情報セキュリティのプロ、NHNテコラスからの警告!スタートアップでいま必要な対策と8つの落とし穴

alert最終更新日から半年以上経過した記事です。
今回は、ITインフラソリューションを手掛けるNHNテコラスで、セキュリティサービスに携わる皆さんに、小規模な組織がセキュリティインシデントに立ち向かうための基本的な考え方や取り組みについて話を聞いた。

企業における情報セキュリティ対策の実施状況

総務省が実施している『通信利用動向調査』によると、企業における情報セキュリティ対策の実施状況はかなり進んでいるように見える。2015年の調査では、98.9%の企業が「対応している」と答えているからだ。

だがその内訳を見てみると、大半がPCやサーバへのウイルス対策プログラムの導入など、基本的な対策に終始していることがわかる。セキュリティ監査や回線監視を実施している企業は2割にも満たないのが現状だ。

NHNテコラスのデータホテル事業本部で、ITスタートアップ向けの支援プログラム「DATAHOTEL for Start-up」の担当窓口を務めている山中隆之氏は、国内のセキュリティ事業を次のように見ている。

「たとえば、Webサイトにユーザー情報を登録するページがあれば、それが1件でも1万件であっても、個人情報を取り扱っている事業者として最低限の管理が必要です。それがECサイトなら、安全な決済環境を整えておく必要もあります。でもそれだけでは不十分。攻撃手法は日増しに多様化していますし、手口も巧妙の一途を辿っているからです。定期的なセキュリティ診断と、それに応じたプログラムの改修が欠かせないのですが、徹底している企業はまだ少ないというのが現状です」

山中氏と同じデータホテル事業本部で顧客へのサービス提供を担当している府川旭氏も口を揃える。

「情報セキュリティ対策になかなか本腰が入らないのは、企業にとってプロフィットを生まないコストだと考えられているからです。さらにこの10年というもの、インフラやセキュリティに強いエンジニア不足はますます深刻化しています。予算管理への強い圧力と人材難が、情報セキュリティ対策が進まない状況に拍車をかけているんです」

同社のセキュリティ事業本部でマーケティングを担当する橋本大樹氏は、情報セキュリティに対する経営者の意識にも大きな問題があると指摘する。

「情報セキュリティ対策に対する取り組みは、大企業中心から中小企業へと確実に拡がってはいるものの、現実には企業によって対応がバラバラというのが実情です。スタートアップであってもセキュリティ意識が高い会社もありますし、大企業であっても対策に熱心でない会社もあります。その違いを一言で申し上げるなら『経営者の考え方の差』ということになるでしょう。つまり情報セキュリティ投資を将来を見据えた投資と考えるか、無用なコストと考えるかの違いです。情報セキュリティ環境を良くしようと考えるなら、まずこの差を埋めなければなりません」

たとえば、あるECサイトが積極的な対策を取らなかったがゆえに外部からの不正侵入を許し、みすみす個人情報が盗まれるような事態を招いたとしたら、運営会社に大きな批判が集まるのは想像に難くない。関係者に謝罪と説明を行い、賠償や復旧に対して大きな費用を投じなければ、信頼回復はおろか、事業の存続さえ難しいはずだ。しかし、そうしたリスクが容易にイメージできるにも関わらず、適切な対策を先送りにしがちなのは、危機意識の欠如というほかないだろう。

「ある程度対策をしているにも関わらず被害受けたというのと、全然できていなかったのとでは話が違ってきます。すべての企業に情報セキュリティ対策の重要性が浸透するまでには、まだまだ時間がかかるでしょうが、啓蒙活動を展開することで、ひとりでも多くの経営者、企業の意識を変えることが大切だと考えます」(橋本氏)

予算や人員の不足、経営者の情報セキュリティに対する意識の低さという懸念材料は根強く残るものの、分野によっては変化の兆しもある。大手金融機関とITスタートアップが手を携え、金融サービスの革新を目指す『Fintech』分野がその代表だ。

「Fintech分野でスタートアップが仕事をしていくためには、厳しい金融機関のセキュリティポリシーに合わせなければなりませんから、当然意識が高い。この分野のスタートアップからの問い合わせ件数は、ここ数カ月に限ってみても確実に増えています」(府川氏)

Fintech同様、製造業やサービス業などでも、大手企業とスタートアップが協業する場面が増えるようなことがあれば、自ずと情報セキュリティに対する取り組みも活発になるはずだ。また、比較的安価な対策ツールや導入支援サービスも登場しているため、情報セキュリティ対策に取り組もうと思えば、取り組める環境は整いはじめている。やはりあとは意識の問題なのだ。

「当社でもエントリー向けのセキュリティの脆弱性を診断するサービスを提供していますが、まずは自分たちが運用しているサイトがどのような状態にあるのかを知ることが大事です。ツールを組み合わせれば、予算やサイトの状況にあったセキュリティ環境を構築できるようになっているので、まずは専門業者に相談してみることをお勧めします」(山中氏)

プロが教えるセキュリティ対策の落とし穴

ここでお三方に聞いた、Webサービスに携わるスタートアップが気をつけるべき情報セキュリティ対策のポイントをまとめてみた。

悪意を持った攻撃者が狙う主なウィークポイントとは?

◎サーバOSやミドルウェアの脆弱性
◎Webアプリケーションの脆弱性
◎CGI、PHP、データベースなど、プログラムの脆弱性
◎サイト管理者のパスワード漏えい
◎サイト管理者のPC経由のマルウェア感染

「見落としがち」な8つのポイント

◎自前対策の限界
情報セキュリティ対策をすべて自前で行えば初期費用は抑制できる。しかし質の高い運用を継続するためには、学習コストや採用コストがかかる。何もかも自分たちで賄うというのは、コストや質の面で、必ずしも有効とはいえない。

◎苦情や問い合わせの確認
「サイトが重い」「DMなどの郵送物が頻繁に届くようになった」といった苦情や問い合わせは放置してはならない。マルウェア感染や情報漏洩と因果関係がないか調査を実施し検証すべき。

◎バージョンは常に最新
WordPressやMovable TypeのようなCMSについても、常に最新バージョンを保つよう心がける。バージョンアップすると使えなくなる機能があるからといって放置すると、脆弱性を突かれるリスクが高まる。機能を別の方法で補完する道を選ぼう。

◎被害時の優先順位
ミッションクリティカルなシステムは存在する。だが、セキュリティ・インシデントを発見したら被害の拡大を防ぐためシステムを停止することが大前提だ。非常時には優先順位が変わることを肝に銘じよう。

◎セキュリティリスクの認識
マルウェアの感染が認められたサーバやコンテンツの使い回しはお勧めできない。「減価償却が終わっていないから……」というのは情報漏えいリスクへの認識の甘さを表すもの。セキュリティリスクを抑えることを第一に考えれば、答えは自ずと見えるだろう。

◎定期的な脆弱性診断
攻撃手法は日々洗練されるため、情報セキュリティ対策に終わりはない。個人情報を扱う情報サイトであれば年に一度、決済機能があるサイトなら四半期に一度はサイトの脆弱性診断を受け、防御力を高める努力を継続しよう。

◎セキュリティ業者は信頼重視
セキュリティ業者を選定するポイントは、状況を丁寧にヒアリングし松竹梅のプランを提示してくれるかどうか。製品やサービスを一方的に押しつける会社は避けたほうが得策だ。

◎外注先変更は慎重に
システム開発を外部に委託している場合、頻繁な外注先の変更はセキュリティ資産を無駄にする危険がある。業者選定は、コストだけでなく総合的な技術力を加味して判断すべき。

専門業者の“目利き”を利用するのも有効な選択肢

理想をいえば、社内にひとり情報セキュリティ担当者を置くべきだ。だが、非常に多岐にわたる専門知識が求められる上、人材不足は慢性化している。適任者を採用できる可能性は決して高くない。ではどうすればいいのか。府川氏はいう。

「そんなときこそ、外部の専門家を使うことを検討してほしいと思います。AWSやMicrosoftAzure、Google Cloud Platformといった、パブリッククラウドを使うにしても、対策方法は用途や条件によっていろいろな対策を講じることが可能です。しかし、数ある対策ツールやサービスを精査し、自分たちのシステムに合うものを選ぶだけでも大変な作業です。信頼できるマネージドセキュリティサービスを提供している会社に、“目利き”を頼むというのもひとつの手だと思います」

橋本氏もいう。

「理想をいえば、情報セキュリティ投資はシステム投資と同じくらい重要なものだということを世の中の常識にしていかなければいけません。そのために私たちのような専門業者がいる。目先の投資コストに目を奪われてしまうと、何でも自前でやればいいという選択をしがちですが、運用コストまで考えると必ずしも安いとはいい切れなくなってきます。専門業者の手を借りながら、まずは身の丈に合った取り組みからはじめてみてはいかがでしょうか」

「セキュリティ・インシデントは思わぬところに潜んでいるもの。経営者から現場の担当者まで、自社サービスの周りで何が起こっているか、きちんと聞き耳を立てて対応することが大切です。情報セキュリティ投資は会社の収益に貢献しない「コスト」ではないということを、多くの方にご理解いただきたいですね」(山中氏)

日常業務において、情報セキュリティ対策の効能をはっきりと実感することはまずない。だが見えないからこそ、価値があるのが情報セキュリティ対策なのだ。コストとセキュリティ対策の質はトレードオフの関係にあるとはいえ、基本的な対策を実施し、状況に応じて徐々にグレードを上げていけばリスクをコントロールすることは十分可能だ。

もし、Webサービスをリリースしてから、一度も脆弱性診断を受けたことがないようなら、これを機に受けてみてはいかがだろうか。

NHNテコラス株式会社

ITインフラ・ソリューション事業、セキュリティ事業、コマース事業、広告事業の4つの事業で、お客様のビジネスの成長を支援
代表取締役社長:稲積憲
設立年月日:2007年4月
本社:東京都新宿区新宿6-27-30 新宿イーストサイドスクエア13階
https://nhn-techorus.com/

WEBアプリケーション脆弱性診断はこちら
https://techorus-security.com/evaluation/