サイバー犯罪時代のセキュリティ・脆弱性対策の考え方

System

「個人情報が流出」や「カード情報が流出」といったニュースは、今となっては珍しくもなくなってきました。「またか・・・」という感想を持たれる方も多いと思います。

こういった流出は、もちろん内部人材の犯行によるものも多いですが、特定のソフトウェアの脆弱性発見に伴うものが非常に多くの割合を占めています。最近ではApache Struts2で稼働しているアプリケーションが狙い撃ちされ、クレジットカード情報の流出等、甚大な被害が発生しています。

「大手と違ってうちは小さいから」ですとか「うちのシステムはそんなたいしたシステムではないから」と思われているなら大きな勘違いです。こうしたサイバー被害は明日、あなたにも起こりえます。身近なケースを想定しながら、いくつかのポイントで整理してみましょう。

Point.1 「ブログ」も立派なシステム

システムといって頭にすぐに浮かぶのは銀行や鉄道の大規模システムかもしれませんが、身近なところではブログも立派なシステムです。文章を保存し、それを表示するというシンプルなものですが、Wordpressをはじめとするメジャーなブログシステムは、同時に標的にされやすい性質をもっています。

現にWordpressを乗っ取られたという事例は多く存在します。また、気付いていないだけで実は乗っ取られているという事例も多く存在するでしょう。「うちの情報なんか盗んでも何も意味がない」というのはあまりにナイーブな発想です。乗っ取りの目的は必ずしも中身を盗むことではなく、ホームページを改ざんして、ウィルスをばらまいたり、別の違法サイトへ誘導したり、といったことが行われます。しかも、すぐには気付きにくい方法でです。

一度ホームページ自体がそういう状態になると、Google等での検索結果にも影響がでます。当然表示順位が下がりえますし、会社としての信頼感は大きく下がってしまうでしょう。「うちはたいしたことないから大丈夫」というのは危険な考え方と言えます。

Point.2 社内にわかる人間がいないので放置問題

ホームページを作ったものの、作ったっきりという方は多いと思います。また、制作会社から運用保守の契約を持ちかけられてもその価値を理解できずに特に契約していないという方も多いと思います。確かに、運用保守の契約がすなわち完ぺきな脆弱性対策を意味しませんが、きちんとしたセキュリティへの知識と危機感をもった業者であれば、その旨の説明と作業を行ってくれるはずです。

先述のWordpressであれば、継続的にWordpressをアップデートしていくことが肝要です。もちろん、継続的なアップデートが可能なかたちで最初から構築することも必要です。使用しているプラグインがバージョンアップに対応していない等でWordpress本体のアップデートができない状況に陥るのは本末転倒です。

他にもWordpressをVPSやクラウド上に設置するのであれば、サーバーソフトウェアの脆弱性対策等も必要になります。システムの組み方ひとつでも、その脆弱性対応の必要性の範囲が大きく動きます。作ったときだけでなく、作った後に対応が必要になるのが脆弱性対応です。未来を見越して判断するようにして下さい。

Point.3 乱暴なアップデートは危険

ブログソフトウェアやサーバーソフトウェアのアップデートは、時に予期しない動作エラーを生み出します。「とりあえずアップデートすればいいんでしょ」という乱暴な対応は、ホームページが見られなくなったり、なんとも恥ずかしいエラー文字列が表示され続けるということにつながります。

アップデート問題に限らず、同一環境のテスト環境を用意するのがお手軽かつ効果的です。本番環境と同じ設定でサーバーやシステムを構築し、先にテスト環境で問題ないことを確認してから本番環境で同じ作業を行うイメージです。やってしまってからでは遅いので、安いサーバープランでもテスト環境を設けることをお勧めします。

決して終わらない戦い

脆弱性対応には残念ながら終わりがありません。新しいバグが発見され、その情報はまたたくまにサイバー攻撃を企む側に拡がり、新たな攻撃手法がすぐさま編み出されています。普段は目にしないサーバーへのアクセスログを見ていると、おびただしい数の攻撃が今この瞬間も行われていることがわかります。

脆弱性対応は「やれたらやる」ことではなく「絶対にやるべきこと」です。もしまだ全くの手つかず状態なのであれば、一度どういうかたちが自社にとって最適化を、協力会社含め議論されることをお勧めします。

関連エントリー