年々拡大するセキュリティ事故…手遅れになる前に、自社のチェック体制を確認しましょう

当社は、企業が運営するウェブサイトのシステム運用マネージメントや、セキュリティマネージメントなどを１３年にわたって行っている会社です。EC関連企業にも多くご利用いただいておりますので、今日はEC関連企業の皆様に、セキュリティという観点でチェックいただきたいポイントをお話したいと思います。 まず、ウェブサイトのセキュリティ事故を取り巻く近年の状況からご説明します。以下図表をご覧下さい。こちらは昨年までに起こった事故の一例です。被害状況が大きかったものを中心に載せているので、記憶に残っている方も多いのではないでしょうか。

どんなウェブサイトにおいても、セキュリティ事故によって引き起こされる損失は大きく、企業の信用問題にも関わってくるものです。特にECの世界においては、サイトが機能しない＝販売できないということですから、顧客離れにより売上が落ち込んだり、また事故の度合いによっては、サイト閉鎖にまで発展したりする可能性も秘めています。 事故が起きないよう日頃からセキュリティ対策を万全にしておく事が一番ですが、万が一起きてしまったら、どれだけスピーディーに原因を突き止められるかが、命運を分けるカギになります。サイト復旧までの1分1秒を争うスピード勝負の世界で、どれだけ素早い対応ができるかは、万が一の事態を想定し、定期的に自社サイトの運用体制を見直しているかにかかっているのです。 当社が、これまでセキュリティ対策をしてこなかった、または何年も運用体制を見直していないという企業と話をする場合は、まずは、以下３つの項目について確認をしていただいています。

（１）監視：何をどのようにしているか？ （２）バックアップ：いつどのように？ （３）セキュリティ：誰がどのように？

もしこれらの回答がすぐに出てこないようであれば、早急に体制を見直すことをオススメしています。部分的に欠けているところがある企業には、まずはそこから手をつけていただきます。 近年はサーバをクラウド上に置く企業も増えてきたので、クラウドサービスを利用している企業は、経産省が定義しているこちらのガイドラインを参考にしてみるのも良いでしょう。 大切なのは、事故が起こったときにどういうフローで事態を収拾させるかです。担当者は？チェックすべきポイントは？ など必要事項を定期的に見直し、しっかりとしたフローを作り上げ、社内で共有しておくことが重要です。 またシステム運用や、サーバ管理、ウェブサイトの監視などの業務を外部に委託している場合は、事故が起こった時に、社内で誰が窓口になるかといった取り決めもしておくべきです。そうしないと、委託先の会社は誰に連絡していいのか分からずどんどん確認が遅れ、最悪の事態へと進んでしまうことがあるからです。

サーバより、アプリケーションに注意が必要！ できる限りバージョンアップで対策を！

セキュリティ事故と聞いて、真っ先に思い浮かぶのは、「不正アクセス」ではないでしょうか。 不正アクセスとは、本来コンピュータへの正規のアクセス権を持たない人が、ソフトウェアの不具合などを悪用してアクセス権を取得し、不正にコンピュータを利用したり試みたりする行為のことです。ファイルの盗み見や、削除・改変、盗聴、クレジットカード情報をはじめとする個人情報の窃取などが行われるため、不正アクセスを受けたサイトは多大な損害を被ることになります。 従来は高度な技術を持ったハッカーによる犯行が主流でしたが、近年は、誰でも容易に不正アクセスができるようになってきました。 例えば、不正アクセスを実行するアプリを使ったもの。誰でも簡単に手に入ってしまうこうしたアプリを使えば、アプリをダウンロードし攻撃や侵入をしたい対象のURLを入れるだけで、攻撃できてしまう非常に危険な手法です。知識のない人でも即座に不正アクセスができてしまうので、企業側は、これまで以上に慎重になる必要が出てきているのです。 ところでどうして不正アクセスは頻繁に起こるのでしょうか？ それは攻撃を受けやすいのがサーバ側ではなく、主にアプリケーション（ソフトウェア）側にあるからです。実はサーバ側（システム側）はここ10年ほど、技術は変わっていません。「枯れた技術」という表現がされるほどです。しかし「枯れた」というのは良いことで、それだけセキュリティが担保されているということでもあるのです。 危険なのは、システムの上にのっかっているアプリケーションです。アプリケーションを構成しているプログラミング中のバグ（脆弱性）を突いて、不正にアクセス権が取得されるため、攻撃がされやすくなっているのです。 近年は、CMS（コンテンツ管理システム）の普及で、誰でも簡単にウェブサイトを作れるようになりましたが、バグの修正に対応しきれていない古いバージョンのアプリケーションを使っていると、攻撃を受けやすいというデメリットがあります。バージョンアップすると、ホームページごとリニューアルをしなくてはいけないなどの課題が存在することがあるため、費用面を考慮し古いバージョンを使い続ける企業もあるようですが、こうしたサイトが攻撃の対象となっているのが実態です。 バージョンを上げることで、かなりの確率で不正アクセス被害は回避できるのですが、費用面の問題等で難しい場合には、定期的に脆弱性診断ツールを使ったり、ウェブサイトに不具合がないか監視するプログラミングを導入したりして予防するという策もあります。安価に提供されているものもあるので、こうした対策から始めてみるのも良いでしょう。

企業が事態を把握していることが大前提！

日頃セキュリティ対策をしていないウェブサイトが事故に遭った場合、運営者側が気づかないまま事態が大きくなっているということがあります。 何らかの理由により急激にアクセス数が増えサーバが落ちてしまった、決済処理が行われないなど、お客様からのクレーム電話によって初めて事態に気づいたという話もよく聞きます。こうした状況を一番に理解していなくてはいけないサイト運営者側が、事態を最後に知ることとなり、お客様に多大なご迷惑をおかけすることになってしまいます。 特にパスワードが盗まれた、クレジットカードの情報が漏洩したなど個人情報に関わる問題が起きた場合には、お客様に直接被害が及ぶことになるので、運営者側は早急に状況を確認し、該当のお客様に報告する必要があります。 セキュリティに関わる事故や問題は頻出するものではないので、起こる可能性が少ないものに対してコストをかけるのはどうなの？ と考えている企業もあるかもしれません。しかし一度の事故が命取りとなってしまうことも十分ありえますので、最低限の対策はしておいて損はないでしょう。 売上高や会員数など、ECサイトの規模感によって徐々にセキュリティレベルを向上させていく方法もありますので、まずは冒頭で上げたチェック事項を確認していただき、足りないところがあれば見直しをしてみてください。もし自社で分からない点があれば、我々のような専門家が相談に乗ることも可能ですので、できる範囲の中で一度セキュリティについて見直す機会を設けていただければと思います。 次回は、「クラウド」「ホスティング」といったキーワードから、事業者の目的別に適切なサーバを選ぶポイントをご紹介します！

======================================

＜プロフィール＞ 松田 昭穂（まつだ・あきお） 株式会社スカイアーチネットワークス 会社URL：http://www.skyarch.net/ 20年来IT業界でコンサルティング業に従事。 2001年にスカイアーチネットワークスの設立に参画し、以来、サーバ/ネットワークコンサルタントとして、100社を超えるシステムを構築し安定運用に導く。 近年は、クラウドやHadoopのサービス化のプロジェクトを率いるほか、セキュリティ責任者を兼務。約3,000台のサーバを、技術面、物理面から支える指揮を執る。

======================================

後編へ⇒EC事業者必見！ サーバ・セキュリティを見直そう！ 〜後編〜