「個人情報が流出」や「カード情報が流出」といったニュースは、今となっては珍しくもなくなってきました。「またか・・・」という感想を持たれる方も多いと思います。その規模の大小に差はあれど、情報漏洩に対してあきらめに近いムードもありますが、本来的にはこうしたインシデントは防ぐべきです。
こういった流出は、もちろん内部人材の犯行によるものも多いですが、特定のソフトウェアの脆弱性発見に伴うものが非常に多くの割合を占めています。最近ではApache Struts2で稼働しているアプリケーションが狙い撃ちされ、クレジットカード情報の流出等、甚大な被害が発生しています。他にもネットワーク系のソフトの脆弱性を用いた攻撃や、特定のソフトウェアライブラリに起因するものなど、枚挙のいとまがありません。
「大手と違ってうちは小さいから」ですとか「うちのシステムはそんなたいしたシステムではないから」と思われているなら大きな勘違いです。こうしたサイバー被害は明日、あなたにも起こりえます。身近なケースを想定しながら、いくつかのポイントで整理してみましょう。
Point.1 「ブログ」も立派なシステム
システムといって頭にすぐに浮かぶのは銀行や鉄道の大規模システムかもしれませんが、身近なところではブログも立派なシステムです。文章を保存し、それを表示するというシンプルなものですが、Wordpressをはじめとするメジャーなブログシステムは、同時に標的にされやすい性質をもっています。利用者が多いことはそれだけ攻撃手法を確立さえすれば、得られるリターンも大きくなることを意味するため、普及度と標的度はどうしても相関関係を持ってしまいます。
現にWordpressを乗っ取られたという事例は多く存在します。また、気付いていないだけで実は乗っ取られているという事例も多く存在するでしょう。「うちの情報なんか盗んでも何も意味がない」というのはあまりにナイーブな発想です。乗っ取りの目的は必ずしも中身を盗むことではなく、ホームページを改ざんして、ウィルスをばらまいたり、別の違法サイトへ誘導したり、といったことが行われます。しかも、すぐには気付きにくい方法でです。
一度ホームページ自体がそういう状態になると、Google等での検索結果にも影響がでます。当然表示順位が下がりえますし、会社としての信頼感は大きく下がってしまうでしょう。「うちはたいしたことないから大丈夫」というのは危険な考え方と言えます。もし、「自社で管理しているシステムは全部でいくつか」「攻撃されうる対象は何か」といった質問に即答できないようであれば危機管理態勢としては脆弱です。現状をまず確実に把握するところからはじめてください。
Point.2 社内にわかる人間がいないので放置問題
ホームページを作ったものの、作ったっきりという方は多いと思います。また、制作会社から運用保守の契約を持ちかけられてもその価値を理解できずに特に契約していないという方も多いと思います。確かに、運用保守の契約がすなわち完ぺきな脆弱性対策を意味しませんが、きちんとしたセキュリティへの知識と危機感をもった業者であれば、その旨の説明と作業を行ってくれるはずです。
先述のWordpressであれば、継続的にWordpressをアップデートしていくことが肝要です。もちろん、継続的なアップデートが可能なかたちで最初から構築することも必要です。使用しているプラグインがバージョンアップに対応していない等でWordpress本体のアップデートができない状況に陥るのは本末転倒です。
他にもWordpressをVPSやクラウド上に設置するのであれば、サーバーソフトウェアの脆弱性対策等も必要になります。システムの組み方ひとつでも、その脆弱性対応の必要性の範囲が大きく動きます。作ったときだけでなく、作った後に対応が必要になるのが脆弱性対応です。未来を見越して判断するようにしてください。サーバー部分の管理を丸投げできるサービスも出てきているため、そうしたサービスを利用してしまうのも一つです。
さらにはWordpressの機能を拡張するためにプラグインを利用している場合、そのプラグインのメンテナンス状況にも気を配る必要があります。プラグインに含まれる脆弱性を入り口にして、本体のWordpressやサーバーにまで影響が及ぶことがあるため、きちんとメンテナンスされていないプラグインの使用をやめたり、そもそものプラグイン依存の数をできる限り減らしていったりする等の対策が必要でしょう。
Point.3 乱暴なアップデートは危険
ブログソフトウェアやサーバーソフトウェアのアップデートは、時に予期しない動作エラーを生み出します。「とりあえずアップデートすればいいんでしょ」という乱暴な対応は、ホームページが見られなくなったり、なんとも恥ずかしいエラー文字列が表示され続けるということにつながります。
アップデート問題に限らず、同一環境のテスト環境を用意するのがお手軽かつ効果的です。本番環境と同じ設定でサーバーやシステムを構築し、先にテスト環境で問題ないことを確認してから本番環境で同じ作業を行うイメージです。やってしまってからでは遅いので、安いサーバープランでもテスト環境を設けることをお勧めします。アクセス数の多いサイトであれば、そうしたテストをしっかりすると同時に、作業する時間帯もアクセス数の少ない深夜の時間帯を選ぶなどすると、なお良いでしょう。
また、PaaSと呼ばれるような、サーバー管理の手間を低減できるインフラサービスの利用を検討するのも良いでしょう。コスト的な負担は増しますが、サーバー管理や、バージョン管理といった維持管理の手間を軽減することが可能です。
決して終わらない戦い
脆弱性対応には残念ながら終わりがありません。新しいバグが発見され、その情報はまたたくまにサイバー攻撃を企む側に拡がり、新たな攻撃手法がすぐさま編み出されています。普段は目にしないサーバーへのアクセスログを見ていると、おびただしい数の攻撃が今この瞬間も行われていることがわかります。
脆弱性対応は「やれたらやる」ことではなく「絶対にやるべきこと」です。もしまだ全くの手つかず状態なのであれば、一度どういうかたちが自社にとって最適化を、協力会社含め議論されることをお勧めします。