セキュリティホールやら脆弱性という言葉が今や、当たり前の言葉になっている感がする。コンピュータウイルスが流行しているとか、不正なアタックが来ているというのなら、防衛すべきターゲットがはっきりしているのだが、脆弱性となると攻撃者ではなく、こちら側の問題なのでなかなか意識しにくいといえる。
　IPAやJPCERTに報告されている脆弱性の件数は確実に増えているという。

脆弱性：届出数は着実に増加、1日あたりに約2件に--IPA　(CNET Japan)

これは各種のネットサービスやWebサイトの構築が近年増え続けていることことから当然のことであろうが、同時に脆弱性に対する意識が高まっていることの表れと言えるのはないか。

　IEの脆弱性だとか、Googleのネットサービスに脆弱性が見つかったなどという類のものは、ネットの中では緊急事態のようにニュースとして駆け巡る。もしものことがあれば、被害の影響が及ぶ範囲が広いので、すぐにも対応される。これらは毎度のことでもあり、放っておいても提供元が対応するから、ユーザにとってはクレーマーでもなければさほどの問題にはならない。

　問題は独自にWebサービスを展開しているWebサイトであろう。これは千差万別で、Webは出しているものの昔のスタイルのWebページのままで、それが今ではそのまま脆弱性となっているケースも多い。

　身近な例では、ある地方のホテルを見つけ、その予約を直接Webサイトから行おうとしたら、予約のページがhttp://のままであるところもある。しかたがないので、直接予約はやめて楽天経由で予約したなどということもあった。これもホテルのWebサイトは脆弱性があるということになるのだろう。IPAに報告するような事柄ではないが、そのホテルにチェックインするときにフロントで言ったら「申し訳ありません。まだ対応できていません」とのことだった。わかる人から見れば、これはホテルの信用問題にも通じることであると思うのだが。

　意味合いは異なるが、某銀行では、支店のATMを訪れる利用者に入り口付近でキャッシュカードの指紋認証カードへの切り替えの勧誘していて、その場での受付けもやっていた。これも銀行なりのキャシュカードの脆弱性（なにせたった４桁の数の暗証）への対応といえるのだろう。銀行も景気回復をしだして、やっと重い腰を上げてきたのだろうか。

　独自に作られて増え続けているWebサイトには、そもそも脆弱性への意識がなかったり、それに対応する技術がないケースがほとんどであり、これが第三者から見たとき「危ないサイト」と見えてしまう。ただしIPAなどに届出をする場合は、自分に利害が及ぶ場合か、よほどのおせっかいのケースなのではないだろうか。ましてやIPAに届けたからといって、すぐにそのWebサイトが安全になるわけでもない。ここに現れている件数は、ほんの氷山の一角に過ぎないと見るべきだろう。

　たとえばアダルト系やら出会い系やらのサイトは、逆にわざとユーサを危険に陥れようとする仕掛けが多くなされている。これらは通常、脆弱性のあるWebサイトなどとは言わないだろう。もともと攻撃を受けたり、摘発されることさえ、織り込み済みなのかもしれない。偽サイトのように、いつ消えても不思議ではない。

　結局、脆弱なWebサイトに対しては、偶然、故意に拘わらず、ユーザとしてはアクセスしないのが最大の防御ではある。Webサイトの管理者であるとすれば、にわか技術で客引きのWebサイトは公開するな、ということが最大の脆弱性対策であるという、ごく当たり前の結論になるだろう。