ウェブサイトで起こる情報セキュリティ上のトラブルの原因の多くはソフトウェア製品の脆弱性にあります。脆弱性とはプログラムや設定上の問題に起因する「弱点」です。悪意のある第三者が脆弱性を悪用した攻撃を行うと、例えば想定外の入力データがメモリ上にあふれ本来許容しないはずのコマンドを受け入れてしまい、そうした混乱を悪用されてネットワーク越しに権限の奪取やデータの流出、サービス停止などの不正な操作をされてしまいます。
ウェブサイトの脆弱性はCGI(Common Gateway Interface)プログラムなどのシステムの作り方や設定ミスに起因するものが多くみられます。さらに、OS等の基盤ソフトやウェブサーバー等アプリケーションソフトの脆弱性などもトラブルの原因になります。
脆弱性対策は、ウェブシステムの企画・設計・開発から運用・保守まで様々な局面で継続的に取り組む必要があります。企画時には、ウェブシステムの提供するサービスに係るセキュリティ機能構成の方針を定めます。ウェブサービス全体のセキュリティのスタンスを決めることから、セキュリティポリシーを含む多面性な視点での検討が望まれます。
次に、設計時には扱う情報資産の重要性、サービスの継続性・信頼性に対する要求レベル、サービスの公開範囲などを踏まえて望まれるセキュリティ要件を明確にする必要があります。さらに、業務上の機能だけでなく運用時の脆弱性対策を考慮した要件使用を用意して、開発者に発注すべきです。
また、サイトの運用時には基盤ソフトやアプリケーション、ソフトウェア製品の部品等の脆弱性は突然発見されてトラブルを招くことがあります。それらの脆弱性情報は公表された際に適切に対応できるようにシステム構成を把握し、継続的に管理することが必要です。
構築・改修前に脆弱性の確認・診断を行うことも有効です。さらに、システムのメンテナンスや新システムへの移行の際には、設定や操作上のミスがないかチェックすることも重要です。
企業における情報システムの統括責任者にはサイトの脆弱性対策に関する以下の点を理解していただく必要があります。まず、脆弱性のない完璧なシステムを構築することは非常に難しいという点です。完全なシステムを追求するためには膨大な予算を投入しなければコスト的に割りに合いません。
また、コンピューターシステムは時間がたつと内存していた問題が発覚するリスクを常に抱えていて今は、安全でもいつ安全でなくなるか分かりません。つまり、システムの安全性は時間とともに劣化すると考えるべきです。安全性を維持するためには適切なメンテナンスが不可欠であり、運用・保守にも予算と人手をかける必要があります。運用・保守のスタッフを確保できない場合には外部の事業者に委託することも有効です。
次回はサイトに脆弱性が見つかった場合についてご紹介していきます。
