企業のWebサイトを狙ったサイバー攻撃が後を絶たない。攻撃の手口は常に進化し、対策は常に後追いのように見えてくる。しかし、本当にそうなのだろうか? Webセキュリティの第一人者である徳丸浩氏に、開発者や発注者、そしてエンドユーザーに突き付けられた課題とその対策について語ってもらった。2回に分けて掲載する。

(聞き手は日経コンピュータ編集部)


HASHコンサルティング代表取締役社長の徳丸 浩氏(撮影:陶山 勉)
HASHコンサルティング代表取締役社長の徳丸 浩氏(撮影:陶山 勉)
[画像のクリックで拡大表示]

日経コンピュータの連載を2015年6月11日号で終えましたが、その後に気になるセキュリティ案件はありましたか。

徳丸 すぐに思い浮かぶのは、6月下旬に早稲田大学と徳島大学で起きたWebサイトの乗っ取りです。内容的には珍しくない事例ですが、早稲田がウイルス対策ソフトを入れていたのに侵入されたと発表し、徳島大もパスワードを定期的に変更していたにもかかわらず被害に遭ったとしていた点が気になりました。ウイルス対策ソフトの導入とパスワードの定期的変更は、いずれもサイトの乗っ取りには効果的な対策ではありません。

どちらも情報系の学部を持つ名の知れた大学ですね。

徳丸 そうなのです。世の中のサイト運営者の意識はその程度なのかと、改めて感じました。確かにウイルス対策の導入とパスワードの定期的変更は、もっとも有名なセキュリティ対策ではあります。しかし、対策は目的や場所に応じて変わるので、限られた予算や労力をかけるなら、もう少し効果的な部分にかけた方がいいのではないかと思いました。

ウイルス対策ソフトは、Webシステムとの関連は薄いですね。

徳丸 Webサイトを発注する際のRFP(Request For Proposal:提案依頼書)にはウイルス対策もしっかり書かれていることが多いですが、それはエンドユーザーのパソコンを標的型攻撃などから守るために重要ということであって、Webサーバーは違います。

 ウイルスの実体はファイルであり、パソコンにはさまざまなファイルが外部から入って来るため守る必要がありますけれども、Webサーバーには通常、ファイルは入って来ません。もし、ウイルスをサーバーに置かれたとしたら、それは脆弱性を悪用されて突破された後ということです。それはそれで大きな問題で、その意味でウイルス対策に意味が無いことはないですが、その前にまずは入られないための入り口対策が基本ですから、やはり順序が違うと思います。問題はそこではないわけです。そういう意味で、今回の大学の事件は印象的でした。

 日本年金機構のケースもそうですが、セキュリティ対策をしなければいけないという意識はあっても、そのための基礎知識が不足しているために十分な対策が打てていないのです。とはいえ、それほど高度な知識が必要なわけではありません。基礎的な本質的なところさえ押さえればよいのです。

* 徳丸浩氏は日経コンピュータに、ほぼ1年をかけて3つの連載――「Webセキュリティの新常識」(2014年7月24日号~10月2日号に掲載)、「マネジャーが知っておくべきWebセキュリティ」(2014年10月16日号~2014年12月25日号)、「Webセキュリティ最新警報」(2015年1月8日号~2015年6月17日号)を執筆した。記事は全部で24本。これらを書籍「徳丸浩のWebセキュリティ教室」にまとめた。