自社ECサイトを開発したベンダーが、発注者の知らぬ間にテスト環境を構築。そのテスト環境に不正アクセスされ、そこからデータベース内のクレジットカード情報を盗み出された──。耳を疑うような話だが、2015年6月に公表された事件だ。ログが短期間しか残っていなかったため、実際の漏えい件数は明確ではないが、データベースには約2万8000件のクレジットカード情報が格納されていた。
発注者となるユーザーの多くは、「ITベンダーはきちんとセキュリティ対策を講じてくれている」と考えているだろう。しかし実際はそうではない。「要件として挙がってないことを勝手にやるわけにはいかない」「セキュリティ対策はコストがかかるから言いづらい」などと考えているITベンダーのエンジニアは多い。ユーザーもITベンダーも互いに異なる見解を常識だと思い、適切なセキュリティ対策をしていないまま、攻撃にさらされている。
攻撃が巧妙になってきたことでも、常識は変わってきている。例えば、定義ファイルを使ったパターンマッチングによるウイルス検知ソフトは、かつてはウイルス対策の常識だった。だが、今ではほとんど検知できないと言われている。攻撃者が、ウイルス対策ソフトで検知されないことを確認してから、ウイルスを送りつけてくるからだ。また、脆弱性が発見されてから定義ファイルが作成されていない段階で、攻撃されることも増えている。
今、セキュリティ対策を考える上では、常識だと思い込んでいることをいったん見直し、「勘違い」をしていないか振り返るべきではないだろうか。こうした思いからユーザーやITベンダーに取材をしたところ、実際にいくつかの勘違いが浮かび上がってきた。
