こんにちは、キノトロープアカデミーです。

「キノトロープアカデミー」は、Web業界のトップランナーである株式会社キノトロープの社員が講師を務めるオンラインアカデミーです。リモートワーク時代に不可欠な「個のスキル」を高め、職人のような「匠」を目指す人を増やしたい。そんな願いを込め、基礎から経営判断、業務フローまで、一生モノのナレッジを惜しみなく公開していきます。

<上級編 第4回>
セキュリティ対応と対策費用バランス
についてお伝えします。

担当は高橋です。

昨今、Webサイトにおけるセキュリティの重要性はますます高まっていますが、厳密な対策を追求するほど膨大なコストが発生するという課題があります。

そこで重要となるのが、自社サイトが保持する情報(個人情報や非公開情報など)のリスクを正しく分析し、想定される被害額や経済的損失と「対策費用」のバランスを見極めることです。

闇雲にすべての対策を行うのではなく、費用対効果を考慮して時には一定のリスクを容認する姿勢も求められます。

本記事では、発注者が主導して決定すべきセキュリティレベルの考え方から、具体的な脅威への対策、そしてコストパフォーマンスを最適化するための費用バランスの導き方までを分かりやすく解説します。

” セキュリティ対応と対策費用バランス”をテーマに、
今日お伝えしたいことは3つあります。

昨今、セキュリティの重要性はより増してきており、キノトロープでもお客様からのセキュリティに関する要望は年々多くなってきています。

また、すでに多くの場合、企業でセキュリティガイドラインが定義されており、基本的にはその内容にのっとったセキュリティ対策が必要となっている状況かと思います。

定義されている対策を行うことは必要ですが、リニューアル構築するWebサイトについてセキュリティ面でのリスクがどの程度あるのかを分析し認識を持つことも重要となります。

なぜならばセキュリティ対策について、費用が発生するからです。より厳密に対応するほど、費用も大きくなります。例えば脆弱性試験だけでも、数百万円以上となる場合もあります。

そのため、セキュリティの問題が発生した場合の被害や経済的損失の想定も踏まえ、どこまでの対策を行うかを決定していく必要があります。詳細な技術面は専門家にまかせるのがよいですが、会社としてのポリシーや対策するレベルの決定は発注者の決定が必要となります。

一般に公開されるWebサイトを前提とした場合、大きく分類すると
1.個人情報を持つWebサイト
2.非公開情報を持つWebサイト
3.1、2以外のWebサイト
となります。

まず「1.個人情報を持つWebサイト」については、ECサイトやログインを伴うサービスや機能があるWebサイト、例えば名前や住所などを保持する場合です。当然ながら、この場合が最もセキュリティ対策が必要となります。

次に「2.非公開情報を持つWebサイト」です。IR情報やプレスリリースなど一時的にでも、公開前の情報をWebサイトが設置されているサーバ内などに保持される場合です。

最後に「3.個人情報及び非公開情報を保持していないWebサイト」となります。この場合極論、「情報漏洩」自体については考慮の必要性がありません。

まずは、Webサイトがどの状況かを確認する必要があります。また、個人情報などは保持の必要性が無いような場合であれば、そもそも個人情報をWebサイトで保持しないなどの検討も必要となってきます。

例えば、お問い合わせの情報などについても、自社Webサイトではなく、安全性が確認できる外部のサービスを利用するなども考えられます。

現状の状況とセキュリティリスクを下げられる可能性があれば、なるべく下げる方法を検討する必要はあります。もちろんセキュリティ対策についてもWebサイトの目的・目標に沿っているということは大前提となります。

Webサイトでのセキュリティ対策をどのようにするか決定する上で、リスクや脅威についてどのようなものがあるかの理解も必要となります。

セキュリティの概念として、
・機密性
・完全性
・可用性
というものがあります。

Webサイトでの例としては、
・機密性
CMSなどの管理画面について、アクセスを許可された人だけが情報にアクセスできること。さらには、IRなどの特定情報については会社内でも許可された人だけがアクセスでき、それ以外の人には閲覧できなくするもの

・完全性
ページの内容、記載されている情報が正しい状態で最新のものであること

・可用性
必要な時、Webサイトにいつでもアクセスできること

次にセキュリティ対策として「対策すべきもの」「守るべきもの」についてです。

守るべきものについて大きくは、「情報」と「システム」と「社会的信用」になります。そしてその脅威となる要因は、何もウィルスや攻撃だけでなく、過失や内部犯行、自然災害などもセキュリティ対策の検討事項に含まれることを忘れてはいけません。それぞれの主な脅威に対する対策としては次のことが挙げられます。

【外的要因】
例1)
▼要因
・ウィルス
・不正アクセス

▼被害
・Webサイトの改ざん、サイト内の情報漏洩、他のサーバへの攻撃の踏み台となってしまうなど

▼主な対策
・ウィルス対策ソフトの導入
・Webサーバへの導入とサイトを運用管理する社員のクライアントPCに対しても導入することも必要

例2)
▼要因
・サービス妨害(DoS攻撃やDDoS攻撃と呼ばれるもの)

▼被害
・外部からWebサイトへの多数のアクセスをおこない、サイトのパフォーマンスを極端に低下させサイト停止などに追い込むもの
・サイトやシステムが動作しなくなるため、例えばECサイトなど購入のあるサイトでは直接的にも売り上げへの影響が発生する

▼主な対策
・FireWallやIPS/IDSといった機器での同一IPからの同時アクセス数の制限や攻撃の制限
・対応可能なCDNを導入することでの対策

例3)
▼要因
・事故・火災など
・地震などの自然災害

▼被害
・情報の消失や破壊などが発生する可能性
・しばらくの間Webサイトが停止したままとなる

▼主な対策
・サーバやバックアップを複数台、複数個所に用意するなどし、万一の災害発生時でも消失されない対策及び、復旧が早くできる対策の考慮

【内的要因】
例1)
▼要因
・内部犯行

▼被害
・個人情報など重要な情報の漏洩

▼主な対策
・情報にアクセスできる人を最小限とする
・情報へのアクセスの記録をとり、だれがどのような情報を取得したか把握できるようにする

例2)
▼要因
・過失、作業ミス

▼被害
・情報漏洩や、情報の消失、サイトの障害、サイトの停止などの発生

▼主な対策
・誤操作が発生しないためのシステム的制約および、運用上のルールを策定すること
・データの消失などについてバックアップの内容を定める

例3)
▼要因
・脆弱性

▼被害
・Webサイトやサーバのソフトウェアの脆弱性を利用され、サイトの改ざんや破壊、情報漏洩など様々な問題が発生する可能性

▼主な対策
・Webサイトの脆弱性対策を行い、定期的に脆弱性試験により問題の発生を確認する

なお、個人情報漏洩の原因としては、Webサイトには限りませんが、「紛失・置き忘れ・誤操作」が5割を、「不正アクセス」が2割をしめています

日本ネットワークセキュリティ協会(2018年の個人情報漏えいインシデントの分析結果)
https://www.jnsa.org/result/incident/2018.html

セキュリティ対策の目的は機密性、完全性、可用性を維持することです。これはWebサイト構築時だけの話ではなく継続的に対応する必要があります。そのためセキュリティ対策の予算は運用予算にも考慮が必要となります。

セキュリティ対策は考慮すべきことも数が多く
・何をどこまで行ったらよいかわからない
・自社のセキュリティガイドラインに適応できているのか判断できない
といったように難しいところではあります。

闇雲にすべての対策を行おうとしても対応する費用見積もりだけが大きくなってしまうと思います。

費用対効果のバランスをとるためには、まず、自社に影響がある具体的なリスクを想定し対策費用が想定される被害額を超えないように、ある程度のリスクの容認も考慮が必要となってきます。

必要以上のセキュリティ対応は時によって、Webサイトの運用やサイトの更新、素早い対応などができなくなる場合があり、そうなると、Webサイトリニューアルの目標達成にも影響ができてしまう場合があります。

この想定される被害額の算出自体も難しいところではありますが、
 ・個人情報における損害賠償額
 ・サイト停止における機会損失
 ・ブランド価値の下落
 ・障害調査や対策に必要となる費用(控訴、セキュリティ対策、苦情対策費など)
などを踏まえて算出する形となります。

対策を行わない場合でも、対策を行わないことによるリスクについては制作会社や専門家や情報システム部門の担当者に確認をとり、最終決定とするのがよいでしょう。

最後に最近多いパターンでのセキュリティ対応の構成例を説明します。



ユーザからのアクセスする流れとして順に説明します。

上から、CDN(コンテンツデリバリーネットワーク)と呼ばれるキャッシュサーバ、これは大量アクセスへの対応やDDoSへの対策ともなります。WAFと呼ばれるアプリケーションに対する攻撃を遮断します。

FWはファイアウォールなどでアクセスできる範囲や連続アクセスなどの制限を行います。また、最近では多くの場合、Webサイトで利用する「サーバ」にはユーザが直接アクセスできないように制限を行い、あくまでCDN経由でのアクセスとすることが多いです。これにより、「サーバ」が直接攻撃を受けるリスクがなくなるためです。

ちなみに、サーバは一般に公開した状態で起動していると、常に数多く攻撃を受けます。アクセスやシステムのログを見ると常に攻撃を受けていることがわかります。いくらサーバ側に対策をしていたとしても、新しい脆弱性が見つかった場合など、対策前に攻撃を受けてしまう可能性が十分にあります。

そのため、必要のない接続はすべて遮断することが必須です。当然、サーバへの直接アクセスできるのは、発注者および制作会社のみとし、その中でもアクセスできる人を制限・管理することも重要となります。

他にも、サーバは2台以上の冗長構成とし、サーバにはマルウェア対策ソフトの導入、定期バックアップの実施。また、サイト管理者の利用するクライアントPCについても、セキュリティ対策ソフトや場合によっては監視ツールの導入などを行う場合があります。

また、定期的な調査・対応として、脆弱性試験の定期実施があります。これは、新しい攻撃手法や脆弱性が見つかり日々内容もアップデートされていくためです。

3か月~6か月に1度や、最低限年1回の実施をすることがよいでしょう。また、利用しているソフトウェア自体のパッチ適応も運用ルールを決め定期的に実施するように定めるとよいです。

最後までご覧いただきありがとうございました。

の3点についての内容でした。

\ がんばれ!Web担当者 /

Web担当者応援マガジン

属人化の嵐の中で、時間と各部署と
そして上司と戦うWeb担当者のために

大規模Webサイトの運用業務に
よくある課題を解決するための手法を
簡潔にまとめました!

大規模CMS成功の法則