セキュリティは重要なんだろうということは解っているけど…、それで、どうしたらいいの?
皆さまからよく聞かれるのが、このような声です。確かに、コンピューターやインターネットというもの自体、実体が曖昧でなんだかよく解らないかもしれません。それでいて、ニュースや新聞をひんぱんに騒がせているセキュリティに関する事件や事故は、皆さまよくご存じのことと思います。たとえば最もよく耳にする事故のひとつに「個人情報の漏洩」がありますが、ひとたびこれが起きてしまえば、まずもちろんこれによる実害が発生すれば責任を負うことになるのは当然のこととして、補償問題になれば、ある程度の規模の会社でも簡単に倒産に追い込まれるほど、もし耐えられたとしても社会的信用はガタガタでしょう…。
そのような恐ろしさは知識として聞いていても、具体的な部分がよくわからない、おそらく今この記事をご覧になっている人のほとんどは、そのような人たちかと思います。
しかし、基本的な心がけとしての考え方は、現実社会、日常生活と大差はありません。簡単に言ってしまえば、以下のようなことを心がけるのが基本です。別に珍しいことでもないでしょう?
「なんだ、そんなことか」と思ったあなた、いやいや、当たり前のようでいて、実はそう実践できていないことも多いです。あともう少しだけ読み進めてみてください。
これは現実社会でも、あらゆる場面でよく聞く言葉ですね。でも、どうして?…どうして起きてからでは遅すぎるのでしょう?1回目の被害を受けてしまったから、だけでしょうか?
それは、いわゆる「対処療法」は必ずといっていいほど不完全さが残るからです。何も起きていない時期にこそ対策をしておくことが、極めて重要なのです。事後対応ではどうしても「起きたこと」が最重視されてしまいがちで、本当は起きた理由と起きる可能性に関連性はないにもかかわらず、関係者たちは誰もそのことに気付かない、というケースが非常に多いです。
たとえば、ある交差点で交通事故が発生してしまったとします。自動車同士の出会い頭の衝突です。
事故の経緯を調査した結果、比較的交通量があり見通しが悪い交差点であるにもかかわらず、信号機がなかったことが、事故の大きな要因として注目されました。その後、信号機を設置して、めでたしめでたし…。
これは間違っています。もちろん処置としては間違っているとはいえませんが、考え方として賢明とはいえません。実際に起きた事故と起こりうる事故との因果関係、そして全体、根本の部分からの検証がなされていません。
つまり、事故が起きてしまう前に、この交差点について調査、検証を行うと、どうでしょうか。どのような事故が起きてしまいそうなのか、防ぐにはどうしたらいいのか。たとえば、実はその交差点の手前数十メートルの地点で道路がカーブしていて、カーブミラーもない、というような副要因も出てくるかもしれません。先がよく見えないような道路では、人間と言うのは心理的に、危険に対して注意深くなると同時に、早くこの状態から抜け出そうとしてしまう心理も働くそうです。
あるいは、特定の時間帯にその交差点に自動車が集中してしまう、というような問題に対する根本的な対策も検討されるかもしれません。「出会い頭の衝突事故」だけを防げば良いのだという錯覚に陥ることもないでしょう。
このように、可能な限りフラットな状態で検証・対策などを行うことが、とても重要なのです。
言うまでもないことですが、もちろんすべて予測できるわけではありません。それができればトラブルなど起きないでしょう。それを踏まえた上で、可能な限り予測しておくことが重要なのです。
この記事を読んでいるあなたは、少なくともセキュリティの心配をされている人であり、賢明な人であると同時に当然のことをしている人ともいえます。Webサイトの運営者・管理者、会社・企業の経営者、プロジェクトマネージャーなどの立場の人でしたら、いまや当たり前のことでもあります。
いわゆる「リスクマネジメント」というものは「危機管理」と異なりますが「危機意識」に基づくものだからです。
リスクマネジメントはサイト運営だけでなく企業などの経営や仕事全般や人生までも、様々な状況で重要とされていますが、この考え方に基づけば、まず前提として、トラブルが起こらないよう徹底することと、しかしやはり人間のすること、完全には防げないかもしれない、そのとき、ダメージを最小限におさえること、これも同等に重要である、という理論になります。
たとえば、最近よく耳にするケース…、顧客データをスタッフの一人が持ち出してしまったのが原因で、外部に漏洩してしまった…、などという事態が発生した場合を想定すれば、もしデータが誰かに見られても、人間には読めないように暗号化しておくという事前対策が考えられます。こうすることで、被害をかなり減らすことができます。つまり、見られることが避けられなくても=見られても読めないように=使えないようにしておく、ということです。
残念なことですが世の中には、お金をもうけるために手段を選ばない人たちがいます。さらに残念なことですが、よりによって、本来は安全性を意味するセキュリティというものを「危険」な要素にしかねないような、詐欺商法、あるいはそこまで行かなくても言葉たくみに乗せてしまおうという業者も一部に存在します。これでは本末転倒です…。
セキュリティ対策専用のサーバーを使わないと危ないですよ
え?サイトにセキュリティソフトを入れてないんですか?それは危ない!
などという典型的なフレーズが使われることが多いそうです。
でも待ってください。ほとんどの場合、そんなものは必要ありません。
その前に、今お使いのシステムそのものに問題がないのか?もしあれば、それを先になんとかすることが、最重要であるということに、気付かなくてはなりません。
また、最近のサーバーOSやWeb関連の基本的なアプリケーションなどは、何も追加しなくても、もともとセキュリティ対策の機能や堅牢性は、かなり高いレベルのものを持っているのです。そしてほとんどの場合、それらを上手に利用することで、十分なセキュリティは確保できるのです。あとは実際に動かすシステムに問題がなければ良いのです。
怖いですよ~…と脅しておいて「これを買えば大丈夫」などというのは、悪徳宗教のようでもあります。恐怖の心理を利用し、人の弱みに付け込むのはとても卑劣な手段です。
事実、ここ最近になって続出した「SQLインジェクション」という、Webシステムが持つ脆弱性の問題がありますが、これはほぼすべて、システムのほうに設計上のミスすなわち原因があります。ニュースなどでもたびたび取り上げられ多くの有名サイトが攻撃、サイトの改ざん、データの盗難、などなど被害にあったので、皆さんも名前だけはご存知かと思います。
これは一例に過ぎませんが、脆弱性に関するほとんどのケースは、何かソフトなどを入れておかなかったのが原因とか、そういうことではなく、そもそも今すでに使っているシステムそのものに原因があります。もちろん例外はありますが、少なくとも確認は必要です。
極端なたとえですが、つまりこういうことです。
あなたの家は何度も空き巣に入られてしまいました。
セールスマンが言いました。「当社のガードマンが守ってあげます。お安くしておきますよ」
あなたは喜んで契約し、ガードマンを雇うことにしました。
その数日後、空き巣が家の中に入り、心の中でこう言いました。「この家、門のところにガードマンはいるけど、玄関のカギはかかってないし裏の窓は開けっ放しだしガレージのクルマにはキーが刺さってるし、こんな素晴らしい家は他にないなぁ」
まるで落語の小噺のようですが、実際に多いケースなのです。ガードマンを雇うことが間違いだと言う意味ではありません。順番として、まずは戸締りなど確認してから、それから検討すべき、ということですので、この点をくれぐれも誤解しないよう、ご注意ください。
原因は何なのか?、その対策で本当に解決するのか?、などを十分に把握、理解し、きちんと検討しなければなりません。効果がないどころか、もしだまされているのだとしたら…、「詐欺」という名の別の新しい被害を受けてしまうわけです…。
直接利益を生まないことも、セキュリティ対策に二の足を踏む人の理由のひとつだと思います。
そして、多くの人が勘違いしていることがあります。
うちのような小さなサイトを、誰も狙わないだろう
あるいは、
うちのような大したシステムもないサイトでは、障害なども起きないだろう
などという誤解です。
まずひとつ思い出してください。「うちは貧乏だから盗られるようなものはない」なんていう冗談めいたセリフもありますが、でもこの人も、出かけるときはカギはかけるでしょう。貧乏だとか金持ちだとかじゃなくて、泥棒に入られたくないからです。現代社会の常識ですよね。
つまり、最も重要なのは、泥棒が入る余地が「ある」のか「ない」のかという点であって、貧乏だとかは別の話です。もっといえば、本当に泥棒が入るかどうか、よりも、泥棒が入れるような状態にしておくのかどうか、ともいえます。
なんだか言葉あそびの問答のようになってしまいましたが、つまり、程度の高低にかかわらず、可能性の有無が重要であって、可能性がある限りは危険にさらされているのは事実である、ということを認識しなければなりません。
そしてもうひとつ、「盗られるようなものはない」ですって?なぜ「盗られる」ことだけを考えているのでしょうか。あなたの旅行中に、あなたの家で、麻薬の取引、殺人事件、などが起きたら…、なんていう想像は映画のようだと思われるかもしれませんが、このように何も盗られるわけでなくても犯罪などに利用されるケースが非常に多いのです。
皆さまが最もよくご存じなのが、いわゆる「スパムメール」です。迷惑メールとも呼ばれ、無差別に大量のメールを一方的に送りつけてくるあれ…、そうですあれです。本当に腹立たしい迷惑千万なものですよね。
ほとんどのプロバイダのメールサーバーでは、大量のメール送信などは禁止しています。では、スパムメールを送っている犯人は、いったいどうやって送っているのでしょう。そのひとつが、たとえばあなたのサーバーを乗っ取って、あなたのサーバーに送信させる、という方法です。場合によっては、最も手っ取り早く、最も簡単で、最も安上がりかもしれません。
そしてあなたは、知らないうちに加害者になっているわけです。もちろん、「知らなかった」ではすまされません。
得てして、セキュリティというのは実感しないために意識の低い人が多いです。被害にあった人のほぼすべてが「まさか自分の身に起きるとは思っていなかった」と言います。自動車で事故にあった人のほとんどが、「自分は事故にあわない」と思っていた人たちです。
実際に自分の身に何かが起きないと、わが身のこととして考えにくいのは、人間心理として当然のことかもしれません。だからこそ、より重視すべきことともいえます。忘れがちですが、これは明日、いえ数分後に、あなたの身に起きるかもしれないのです。
「そなえ」は、直接利益を生みません。でも後で泣かずにすみます。
ここまでの話は、ほとんど理念的なものや体制や考え方のお話でした。具体的には何をどうすれば良いのか。これも現実社会と同じで決定的な「正解」は存在しません。
最も賢明なのは、やはり専門家に相談することですが、しかし先ほどのお話にもあったように、いわゆる「業者」と呼ばれる企業や団体も実に様々あり…、信頼して良いのかどうか、専門分野なだけに余計に解りにくいものです。
ひとつの目安としては、経済産業省が認定している国家試験を合格した、ならびに通商産業省(現:経済産業省)が委譲している独立行政法人情報処理推進機構(lPA)が認定、発行する資格などを保有している、いわば本来の意味でのプロの技術者であるかどうかを確認することです。この問い合わせに十分に対応してくれないような業者なら、その時点で少し考えたほうが良いかもしれません。
もちろん、必ずしも、国の認定が絶対的に信頼できる判断基準とは限りませんが、少なくとも、最低限レベルの知識や技術を持っていることが国によって保証されていると考えられます。
意外に思うかもしれませんが、逆に、このような資格や認定を持っていない「プロ」を自称する業者も多く存在するのです。営業免許ではありませんし、試験に合格していないのにIT技術者を名乗っても、これは必ずしも違法と言うわけではありません。どの業種でも「見習い」というような立場は存在します。しかし有資格者あるいは最低限のレベルを持つ技術者が一人もいない、とんでもない業者も存在しているのは事実です(「ちょっと詳しい人」は技術者ではありません)。くれぐれもご注意ください。
業者を選ぶ際には、各自治体などが運営するIT推進団体や、各関連の独立行政法人に相談して紹介してもらうのも手の一つです。
最後に、こんな現実の一部を見ていただきましょう。
9月27日に内閣府が発表した2007年度中の個人情報保護法の施行状況の概要によれば、事業者からの個人情報漏洩は848件発生しました。そのうちの電子媒体の7割には保護措置が講じられていなかったそうです。そして漏洩の原因としては、630件が「不注意」だったとのことです。
内閣府 Web サイト: http://www5.cao.go.jp/seikatsu/kojin/index_sub001.html
さらに追記(2008.10.22)
情報サイトのZDNet Japanに興味深い記事が掲載されました。
http://japan.zdnet.com/news/sec/story/0,2000056194,20382432,00.htm
あえて目を引くフレーズだけ抜粋します。
『セキュリティに脳天気な企業ほど被害が少ないワケ--牧野弁護士が語る』
(C) 2008 Yeti PaPa. All rights reserved.