企業のWebサイトを狙ったサイバー攻撃が後を絶たない。攻撃の手口は常に進化し、対策は常に後追いのように見えてくる。しかし、本当にそうなのだろうか? Webセキュリティの第一人者である徳丸浩氏に、開発者や発注者、そしてエンドユーザーに突き付けられた課題とその対策について語ってもらった。後半となる本記事では、法規制を前提に発注者や利用者を含めた解決策を語ってもらった。
格差が縮まる要因がない状況 もはや法規制が必要ではないか
徳丸 実は、2008年頃から「セキュリティ格差社会」という言葉を思いつきまして。2005年にSQLインジェクションが出始めた頃は、どのサイトも一様に駄目でしたが、3年もたつと大企業や先進的なネット企業は、きちんとセキュリティ対策してくるようになりました。脆弱性診断をしても問題が出ないというように、先進企業はしっかりやっていました。
一方で、これは今でもそうですけれども、ボロボロの企業はボロボロのままです。そもそも脆弱性診断などもしません。そこからさらに7年ほどたって格差は広がる一方です。差が縮まる要因がないのです。従って、被害も減っていません。こうなると、もう法規制をするしかないのではないかと、そのような思いをずっと持っています。しかしそうすると、インターネットは自由であるべきというような考え方が必ず出てきますから難しい問題ですね。
建築の世界では、人命がかかっていることもあり当然のように法規制があります。ITもこれだけの経済規模になったのですから法規制も必要かもしれません。
徳丸 法規制については、ある政府の会議に呼ばれてそういった話をしたところかなり驚かれましたから、現状ではあまり考えていないようです。無理だと思っているのかもしれません。ただ、確かにインターネットでビジネスをする自由もありますが、それと責任を果たすこととは独立した話だと思うので、私はやるべきではないかと思っています。
