ソニーや三菱重工業をはじめとする大手企業が標的型攻撃に遭って、個人情報が流出したり、PCやサーバーがウイルスに感染して外部から遠隔操作されたりするといった、重大なセキュリティ事件が相次ぎ起こっている。企業のみならず、国会議員事務所のPCやサーバーがウイルスに感染し、外部のサーバーに情報を送信されていたことも判明した。

 多くの企業では、セキュリティ対策を既に講じている。それによって、さまざまな攻撃からの防御が可能になっている。ただし、攻撃者が日々、手口を研究し巧妙化させていると考えられるので、企業もそれに合わせて対策を強化する必要がある。では、何をどのようにすればよいのか。

 「『セキュリティ対策をしているので大丈夫』という思い込みから抜け出すこと。そして、もう一段高いセキュリティ対策を講じるとともに、攻撃されたとき迅速に対処できるよう事後対応計画を立てておくこと」。日経SYSTEMS12月号の特集1「セキュリティ攻撃、狙われた現場」の取材活動で、特に重要と感じたのはこうした対策や備えである。

 その特集記事を作る上で、まずは一般の企業がセキュリティ攻撃を受けるとどんな事態に陥ってしまうのかを知る必要があると考えた。そこで、実際に攻撃を受けて被害に遭った二つの企業に取材した。その取材から浮かび上がったのが、「『セキュリティ対策をしているので大丈夫』という思い込みから抜け出すこと」という教訓である。

 攻撃に遭った2社はいずれもセキュリティ対策を講じてはいたものの、結果からいうと対策は十分ではなかった。両社とも講じていた対策では防げない攻撃を受け、被害に遭ったのである。また、両社とも既存の対策では防げなかったときのことまでは想定していなかった。そのため、被害に遭った際に行うべき事後対応が分からず対処が遅れたり、システム復旧まで時間がかかったりした。

ファイアウォールやIPSでは防ぎ切れない

 取材した2社のうち1社は、顧客情報が漏洩した可能性がある。2010年11月上旬にその企業が運営する通販サイトのシステムが不正アクセスを受け、データベースを破壊された。そのシステムはレンタルサーバー上にLinuxやApacheを載せ、ECサイトパッケージ(Zen Cart)などのソフトウエアを稼働させたものだった。

 システム開発はITベンダーに依頼したものの、コストを抑えるため運用は自社で行っていた。同社は小規模な企業なので、システム管理を社長(A氏とする)が自ら受け持っていた。オフィスの片隅にMac SEが置いてあるなど、A氏は長年PCを使っているパワーユーザーであり、システムについての技術的な知識もある程度持つことから、コストをかけて運用を代行してもらう必要はないと考えた。

 ただし業務で多忙だったため、セキュリティ情報を集めてセキュリティパッチを当てるといったセキュリティ運用にまでは対応できず、Zen Cartのセキュリティホールを放置したまま動かしていた。ファイアウォールに加えてIPSを設置するなど、高セキュリティをうたう事業者のレンタルサーバーを利用していたので、セキュリティ面で問題が生じるはことはないと楽観視していたのである。

 このサイトが攻撃に遭った。Zen Cartのアップデートが長い期間にわたり実施されていなかったので、攻撃者に既知の脆弱性を突かれたようだ。Webサイトを狙った攻撃は、ファイアウォールやIPSでは防ぎ切れないことがある。NRIセキュアテクノロジーズの調査によると、国内企業において2010年4月~2011年3月の間に、Webアプリケーションファイアウォールによって検知された攻撃の種類のうち、半数以上はIDS/IPSでは検知が困難な攻撃だった。

 つまり、Webサイトを攻撃から守るには、ファイアウォールやIDS/IPSを導入しているだけでは十分でない。Webアプリケーションの脆弱性を解消するなどの対策が必要である。さらに、セキュリティの専門家は「攻撃されたとき迅速に対処するため、事後対応計画を立てておくとともに、冷静に行動できるよう心構えをしておく必要もある」と指摘する。

設計を見直して自社運用が不要に

 A氏は2011年3月、通販サイトの運営を約4カ月ぶりに再開した。被害に遭った反省を基に、自社でシステム運用をしなくていいように設計を見直した。OSやミドルウエアをメンテナンスする必要のないホスティングサービスに切り替え、会社紹介など更新頻度の低いコンテンツだけを載せた。そして、イベントやコンサート情報など更新頻度の高いコンテンツはFacebookで配信することにした。また、オンラインショップや電子掲示板の機能は、ASPのサービスを利用することにした。

 こうした見直しはA氏にとって、大きな決断だった。「従来のWebサイトは、ベンダーにスクラッチで開発してもらったもので、デザイン性や機能性が高かった。それが、復旧後のWebサイトは既存のサービスやテンプレートを使うことに伴う制約から、あまり変わり映えのしないものになった」からである。しかし、「本業を考えると、重要なのは独自性のあるWebサイトではなく、安定的に運営できるWebサイトであることに気付いた。攻撃に遭った痛手は本当に大きいが、大変いい勉強をさせてもらい、運用の不安から解放された」という。A氏はより大事なものを手に入れたのだ。