10月上旬発売 文芸誌 まとめ
すばる(2022年10月6日発売)
二つの世紀の変わり目にいる現在、六十余年間にわたる<昭和>とその文学を俯瞰する作業をしておくことが必要だと、私たち「すばる」編集部は考える。
目次
【小説】
島田雅彦「時々、慈父になる(4) 後のことはおまえに任せた」
【新連載】
千早茜「傷痕(1) 龍舌蘭」
【第46回すばる文学賞発表】
大谷朝子「がらんどう」
【森鷗外没後100年】
平野啓一郎「鷗外を今読むこと」
平野啓一郎×青山七恵×平出隆×ロバートキャンベル「読み継がれる鷗外」
【対談】
桜庭一樹×吉田恵里香「変化する価値観と物語の強度(1) みんなで新しいものをつくって更新し合えばいい」
【論考】
森田真生「遊びをめぐる断章」
【連載】
角幡唯介、佐川光晴、出口菜摘、谷崎由依、柴崎友香、上田岳弘、田中慎弥、村田沙耶香、奥泉光、高橋源一郎、池澤夏樹、朝吹真理子、最果タヒ、辻山良雄、富永京子、エリザベス・コール、高羽彩
【プレイヤード】
演劇、美術、映画、須賀ケイ「読書日録」、本
【日日是好日】
年森瑛(2)
群像 (2022年10月7日発売)
純文学雑誌として広く文壇に門戸を開放し、我が国の純文学の育成、発展に大きな役割を果たす。個性派そろいの執筆陣による気鋭の文芸評論やエッセイなどを掲載。
目次
-
〈新連載〉
歩山録 上出遼平
野良の暦 鎌田裕樹 -
〈中篇一挙〉
見知らぬ人 紗倉まな
蝶を追う 須賀ケイ
開墾地 グレゴリー・ケズナジャット -
〈創作〉
マグノリアの手 石沢麻依
あのバーに入ってみた 片岡義男
キウイ縞々 くどうれいん
買い増しの顚末 津村記久子
去年の一日 長島有里枝 -
〈連作〉
帰れない探偵 太陽と砂の街で 柴崎友香 -
〈エッセイ〉
エリザベス女王――唇を噛み締めて 小川公代
「不自由さ」のなかで書くこと――李良枝没後三〇年に寄せて 温 又柔 -
〈論点〉
私たちは今、自由なの?――ジェンダー平等先進国の実態と課題 枇谷玲子
『ベイビー・ブローカー』×『PLAN75』からあぶり出される、「自己責任」の顚末 羽佐田瑶子
「トランスジェンダー問題」を語り直す 三木那由他 -
〈鼎談〉
二〇世紀の思想・文学・芸術 第10回「エイティーズ―『空白』の時代」
松浦寿輝×沼野充義×田中 純 -
〈最終回〉
講談放浪記 神田伯山 -
〈コラボ連載〉
SEEDS 現代新書のタネ〔9〕自殺してはいけない――ショーペンハウアーとともに考える――梅田孝太 -
〈連載〉
多頭獣の話〔2〕 上田岳弘
の、すべて〔10〕 古川日出男
新「古事記」 an impossible story〔12〕 村田喜代子
鉄の胡蝶は歳月に夢に記憶に彫るか〔51〕 保坂和志
「くぐり抜け」の哲学〔2〕 稲垣 諭
文化の脱走兵〔2〕 奈倉有里
文学ノート・大江健三郎〔3〕 工藤庸子
庭の話〔3〕 宇野常寛
事務に狂う人々〔6〕 阿部公彦
世界の適切な保存〔7〕 永井玲衣
なめらかな人〔8〕 百瀬 文
文学のエコロジー〔9〕 山本貴光
磯崎新論〔11〕 田中 純
「後」の思考〔3〕 石戸 諭
地図とその分身たち〔13〕 東辻賢治郎
世界と私のAtoZ〔15〕 竹田ダニエル
こんな日もある 競馬徒然草〔21〕 古井由吉
現代短歌ノート二冊目〔26〕 穂村 弘
日日是目分量〔27〕 くどうれいん
Nの廻廊〔17〕 保阪正康
「近過去」としての平成〔32〕 武田砂鉄
星占い的思考〔32〕 石井ゆかり
所有について〔18〕 鷲田清一
辺境図書館〔32〕 皆川博子
文芸文庫の風景〔23〕 津田周平
極私的雑誌デザイン考〔30〕 川名 潤
り〔27〕 長野まゆみ
鉄の胡蝶は記憶に歳月は夢に彫るか〔45〕 保坂和志
二月のつぎに七月が〔40〕 堀江敏幸
なめらかな人〔2〕 百瀬 文
文学のエコロジー〔3〕 山本貴光
磯崎新論〔5〕 田中 純
講談放浪記〔5〕 神田伯山
地図とその分身たち〔7〕 東辻賢治郎
食客論〔7〕 星野 太
ケアする惑星〔10〕 小川公代
言葉の展望台〔13〕 三木那由他
こんな日もある 競馬徒然草〔15〕 古井由吉
旋回する人類学〔15〕 松村圭一郎
現代短歌ノート二冊目〔20〕 穂村 弘
日日是目分量〔21〕 くどうれいん
薄れゆく境界線 現代アメリカ小説探訪〔23〕 諏訪部浩一
「近過去」としての平成〔26〕 武田砂鉄
星占い的思考〔26〕 石井ゆかり
所有について〔13〕 鷲田清一
辺境図書館〔26〕 皆川博子
国家と批評〔23〕 大澤 聡
〈世界史〉の哲学〔141〕 大澤真幸
文芸文庫の風景〔17〕 水戸部 功
極私的雑誌デザイン考〔26〕 川名 潤 -
〈随筆〉
シュノーケリング 大森静佳
美しい元素 草野理恵子
石膏のヒポグリフ 鯨庭
近頃の大学生と略字 笹原宏之
誰にとっての「青」? 馬場靖人 -
〈書評〉
『嫌いなら呼ぶなよ』綿矢りさ 武田将明
『水平線』滝口悠生 福永 信
『自由が上演される』渡辺健一郎 山﨑健太
新潮(2022年10月7日発売)
歴史と伝統を誇る月刊文芸誌。三島由紀夫賞などの文学賞が発表されます。
目次
◆第54回 新潮新人賞発表
受賞作 黒川卓希「世界地図、傾く」(220枚)
(受賞者インタビュー) (選評)大澤信亮 小山田浩子 鴻巣友季子 田中慎弥 又吉直樹
柴崎友香「天気の変わり目」
◆第30回萩原朔太郎賞発表
受賞作 川口晴美「やがて魔女の森になる」
◆第21回小林秀雄賞発表
受賞作 竹内康浩・朴舜起「謎ときサリンジャーーー「自殺」したのは誰なのか」
坂本龍一「ぼくはあと何回、満月を見るだろう」
第5回「初めての挫折」
ハワイで体感した真の「癒し」。
最初のガンを経て、かつてない映画音楽2本の同時制作へ。
対談 鈴木健+森田真生「複数のゲームを生きる」
地球環境が急変し、テクノロジーが急進する中、
数百年先の未来を見据えた世界像を描く。
文學会(2022年10月7日発売)
川端康成、小林秀雄などを同人に1933年に創刊され、数多くの作家・評論家を輩出してきた斯界を代表する月刊文芸誌。小説、戯曲、文学・映画・哲学評論と幅広い誌面構成で読者の支持を集めている。戦後から現在にいたるまで一貫した純文学の新進作家発掘にも定評があり、1955年の第一回文學界新人賞受賞の石原慎太郎氏(「太陽の季節」)以来、純文学の登竜門として次々と芥川賞受賞者を世に送り出している。
目次
【総力特集】JAZZ×文学ふたたび
文学界のジャズ・キャッツ、ここに集結! たえず変化と闘争を続ける音楽の魅力に迫る完全保存版
〈ロングインタビュー〉
村上春樹さんに、モダン・ジャズ以前のジャズについて聞く(聞き手・村井康司)
〈オーラル・ヒストリー〉
岸政彦「沖縄ジャズの生活史――テリー重田と上原昌栄」
〈ロングインタビュー〉
大友良英「ぼくはこんなふうに言葉とつきあってきた」(聞き手・松村正人)
〈ジャズ小説〉
上田岳弘「You don’t know what love is.」/宮内悠介「暗流(アンダーカレント)」/山中千尋「フライ・ミー・トゥ・ザ・ムーン」
ジュエル・ゴメス「ドント・エクスプレイン」(岸本佐知子訳) 作者・作品紹介(佐久間由梨)
〈インタビュー〉
千葉雅也「即興でピアノを弾く」
〈批評〉
佐久間由梨「ジャズとアフリカ系アメリカ人文学」/吉田隆一「野生のアカデミズム――ジャズとSF」
〈レポート〉
石田夏穂「嗜まざる客――ジャズ喫茶のランチ食べある記」
〈エッセイ〉
「ジャズと私」+極私的3枚
斎藤真理子「音と音の間を探る音楽」/小玉ユキ「これ以上何もいらない」/湯浅学「私のジャズのはじまり」/北村匡平「ジャズの恍惚と救済」/細田成嗣「フリージャズと括られた『その他』に魅せられて」/荘子it「ジャズ=ロック」/原雅明「ホールとベイリーのES-175」/矢作俊彦「オオ!ダイナ、今にして思えば」
〈ディスクガイド〉
「いま、聴くべき20枚」柳樂光隆選/〈エッセイ〉柳樂光隆「五線譜から口承へ」
【創作】
鈴木涼美「グレイスレス」
母が出ていった後も祖母と煉瓦タイルの家に暮らす私は、ポルノ女優の顔に化粧を施す日々を送っている
絲山秋子「キビタキ街道」
早期退職し、人生のどん詰まりにいた雉倉豪の元に神が訪れる。黒蟹県シリーズ第6弾
【短篇競作】「忘れる」
川上弘美「銀色の鍵」
小山田浩子「蛍光」
立川吉笑「歩馬灯」
斧田小夜「海月生物群集」
マーサ・ナカムラ「とんぼ」
能町みね子「テレビと体表面についての落としどころのない日記」
【追悼 ジャン=リュック・ゴダール】
蓮實重彦「映画作家ゴダールは、その『特権性』を晴れやかに誇示しながらこの世界から姿を消した」
【追悼 宮沢章夫】
松尾スズキ「戯曲ではない。台本があった。手書きなのであった。」
【巻頭表現】青柳菜摘「峰船」
【エセー】倉田翠「日々のささやかな開拓について」/牟田都子「言えなくなった言葉」
【コラムAuthor’s Eyes】花田菜々子「人間になってもらえませんか」
【文學界図書室】
滝口悠生『水平線』(瀬尾夏美)/大森静佳『ヘクタール』(永井玲衣)/北村匡平『椎名林檎論 乱調の音楽』(吉川浩満)
【強力連載陣】
金原ひとみ/綿矢りさ/宮本輝/王谷晶/辻田真佐憲/藤原麻里菜/成田悠輔/平民金子/高橋弘希/津村記久子/松浦寿輝/犬山紙子/柴田聡子/水上文/河野真太郎
文藝
20代から30代を中心に幅広い読者をターゲットにした文芸誌。毎号、気鋭・新鋭からベテラン作家まで、多くの書き下ろし小説(長篇・中篇・短篇・掌編)を掲載。また、毎年冬号で発表される「文藝賞」は、田中康夫(「なんとなく、クリスタル」)、山田詠美(「ベッド・タイム・アイズ」)、長野まゆみ(「少年アリス」)、星野智幸(「最後の吐息」)をはじめ、綿矢りさ(「インストール」)、羽田圭介(「黒冷水」)、白岩玄(「野ブタ。をプロデュース」)、山崎ナオコーラ(「人のセックスを笑うな」)といった、文芸シーンに新たな風を吹き込む作家たちを輩出。近年では2017年に同賞でデビューした若竹千佐子(「おらおらでひとりいぐも」)は、同作で芥川賞を受賞し50万部を突破、社会現象を起こしました。つねに文学の「いま」を発信する季刊誌「文藝」にご注目下さい。
目次
◎第59回文藝賞発表
・受賞作
安堂ホセ「ジャクソンひとり」
日比野コレコ「ビューティフルからビューティフルへ」
・受賞の言葉 安堂ホセ/日比野コレコ
・選評 角田光代/島本理生/穂村弘/町田康
・受賞記念対談
島本理生×安堂ホセ「本気の遊びに本音を乗せる」
穂村弘×日比野コレコ「言葉を異化するパンチラインの作法」
・選考経過
・第60回文藝賞応募規定
◎特集 魔女・陰謀・エンパワメント
【短篇】
王谷晶「てづから」
カレン・ラッセル 松田青子 訳「沼ガール/ラブストーリー」
近藤史恵「水裁判」
アリス・ソラ・キム 加藤有佳織 訳「わるい娘たちは閉じ込めてしまいましょう」
【対談】
円香×雨宮純「現代魔女になんでも聞いてみた。」
【特別企画 キーワード集】
円香・谷崎榴美「現代魔女の基礎知識2022」
【エッセイ】
吉村萬壱「私の魔女像」
平松洋子「白樺をまじないの道具として」
鈴木みのり「夢の庭」
【論考】
木澤佐登志「魔女、ダンス、抵抗 現代魔女とクラブカルチャーの交差点」
北村紗衣「魔女と幻想 『奥さまは魔女』と『ワンダヴィジョン』」
橋迫瑞穂「偏在する現代魔女とメディア空間「オカルト」雑誌からTikTokまで」
河西瑛里子「まなざされる魔女から、名乗りとしての魔女へ グリーナム・コモンの女神たち」
◎創作
【新連載】岸政彦「クアトロ ウノ」
雨がそぼ降るある日、母と娘の美咲は担任の教師に呼び出されて、教室に向かう。
日常に隠された暴力に、記憶の断片が呼び覚まされ―著者初の連載小説。
小川哲「神についての方程式」
人類最後の宗教としてその名を残す「ゼロ・インフィニティ」。かつて〝ゼロ〟を信仰したという謎の教団に隠された世界の秘密とは。真理と夢幻をあざなう魔術的数学奇篇。
金子薫「成るや成らざるや奇天の蜂」
法の届かないスラムの奇天座で、究極のドラッグ・ロロクリにより獣と化す住人たち。西尾はひとり人間のまま、ロロクリに溺れるのだが……。野間文芸新人賞作家の新境地。
水沢なお「うみみたい」
卵生生物の生殖をケアする〝孵化コーポ〟でバイトする美大生のうみは、才気煥発な同級生みみが抱える「生まれたくなかった」意志に触れ―。中也賞受賞の気鋭の詩人、初中篇。
【特別対談】
奥泉光×加藤陽子「眼前の「戦前」を直視する「排除の暴力」がもたらす熱狂に抗うために―『この国の戦争』刊行記念トーク」
【特別セッション】
阿部和重 聞き手:フィクショナガシン 「検索と風刺の作家は現在(いま)を書き続ける」
約十年ぶりの短編集『Ultimate Edition』刊行記念 全収録作解説インタビュー
【特別書評】
清水晶子「「いつかこの本が読まれる必要がなくなる未来が来る日まで」『トランスジェンダー問題』を読む」
◎連載
朝吹真理子「ゆめ」【第3回】
皆川博子「風配図 Windrose」【第4回】
桜庭一樹「波間のふたり」【vol.5,6】
島本理生+岩崎渉「トランス」【第4回】
いとうせいこう「東北モノローグ」【第5回】
藤野可織「先輩狩り」【第5回】
文芸的事象クロニクル 2022年6月~8月 山本貴光
文芸季評 たったひとり、私だけの部屋で
2022年7月〜9月「対話と文学」水上文
◎書評
山下紘加『あくてえ』 【評】上坂あゆ美
斎藤真理子『韓国文学の中心にあるもの』 【評】大塚英志
小川哲『地図と拳』 【評】逢坂冬馬
滝口悠生『水平線』 【評】石原俊
古谷田奈月『フィールダー』 【評】相川千尋
サーバーサイドリクエストフォージェリ (Server-Side Request Forgery/SSRF)とは何か | OWASP 2021
2021年に改訂されたOWASP Top 10:2021の中で、10位の項目として挙げられたのが、「Server-Side Request Forgery(SSRF)」です。
日本語では、「サーバーサイドリクエストフォージェリ 」と呼ばれます。
前回の改定時の2017年度版では、TOP10含まれていませんでしたが、問題の発生率は比較的低いものの、問題が起きた場合の影響が大きいことから、2021年度版で10位となったと考えられます。
サーバーサイドリクエストフォージェリ(SSRF)とは
企業のアプリケーションは一般的に複数台のサーバーを使用しています。
SSRFの欠陥がウェブアプリケーションに存在する場合、攻撃者はターゲットのサーバーになりすましながら、別のサーバーにリクエストが送信できるようになります。
外部公開サーバーに対し、想定されていない操作を行うことで、内部のサーバー通しの通信をとして不正な処理を実行する攻撃が、サーバーサイドリクエストフォージェリと呼ばれます。
CSRF(クロスサイト・リクエストフォージェリ)との違い
CSRFは攻撃者が被害者となるユーザーに意図しないリクエストを送信される一方、
SSRFでは、ユーザではなくターゲットとなるサーバに意図しないリクエストを送信させ、外部に公開していないサーバに処理を実行させてしまうという点です。
対策
SSRFを防ぐには、ネットワーク層においてはアクセス許可リストの設定が必要です。
基本的にはデフォルト拒否のファイアウォールポリシー/ネットワークアクセス性g長を行い、適切な外部リソースが特定の場所からのアクセスが分かっている場合は、そのIPアドレスまたはホスト名のみを許可します。
アプリケーション層については、入力データのサニタイズやHTTPリダイレクトの無効か、生のレスポンスをクライアントに送信しないなどの対策が有効です。
セキュリティログとモニタリングの失敗(Security Logging and Monitoring Failures)とは何か | OWASP 2021
2021年に改訂されたOWASP Top 10:2021の、9位は「Security Logging and Monitoring Failures」です。
日本語では、「セキュリティログとモニタリングの失敗」「セキュリティログと監視の失敗」となどと訳されています。
前回の改定時の2017年度版では、10位の「不十分なロギングとモニタリング(Insufficient Logging & Monitoring)」としてランクインしており、2021年版ではわずかに順位をあげています。
セキュリティログとモニタリングの失敗とは
アプリケーションへの攻撃はゼロにすることができないため、攻撃があった際にそれを検知してさらなる攻撃を防ぐ対策を行ったり、攻撃者に関して調査をする必要があります。そのためにセキュリティログとモニタリングが重要です。
ロギングとモニタリングに不備があると、説明責任やインシデントアラート、フォレンジックなどに影響がでます。
攻撃者が攻撃する際の各ステップにおいて、ロギングとモニタリングは、攻撃者を足止めする機会を与えてくれます。適切なログは以下のような情報を含みます。
- 特定のファイルを閲覧したりダウンロードしたりしたのは誰か?
- 不正な認証の試みが行われたことはあるか?
- 最近ログインしたのは誰か?
- 予期しない時間帯、予期しない場所から認証イベントが発生していないか?
上記の情報をはじめ必要な情報が含まれていなかったり、怪しいアクテビティについてアラートがモニタリングされていない・アラートが発生しなかったりすることを、「セキュリティログとモニタリングの失敗」と呼びます。
対策
セキュリティ被害の怖さとして、数週間、数カ月、あるいは数年間も発見されないことがよくあることが挙げられます。
発見されない期間が長ければ長いほど、攻撃者はより多くの手段を講じることができ、より多くの悪影響を及ぼす可能性があります。
ログ、監視、警告をて適切に行う設定にすることで、攻撃者がシステムに侵入したことを発見し、被害が拡大する前に阻止できる可能性が高まります。
ログに必要な情報の理解と、正しく記録されているかの確認が重要です。
ソフトウェアとデータの整合性の不具合(Software and Data Integrity Failures)とは何か | OWASP 2021
2021年に改訂されたOWASP Top 10:2021の、8位は「Software and Data Integrity Failures」です。
日本語では、「ソフトウェアとデータの整合性の不具合」「ソフトウェアとデータの整合性の失敗」と訳されています。
2021年度版より新設されたカテゴリーと言われていますが、2017年度版の同順位(8位)の「安全ではないデシリアライゼーション」と関連しています。
ソフトウェアとデータの整合性の不具合とは
近年では、多くのアプリケーションに自動更新機能があり、十分な検証がされないまま更新ファイルがダウンロードされることがあります。
ソフトウェアのビルドやテスト・デリバリー・デプロイメントを自動化し、継続的に行う開発手法である「CI/CD(継続的インテグレーション/継続的デリバリー)」やDevOpsなどの開発手法は、セキュリティの観点では安全でないものを自動的にソフトウェアに取り込む可能性があるなどの問題があります。
OWASP2021の6位である「脆弱で古くなったコンポーネント(Vulnerable and Outdated Components)」と似ていますが、8位の「ソフトウェアとデータの整合性の不具合」は、ベンダーから定期的よりメンテナンスがなされるという点に重点を置いています。
OWASP2017のTop10であった「デシリアライゼーション」は本項目について適切に対応を行わないと発生するという意味で、本項目の指摘事項に含まれます。
対策
ソフトウェアとデータの整合性の不具合を防ぐためには、ソフトウェア開発のライフサイクルにおける自動化されたプロセスに注目し、そのアプリケーションと開発プロセスが安全であることを確実にします。
また、そもそも使用を開始する際に、計画段階から意図してた(問題のない)ソースから取得される仕組みになっているのか、安全なライブラリを使用しているかのような検証を行います。
デシリアライズについては、信頼されていないクライアントに対して、未署名もしくは暗号化されていないシリアライズされたデータを送信をしないように設定することで対策をします。
識別と認証の失敗(Identification and Authentication Failures)とは何か | OWASP 2021
2021年に改訂されたOWASP Top 10:2021の、7位は「Identification and Authentication Failures」です。
日本語では、「識別と認証の失敗」「識別と認証の不備」と訳されています。
前回の改定時の2017年度版では、2位の「認証の不備」としてランクインしていましたが、2021年度版では順位を下げつつもTop10に含まれています。
識別と認証の失敗とは
Webアプリケーションはユーザーを識別し、適切に認証する必要があります。つまり、アクセスの際にユーザー自身が提示している通りの人物であることを確認必要があります。
デフォルトや弱いパスワードを利用していたり、暗号化がされていないなどが原因で、本人以外のユーザーがパスワードを簡単に入手出来てしまうという問題は、本項目にあたります。
例えば、パスワードを忘れたとき、「パスワードを忘れた」をクリックし、ユーザー本人であることを証明するために、事前に登録したSMSやメールアドレスで受け取った確認用コードを入力するというフローが広く使われています。この際に、確認用コードの入力手順を省略された場合や不正確に行われた場合、任意のIDすべてのパスワードが誰でも変更できることになります。これが「識別と認証の失敗」の一例です。
また、ソフトウェアが証明書を提供するホストと通信する際に、そのホストの証明書が実際にそのホストと関連付けられているかの確認を適切に行わないことも「識別と認証の失敗」の例として挙げられます。つまり、識別・認証の手順は存在するが、提示された情報が正しいものかの検証に不備があるケースです。
さらに、Webアプリが古いセッションを閉じない場合も例として挙げられます。セッションが無期限にアクティブであると、別のユーザーが利用しようとした際に、前のユーザーの認証情報で操作ができるという状況が発生してしまいます。
対策
ユーザー本人だけが適切にアクセスできる状態を保つために、パスワードの長さ・複雑さ・変更頻度についてポリシーを設定します。
可能な限り多要素認証を実装することも、自動化による攻撃への対策になります。
セッション管理についても、タイムアウト設定を正しく行うことや、ログインごとにランダムなセッションIDの発行を行うこと、そのセッションIDをURLに含まず、安全に保管することなども重要です。
脆弱で古くなったコンポーネント(Vulnerable and Outdated Components)とは何か | OWASP 2021
2021年に改訂されたOWASP Top 10:2021の、Top6は「Vulnerable and Outdated Components」です。
日本語では、「脆弱で古くなったコンポーネント」「脆弱で古いコンポーネント」と訳されています。
前回の改定時の2017年度版では、Top9でしたがメンテナンスがされていない古いコンポーネントを使用して作成されたアプリケーションなどが、更新されずに使用されているケースが増加していることなどの理由で、順位が上がったと考えられます。
脆弱で古くなったコンポーネントとは
Webアプリケーションの大半は、オープンソースやサードパーティのコンポーネントを使用して構築されています。そのため、Webアプリケーションを構築するためのコンポーネントが脆弱であれば、Webアプリケーションも脆弱であることになります。
使用しているコンポーネントのバージョンを把握していない場合、サポートされていない買ったり脆弱であったりする場合、攻撃の対象となり、データの流出や改ざんの可能性が高まります。
対策
使用しているコンポーネントが安全であることを把握するため、すべてのソフトウェア・コンポーネントとそのバージョンについて、常に完全で最新のリストを持っている必要があります。
そして、既知の脆弱性を調査したり、アプリケーションを積極的にテストすることで各コンポーネントが脆弱でないかを確認します。
また、古くなったソフトウェアを更新し、既知の脆弱性にパッチを適用する必要があります。
「脆弱で古くなったコンポーネント」の問題は、技術的な問題ではなく、むしろ組織の意思決定プロセスの問題であることが多いとされています。この解決策としては、上記の手順を適切に繰り返し行えるようなプロセスを確立することが大切です。
セキュリティの設定ミス(Security Misconfiguration)とは何か | OWASP 2021
2021年に改訂されたOWASP Top 10:2021の中で、5位の項目として「Security Misconfiguration」が挙げられています。
日本語では、「セキュリティの設定ミス」「セキュリティ上の構成ミス」「セキュリティの誤った設定」など呼ばれています。
前回の改定時の2017年度版では、6位でしたが、高度な設定が可能なソフトウェアの増加の結果、順位が上がったと考えられます。
セキュリティの設定ミスとは
各アプリケーションやソフトウェアには、様々な設定項目があります。セキュリティの設定ミスとは、その設定項目についてデフォルトから変更しないなど、安全でない状態であることを指します。
その他に、Webアプリケーションのセキュリティの設定ミスの例として、不要なサービスや機能を有効にする、クラウドサービスのアクセス許可を適切に設定しない、ソフトウェアの更新をしないなどが挙げられます。
身近な例では、使用しているスマートフォンのパスコードをオフの設定にし、紛失した際に誰でも使用できるといったケースも、セキュリティの設定ミスです。
対策
それぞれの組織や各アプリケーションによって、満たすべき要件やリスクの許容度が異なるため、一概にどのような設定にすべきかという答えはありません。関係するチームがセキュリティの設定ミスについて理解し、各設定についてリスクを考慮の上、意図的に決定していくことが大切です。