セキュリティ対策はどこまでやる?

  • テクノロジー

EGセキュアソリューションズ 徳丸 浩氏
特別インタビュー 第2回(全4回)

サイバー攻撃は企業規模に関係なく、誰でもターゲットにされる可能性があります。では、セキュリティ対策はどこまでやればいいのでしょうか。EGセキュアソリューションズ代表 徳丸 浩氏、セキュリティエンジニア 岡本 早和子氏に伺いました(聞き手:トライベック・ストラテジー 工藤 友美)。

20180501_01.jpg

セキュリティ対策はどこまでやればOK?

  • 決済機能や個人情報の有無など、サイトにも違いがありますが、それぞれセキュリティ対策をどこまでやっていなければならないのでしょうか。
  • 最終的には経営者が決めることになりますが、決済が発生するところはより念入りにというのはあります。そのほかにもECサイトで用いる決済代行業者からWAFの導入を求められる、ということもあるようです。その一方で企業情報サイトは何も求められないので、何もやっていないところも多いです。でも脆弱性診断くらいはやろうよ、と。それ以上だと改ざん検知、WAFなどコストはそれなりにかかりますが、効果の高い対策の導入は考えてほしいですね。
  • WAF Web Application Firewall。Webサイトとの通信の中に攻撃コードが含まれていないかをチェックし、自動的に遮断するセキュリティソフト/機器
  • その場合の基準はどう考えればよいのでしょうか。
  • 自力でやるのは難しいので、業界標準・基準を使うのがお勧めです。以前にSQLインジェクションの脆弱性を作りこんでしまったのは開発会社の重過失である、とした有名な判決(https://blog.tokumaru.org/2015/01/sql.html)がありましたが、そのときの基準となったものがIPAの『安全なウェブサイトの作り方』を参照した経産省の注意喚起でした。つまり、『安全なウェブサイトの作り方』は裁判の際にも基準として使われるものだということになります。
  • IPA 独立行政法人 情報処理推進機構。日本におけるIT国家戦略を技術面、人材面からサポートする経済産業省所管の独立行政法人(https://www.ipa.go.jp/
  • 安全なウェブサイトの作り方 IPAが届け出を受けた脆弱性関連情報を基に、届け出が多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、Webサイト開発者や運営者が適切なセキュリティを考慮したWebサイトを作成するための資料(https://www.ipa.go.jp/security/vuln/websecurity.html)。企業・官公庁などのセキュリティ要件として参照されることが多い
  • 「セキュリティを担保するのはWebサイトの管理者ではなく、開発会社の責任」ということなのでしょうか。

20180501_02.jpg

  • それは違います。あくまで「開発会社にも責任がある」という判決です。その判決では2,300万円ほどの支払いが命じられたのですが、責任相殺で3割ほど減額になっています。それに被害額はもっと大きいですし、信用失墜も大きい。取り返せたとしても十分ではなかったと思います。裁判費用や弁護士費用もとれていません。なので、この判決で学ぶべきことは「発注元も開発会社も一定の基準を持ってセキュリティ対策を行わなければいけない」ということです。
  • そうなると、開発会社がどこまできちんとやってくれるかという見極めも必要ですね。
  • 一番重要ですが、難しいですよね。そういうきちんとしているところが最終的にはコストパフォーマンスがよいのですが、目先の見積に流されて安かろう悪かろうに流れていっちゃってるんじゃないかな、と思いますね。
  • 開発の際には必ず脆弱性診断を入れる、という指針にした方がいいのでしょうか。
  • そうですね。考え方としては開発側がやる、受け入れ側がやる、の二通りがありますが、すごくちゃんとしているところは両方でやっています。
  • トライベック・セキュリティソリューションの診断メニューはすべて『安全なウェブサイトの作り方』を踏襲しているので、万が一、裁判になるようなことがあっても、基準を満たしているということができますね。

20180501_03.jpg

トライベック・セキュリティソリューションの選び方

  • 今までいっさいセキュリティ対策をしていないところや、今回危機感をもったところが最初に手を付けるべき対策はどこでしょうか。
  • まずは現状把握という意味で脆弱性診断を行ってほしいと思います。
  • 診断メニューには基本診断、総合診断、スタンダート、プレミアムなどがあります。さらにソースコード診断もあります。どれを選べばいいのでしょうか。
  • お勧めはスタンダードプランです。ただ、規模が大きくなるとかなりコストがかかるので、抜き出して診断を行う割安プランとして基本診断プランなども用意しています。より高セキュリティが求められる場合はソースコード診断プランやプレミアムプランということになります。
  • 基本はスタンダードなのですね。
  • 弊社としてはそうです。
  • そこを軸にした場合、プレミアムはより多くの項目を診断するわけですが、どちらを選ぶかはどうやって判断すればいいのでしょうか。
  • つまるところ、発注者がどこまで安全を確認したいか、ということになります。
  • ひとつの基準として、個人情報を持っていないからプレミアムまでは不要、という考え方はどうでしょうか。
  • ありです。ただ、個人情報、決済処理の有無だけで杓子定規には判断できません。例えばEGセキュアソリューションズのサイトは個人情報も扱いませんし、規模も小さいです。ですが、セキュリティを生業としている弊社のサイトが改ざんされたらこれは事業継続に関わる大ごとです。想定される被害額がたかだか数百万なのに、数百万かけて診断するのはおかしいですが、数億の被害が予想されるのなら数百万かける意味はあります。
  • ブランド毀損リスクなども勘案するわけですね。ではソースコード診断の方はどうでしょうか。どういったときにソースコード診断をすべきでしょうか。
  • 侵入を受けたのでしっかり診断・対策したいとき、などですね。脆弱性診断には実際のプログラムやWebサイトの動きから診断するブラックボックス診断、ソースコードを静的に確認するホワイトボックス診断の2つがありますが、主流はブラックボックス診断です。基本診断プランやスタンダードプランはブラックボックス診断になります。ホワイトボックス診断であるソースコード診断は特殊なケースと言えるでしょう。
  • プレミアムはブラックボックス診断ですか?
  • プレミアムはブラックボックス診断とホワイトボックス診断の両方を行う、グレーボックス診断相当になります。

【今回のポイント】

  • 『安全なウェブサイトの作り方』を基準にする
  • 現状把握としてまずは脆弱性診断を
  • お勧めはスタンダードプラン

次回は、セキュリティ対策はどこから手を付ければいいのか、をお聞きします。

  • 本稿は2018年3月14日に行われたインタビューを元にしたものです。そのため、現在では状況が異なっている場合があります。

関連コラム

第1回:気づかぬうちに暗号通貨を掘り出す攻撃者たち

第3回:セキュリティ対策、最初の一歩は?

第4回:どっちを選ぶ? 誰も教えてくれなかった意外な答え

関連リンク

トライベック・セキュリティソリューション

この記事の執筆者

中島 秀明

インフラ・セキュリティ部 部長

この記事に関するご相談やご質問など、お気軽にお問い合わせください。

お問い合わせ

関連する記事

すべての記事を見る

タグ一覧