Hubsのセキュリティ課題

世間的な印象

● あのMozillaが作っているんだし…

● オープンソースだし…

● 世界中の人が使っているんだろうし…

● AWSのひとも見ているんだろうし…

実際どうなの？

→セキュリティ専門家と調査を実施

Hubsのセキュリティ課題とその解決

運用時に注意したいセキュリティ対策の例

● 大量のデータ送信によるサービス妨害への対策 カスタマイズ時に注意したい対策の例

● Local storageの利用を避ける

● Cookieのsecure属性, HTTP-only属性の使用

● セキュリティを強化するヘッダの使用

※1: CVSS（Common Vulnerability Scoring System;共通脆弱性評価システム）のような標準化された基準で評価していません。

※2: ラボの独自ドメイン(非公開)にインストールした、Hubs Cloud AWS 1.1.1にて調査。

※3: 2020年8月時点での調査。将来は解決されていくべき内容であることをふまえてご理解ください。

想定業務：バーチャルオープンキャンパス、24時間常時起動して自由に閲覧可能。

想定ユーザ：未知のユーザが訪問して交流。メールアドレス等の登録は基本不要。

セキュリティについての詳細は資料公開を

割愛させていただいておりますお問い合わせは

[email protected]

までどうぞ

Mozilla Hubsを用いたバーチャルイベントのWebVR化

～その可能性と実際～

2. 技術選択

1. Hubsによるバーチャルイベントの音声品質改善 2. Hubsのセキュリティ課題

3. Hubsの法的遵守課題

4. Hubsよいところ・難しいところ・スケール 5.今後の観測・技術負債の見通し

6.解決策（エンジニアとして・プロデューサとして）

Hubsの法的遵守課題

● [Good]利用規約、プライバシーポリシーは管理画面で設定可能

● チャット機能を提供するために、総務省に対して

「電気通信事業者」としての届出が必要な場合がある

● 不特定多数が閲覧可能になるため実態は掲示板に近い

「プロバイダー責任制限法」に抵触する可能性ログを適切な形で保管する必要がある

● オープンなボイスチャットはトラブルにしかならない

● YouTubeプレイヤーの実装(ytdlを内部で利用）

想定業務：オープンキャンパス等、24時間常時起動して自由に閲覧可能。