2005年05月29日(日) 11時09分
「失敗」に学べるか? 不正アクセス事件から浮かび上がる教訓(ITmediaエンタープライズ)
まさに「失敗学」そのものだが、情報セキュリティに関してわれわれは、これまでいろいろと痛い目を見て、そこから貴重な教訓を得てきた。
たとえば2000年初めには官公庁のWebサイト改ざんが頻発した結果、ファイアウォールをはじめとするセキュリティ機器の導入が進んだし、一昨年にはBlasterワームのまん延によってパッチの適用とウイルス対策ソフトの更新が重要であることを学んだ。少しずつではあるが進んでいるセキュリティ対策の底上げは、こうした「教訓」によるところが大きい。
さて、5月中旬以降、複数のWebサイトが不正アクセスを受けてWebページを改ざんされ、自らが被害者となるばかりか、ウイルスを実行するようなコードを公開する「加害者」にもされてしまった。今回の事件からわれわれは、何か新しい教訓を学ぶことができるだろうか。
詳細が明らかにされていない以上、直接的な対策について示唆は得られないものの、セキュリティ専門家の意見をまとめると、まずは「パッチを適用する」「不必要なサービスは提供しない」「Webアプリケーションも含めた対策を施す」「ネットワーク状況およびログを監視する」といった基本的な対策をしっかり行うことに尽きるようだ。
あるセキュリティ企業の担当者は、皮肉にも個人情報保護法への対応が急がれた結果、「内部からの情報漏えいといった脅威のほうが大きくクローズアップされ、外部からの脅威についてはそれほど重要視されなくなっていたのではないか」という可能性について指摘している。
この担当者は「Webシステムは、これが悪用された場合、広範囲かつ無差別に非常に多くのユーザーにダメージを負わせることができる凶器に変貌する」とし、結果として「企業経営にも大きな影響を与える」と警告している。
●認識されていなかった「窓からの侵入」の危険性
また、セキュリティ企業ラックの取締役SNS事業本部長、西本逸郎氏は、一連の不正アクセス事件とは関係なく、あくまで最近の脅威の動向やWebアプリケーションのセキュリティ全般についての指摘として、先日同社が公開したレポートを踏まえ、次のようにコメントしている。
「SQLインジェクションを使用した攻撃は2004年10月ごろから急増している。ラックに依頼のあった緊急対応事案でも、2004年まではSQLインジェクションに起因する事案はゼロであったが、2005年になりSQLインジェクションにより被害に遭った組織が急増していることも事実である」(同氏)。
最近になって攻撃件数が増加した要因として、レポートの中でも指摘されていることだが、SQLインジェクション攻撃に用いられるツールが変化した可能性があるという。
そもそもWebの改ざん自体は以前から頻発していたが、かつては「政治的なメッセージなどが多く、どちらかというと愉快犯的な要素が強かった」(西本氏)。しかし、ただメッセージを残すだけでなく、Webページ閲覧者にトロイの木馬を仕掛けるよう改ざんされているケースが発生していることを踏まえると、「単にトロイの木馬を仕掛ける狙いだけではなく、サイトへの業務妨害も狙っているとも考えられる。要は、Web改ざんの目的も変化したと言える」(同氏)。
にもかかわらず、Webサイト運営/開発側の対応は十分とはいえない。レポートによれば、同社が診断を行った組織の7割でWebアプリケーションに関する欠陥が見つかったという。
これまで、同社も含めセキュリティ企業や専門家側はWebアプリケーションの脆弱性について指摘し、情報提供に努めてきた。しかし、それはまだ不十分だったようだ。「専門家は(Webアプリケーションのセキュリティ問題を)認識していたとしても、一般的な企業の皆さんはそれを知らなかったか、現実の問題として認識していなかったといえる」(西本氏)。
西本氏は、Webアプリケーションを狙った攻撃が増加している状況を、「これまでは玄関からしか侵入しなかった泥棒が、窓からも入るようになった」ものだとたとえる。
かつてのWebサイトは「玄関も窓も開けっ放し」状態だったものが、玄関から入る泥棒が増えたことを受け、玄関では戸締りがなされるようになった。専門家側はさらに窓の危険性についても指摘していたが、「これまでは窓から入る泥棒がいなかったので、対策は放置されていた」(同氏)。しかしいまや、泥棒は窓からも侵入してくることが明らかになったと言えるだろう。
では、今Webサイト運営者は何をなすべきか。対症療法的な対応に終わるのではなく、「顧客保護」「株主および会社価値の保護」という観点から、リスクを念頭に置き、備えを行うシステムが必要だという。合わせて、「緊急にやるべきことは、自信がないならば自社のWebアプリケーションの点検」だとした。
●事業者、それを取り巻くIT企業にできることとは?
もう1つ、企業に「セキュリティソリューション」なるものを提供する「専門家」側の質も問われることになるだろう。
一連の事件で第一に責任を負うべきは、Webサイトを運営していた企業の経営者や担当者だろう。だが、彼らばかりを責めるわけにもいかない。Webサイトを運営している企業はITシステムの利用者ではあっても、専門家であるとは限らないからだ。ましてや、セキュリティの専門家であるとは期待できない。
事実、今回不正アクセス被害を受けた企業の担当者の中には、「いったいどこまでセキュリティ対策を行えば十分なのか、こちらが知りたいくらいだ」とこぼした人もいた。Webで事業を行う企業として認識が甘い、といえばそれまでだが、誰かがきちんと「リスク」と「基本的な対策」を企業側に伝えていれば、少しは状況が異なっていたのではないだろうか(一生懸命伝えていたのにその重要性を企業側が理解してくれなかった、というケースもあるかもしれないが……)。
たとえばカカクコムでは、サーバ運用自体は自社で行っていたというが、不定期ながらシステムのセキュリティ監査を外部に依頼していたという。では、その監査は妥当なものだったのだろうか。また、そうした監査を実施していた企業は、不正アクセスが判明した時点で即座に閉鎖を提案しなかったのだろうか。
幸か不幸か、個人情報保護法の全面施行を機に、セキュリティ業界は一種のバブル状態に陥った。ありとあらゆるベンダーやシステムインテグレータが「セキュリティ」を売りにした提案を行うようになっている(これについては、ITmediaも含めメディア側の姿勢にも反省すべきところが多々ある)。
ここで重要なのは、企業にITシステムを提案し、サービスを提供し、運営をサポートしていく「ITプロフェッショナル」の質を真に高めていくこと。そして、提案を受ける企業の側も、「顧客の保護」「事業の保護」を念頭において、それを見分ける目と理解を養っていくことではないだろうか。
http://www.itmedia.co.jp/enterprise/ (ITmediaエンタープライズ) - 5月29日11時9分更新
http://headlines.yahoo.co.jp/hl?a=20050529-00000001-zdn_ep-sci