誰もが容易にアクセスできるWEBサイトはインターネット利用者の拡大とともに爆発的に増加、発展してきました。インターネット上には膨大な数のWEBサイトがあり、その役割も情報発信や検索、コンテンツの投稿、共有、受注者や予約など多様化、高度化しています。
企業が自社のホームページを開設することは「当たり前」になっていて、顧客向けの広報活動はもちろん、商品の受発注や在庫管理コンサルティングやサポート等の窓口など、WEBサイトが企業のビジネスプロセスの一端を担っています。
インターネットには世界に向けて情報を発信できるサービスを提供できるメリットがあります。さらに携帯電話や無線LANなどの進化によって、今や利用者がどこにいても自由にサイトを利用することができます。
その一方、誰にでも利用できるように常に公開されているサイトは悪意を持った第三者から、ネットワーク越しに狙われているかもしれないというリスクを抱えています。
また、設定ミスなどにより重要な情報がインターネット上に流出することもあります。一度ネットワークに上に流出した情報をすべて回収することは不可能に近いと考えられます。
例えば、悪意のある第三者がWEBサイトに対し不正侵入を行ったり、サイトのシステムがコンピューターウイルスに感染した結果、WEBシステムがダウンしサービス停止に到ることもあります。また、サイトが書き換えられ、自社WEBサイトがフィッシング詐欺等の犯罪行為に悪用されることもあります。特にサイトにクロスサイト・スクリプティングの脆弱性がある場合これを悪用され、ユーザーが偽サイトへ誘導されID・パスワードやクレジットカード番号などを詐取される可能性があります。
クロスサイト・スクリプティング:WEBサイトの掲示板などのプログラムを介して、悪意のあるコードがユーザーのブラウザに送られてしまう脆弱性
脆弱性:ソフトウェア等においてコンピューター不正アクセス、コンピューターウイルス等の攻撃によりその機能や性能を損なう原因となり得る安全性上の問題箇所。ウェブアプリケーションにあっては、WEBサイト運営者がアクセス制御機能により保護すべき情報等に誰もがアクセスできるような安全性が欠如している状態を含む。
情報セキュリティ上のトラブルが発生した場合、そのウェブサイトの運営者はそのような立場に置かれるでしょうか。ます、個人情報の流出が発生した場合には、サイトの運営者はその事実を所管省庁に報告し、架空請求などの二次被害を防ぐ意味でも流出した個人情報の本人にその旨を連絡する必要があります。
また、運営者はサイト利用者に対してサイトのセキュリティを確保する責任を果たしていなかった点を問われてしまう可能性があります。実際にはウェブサイトの運営を外部の事業者に委託していて自身ではトラブルの発生に関与していなくても、被害者から見た責任者は一義的にはサイトの運営者であり、被告となることは免れません。
トラブルを起こしたサイトを停止した結果、取引先の売り上げに悪影響を及ぼす可能性があります。契約によっては損害賠償を要求されることになります。さらに自らが被害者であるにも関わらず、コンピューターウイルスを撒き散らす加害者となっていた場合、ネットワーク社会も一員である企業として社会的責任を果たしていないと非難されるでしょう。この場合、コンピューターウイルスの駆除だけでなくその感染の原因を調べて問題を解決しない限り、再びサイトが感染し、同じトラブルを繰り返すことになりかねないので注意しましょう。
次回はウェブサイトに必要な対策についてご紹介していきます。