企業のWebサイトを狙ったサイバー攻撃が後を絶たない。攻撃の手口は常に進化し、対策は常に後追いのように見えてくる。しかし、本当にそうなのだろうか? Webセキュリティの第一人者である徳丸浩氏に、開発者や発注者、そしてエンドユーザーに突き付けられた課題とその対策について語ってもらった。2回に分けて掲載する。
日経コンピュータの連載を2015年6月11日号で終えましたが*、その後に気になるセキュリティ案件はありましたか。
徳丸 すぐに思い浮かぶのは、6月下旬に早稲田大学と徳島大学で起きたWebサイトの乗っ取りです。内容的には珍しくない事例ですが、早稲田がウイルス対策ソフトを入れていたのに侵入されたと発表し、徳島大もパスワードを定期的に変更していたにもかかわらず被害に遭ったとしていた点が気になりました。ウイルス対策ソフトの導入とパスワードの定期的変更は、いずれもサイトの乗っ取りには効果的な対策ではありません。
どちらも情報系の学部を持つ名の知れた大学ですね。
徳丸 そうなのです。世の中のサイト運営者の意識はその程度なのかと、改めて感じました。確かにウイルス対策の導入とパスワードの定期的変更は、もっとも有名なセキュリティ対策ではあります。しかし、対策は目的や場所に応じて変わるので、限られた予算や労力をかけるなら、もう少し効果的な部分にかけた方がいいのではないかと思いました。
ウイルス対策ソフトは、Webシステムとの関連は薄いですね。
徳丸 Webサイトを発注する際のRFP(Request For Proposal:提案依頼書)にはウイルス対策もしっかり書かれていることが多いですが、それはエンドユーザーのパソコンを標的型攻撃などから守るために重要ということであって、Webサーバーは違います。
ウイルスの実体はファイルであり、パソコンにはさまざまなファイルが外部から入って来るため守る必要がありますけれども、Webサーバーには通常、ファイルは入って来ません。もし、ウイルスをサーバーに置かれたとしたら、それは脆弱性を悪用されて突破された後ということです。それはそれで大きな問題で、その意味でウイルス対策に意味が無いことはないですが、その前にまずは入られないための入り口対策が基本ですから、やはり順序が違うと思います。問題はそこではないわけです。そういう意味で、今回の大学の事件は印象的でした。
日本年金機構のケースもそうですが、セキュリティ対策をしなければいけないという意識はあっても、そのための基礎知識が不足しているために十分な対策が打てていないのです。とはいえ、それほど高度な知識が必要なわけではありません。基礎的な本質的なところさえ押さえればよいのです。