。同社が発売するグループウェア「サイボウズ Office 4.0(1.3)」にクロスサイトスクリプティングの脆弱性が発見された。
　以降、同製品はじめ他の製品に対しても迅速に対応版をリリース。いつ、どのような判断を下し、何をなしていったのか。編集部では、事後対応の詳細をサイボウズ社に伺った。

　>>　【部門間の連携】〜日常的に決まっていた、対応担当三部門の役割

　5月10日、「サイボウズ Office 4.0(1.3)」にクロスサイトスクリプティングの脆弱性が、ネットワークセキュリティの研究、啓蒙を行っている office 氏によって発見、報告された。サイボウズ社では、報告が届いたサポート部門からすぐさま開発に連絡し、調査を開始したという。

　事後対応が円滑になされるか否かを決定づける要素のひとつが、部門間における柔軟な連携体制の確立。特に対応の「とっかかり」、どの部門がどのように関わっていくかをスムースに決断することが、その後の流れを大きく左右する。
　サイボウズ社におけるそれぞれの部門の役割は、次の通り。

　◇企画：全体の方針決定
　◇開発：問題および解決策の調査と修正版の開発
　◇サポート：ホームページでの告知内容、告知タイミングの決定

　サイボウズ社（以下、サ社）：
　『この体制はいかなる不具合においても同様で、三部署が緊密に連絡を取り合い、最善の対策を講じていける体制が作られていたため、今回の問題の対応のために特別な体制が組まれたということはありませんでした』