- 会員限定
- 2014/10/20 掲載
4つのステップで考える、公開Webサイトのセキュリティ強化アプローチ
デロイト トーマツ サイバーセキュリティ先端研究所連載
記事をお気に入りリストに登録することができます。
昨今、企業や団体が公開しているWebサイトへの攻撃が多発しており、大きな脅威となっている。ID・パスワードに頼ったログイン対策は限界を迎えており、アカウントリスト型の不正ログイン攻撃や会員個人情報の漏えいに関するインシデントも増加傾向にある。ソフトウェアの脆弱性は日々新しいものが発見され、これを悪用したサイト改ざんなども日々報道がされており、サイト運営者やユーザーにとって頭の痛い事態だろう。筆者もさまざまな企業の相談に乗ることが増えているが、そもそもどのようにセキュリティ強化を進めれば良いか悩まれている場面に遭遇することがある。本稿では公開Webサイトのセキュリティ強化を実現するためのポイントについて、そのための「アプローチ」に着目して概説したいと思う。なお、本稿において意見に関する部分は私見であり、所属する法人の公式見解ではないことをあらかじめお断りしておく。
デロイト トーマツ サイバーセキュリティ先端研究所 主任研究員。大手システムインテグレータ、コンサルティング会社等を経て2011年に監査法人トーマツに入所。大手製造業、中央省庁、IT企業をはじめとする多様な業種・業界に対して主にITセキュリティ、セキュリティマネジメントに関するリスクコンサルティング、セキュリティインフラ設計・構築支援、および監査サービスを多数提供。CISSP(公認情報システムセキュリティ専門家)、CISA(公認情報システム監査人)、CISM(公認情報セキュリティマネージャー)等の資格を有する。
「セキュリティ効果」と「ユーザー利便性」のバランス
企業のWebサイトは、当然ながらビジネスを推進することがミッションである。セキュリティ対策によりビジネスを停滞させることは避けなければならない。そのため、セキュリティ対策の必要性は認識していても、二の足を踏んでしまう。その結果、自社は狙われないだろう、または攻撃された後に対策を検討するしかない、といった受身な思考に陥っている担当者の方にお会いすることもある。ただし、実際にインシデントが発生した場合には、サイト停止による直接的な損害はもとより、個人情報の漏えい・金銭被害などによるレピュテーションの低下、顧客離れやマスコミ対応など、さまざまな代償を払う結果も覚悟しなければならない。
こうした条件のもとで、公開Webサイトのセキュリティ強化を考えるポイントは、「セキュリティ効果」と「ユーザー利便性」のバランスにある。では、どうしたらバランスの取れたセキュリティ対策を実現できるのか、また、それを経営層やユーザーに説明できるようになるのか。そのためには、適切なアプローチを採ることが重要で、筆者の考えるアプローチは次の図のとおりである。
(出典:筆者作成)
攻撃パターンをどこまで想定して備えるかによって、採るべきセキュリティ対策のレベルは変わってくる。そのためフェーズを分けてきっちり検討を進めることが重要である。
Webサイトの重要度や保有する情報の価値によっても採るべき対策レベルは変わってくる。金融機関と同レベルのセキュリティ対策をすべてのサイトが実施することは難しい。銀行などのサイトではユーザー自身のお金に関する情報を守る意識があるため、セキュリティ対策によるユーザー利便性低下を受け入れやすいと考えられるが、マーケティングや販売などが目的の公開Webサイトでは同じように受け入れらないかもしれない。
これらのサイトにとってユーザー利便性は生命線であり、単純なセキュリティ強化はユーザー利便性を低下させ、サイトからの離脱率を高めることにつながる可能性がある。
そこで、サイトの特性に応じて、先ほども述べた「セキュリティ効果」と「ユーザー利便性」のバランスを検討し、防御と監視の両面からセキュリティ対策を組み合わせ、総合力を高めるアプローチが重要となる。
上図では大きく4つのフェーズに分けて紹介したが、今回は筆者の経験上、最も検討が停滞しがちな予測フェーズ(攻撃パターンの想定)について概説したいと思う。
【次ページ】攻撃パターンを想定する
関連タグ
あなたの投稿
PR
PR
PR
