ウェブサイトのセキュリティ格差社会と発注者の責務
ウェブサイトのセキュリティ格差社会と発注者の責務
2015年3月4日
ウェブサイトのセキュリティ格差社会と発注者の責務
HASHコンサルティング株式会社代表
徳丸 浩
私はウェブサイトにセキュリティ上の問題(脆弱性)がないか確認する脆弱性診断という仕事をしています。SQLインジェクションなどウェブサイトに対する攻撃が急増したのは2005年からですが、その頃はどのウェブサイトを診断しても多くの場合危険な脆弱性が発生する場合が多く、言わばどのサイトも満遍なく危険な状態でした。
しかし、2008年頃から安全なサイトと危険なサイトの「格差」が目立つようになりました。安全なサイトはどんどん安全になる一方で、あいからわらず危険なサイトはあり、その差が拡大したのです。私はこの現象を「セキュリティ格差社会」と呼んでいます。
ウェブサイトの運営には、通常、サイトのオーナーすなわちお金をだす会社と、お金をもらってサイトを制作する開発会社が関与します。攻撃の原因となる脆弱性が見つかった場合、その責任は、サイトオーナーと開発会社のどちらにあるでしょうか?「作った方にあるのではないか」と思う方も多いことでしょうが、最終的な責任はサイトのオーナーにあります。つまり、サイトオーナーには安全なウェブサイトを作らせることと、安全に運営させる責務があるのです。
このように書くと決まって、「いや、うちのサイトは個人情報もないので守るべきものがありません」という言い訳が返ってくるのですが、そうはいかないのです。例えば、以下のようなシナリオで利用者に迷惑を掛けてしまいます。
・ウェブサイトの脆弱性が原因でサイトが改ざんされる
・改ざん後のサイトを閲覧した利用者のパソコンがウイルスに感染する
・ウイルスに感染したパソコンでオンラインバンキングを利用すると勝手に不正送金されてしまう
不正送金による損失は通常銀行側で補償してくれますが、だからと言って誰にも迷惑をかけていないことにはなりません。補償のコストは巡り巡って銀行の利用者全員で負担しているわけですから、サイトの改ざんにより、社会全体に迷惑をかけていることになってしまうのです。
しかしこう説明しても、「いや、私もセキュリティをガチガチにしたいのは山々なのだが、そうすると構築費用が倍になってしまう」という意見を聞くことがあります。しかし、それも誤解です。最低限要求されるセキュリティ水準であれば、大幅にコストが跳ね上がることはありません。正しい知識がないために、過剰な努力をしたり、必要な対策が抜けてしまうという「ムラ」がコスト増の原因なのです。
セキュリティ格差により危険なサイトが数多くあり、それによる被害が脆弱なサイトのオーナーにとどまるのであれば「自業自得」で済むのですが、インターネットはサイト間で相互に影響を及ぼしてあっているので、危険なサイトを放置するとネットの利用者全員に迷惑を掛けてしまうことになります。それを解決するためには、迂遠なようであっても、サイトの発注者と開発者の両方に「正しいセキュリティ知識」を持ってもらうことが一番の早道だと私は考えています。
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。