システム環境はサービスを提供するために構築され、それを人が運用します。人は常に最大の脆弱性となり得る存在です。この点を踏まえ、環境の役割と人についてよく知る必要があります。
公開サーバであるWebサーバ上に原則、デジタル資産を保管すべきではありません。しかしながら、「リモートアクセス可能なアカウント」など、Webサーバ上に保管せざるを得ない資産もあります。これら重要なデジタル資産については、誰がアクセス権を持っているのか把握しておく必要があります。
同じ組織が運営するサイトであっても、「組織情報のサイト」と「ショッピングサイト」とでは、期待されている稼働率やWebサイト改ざんによって受けるインパクトも異なるはずです。こうした役割を理解した上で、対策の優先度や範囲を整理するのが望ましいといえます。
人は、嫌なことはできればすぐに忘れたいものです。しかし運用においては、過去のヒヤリハット事例や事件対応内容は、その組織のみが持ち得る貴重なノウハウとなります。特に、犯罪者による攻撃は一定頻度で繰り返されることは一般的であることを知っておくべきです。ミスの責任を問う体制ではなく、事故防止を目的とした報告・蓄積・分析・活用のサイクルを根付かせる活動が重要といえます。
こうした一連の作業をする際には、Webサイト全体を統括するWeb管理者と、製品・サービスを主管するコンテンツオーナーの連携が必要です。
組織によっては、事業部ごとにWebサイトを管理している場合もあるでしょう。このような場合、Web管理者と事業部ごとのコンテンツオーナーが共同で対策と保守・運用体制、役割区分を明文化し、事故発生以前の気付かれていない危険因子を駆逐していく、犯罪者にスキを見せないようにする活動を継続していくことになります。この活動が「しつけ(Sustain)」という目的を一丸となって取り組んでいくことにつながるといえます。
3回の連載を通じて、過去の事例を取り上げ「こうしてWebは改ざんされた」について考えてきました。連載最後となる今回は、Webサイトがどのような犯罪者グループからの意図をもって改ざんの危機にさらされているのか考え、自身の管理するサイトを「システム」「環境」「人」という3つの側面からそれぞれ改善していく計画を検討しました。
改ざんの可能性があればすぐに検知できる仕組みや製品を導入するなどのセキュリティ対策の強化はもちろん重要ですが、まず、Webサイトを見通しのよい状態にすることが対策を講じる助けとなるでしょう。
本連載がWebサイト改ざんに関するガイダンスとなれば幸いです。
トレンドマイクロ株式会社
フォワードルッキングスレットリサーチ シニアリサーチャー
大学卒業後、2002年トレンドマイクロ入社。国内専門のウイルス解析機関である「リージョナルトレンドラボ」を経て、2010年に新設されたグローバルの最先端脅威研究組織である「フォワードルッキングスレットリサーチ」へ異動。現在に至る。
「先読み(フォワードルッキング)係」として、テクノロジやユーザーの調査/分析にとどまらず、脅威を生み出す側(犯罪者)が何を狙い/計画しているかに着目し、トレンドマイクロが備えるべき製品/技術の方向性立案を担当している。
TM-SIRT(Trend Micro Security Incident Response Team)メンバーとして脅威動向分析を担当。
一般社団法人日本スマートフォンセキュリティ協会 技術部会 アプリケーションWG、ネットワークWG所属。2012年よりフィッシング対策協議会 運営委員も務める。
Copyright © ITmedia, Inc. All Rights Reserved.