5月25日,不正アクセスを受けたカカクコムの記者発表会に出席した。IT Proの読者の多くは,発表会の模様をIT Proのニュースなどですでにご存じだと思う。繰り返しになり恐縮だが,どのような手段で不正アクセスを受けたのか,どういったぜい弱性を悪用されたのかは結局,公表されなかった。
不正アクセスの手口を公開しなかった理由は,6月2日付けのニュース『【単独インタビュー】「当社が不正アクセスの手口を公開しない理由」,カカクコムの穐田CEO』にて穐田誉輝・代表取締役CEOが語っている。
「(手口を)公開することにはメリットとデメリットの両方があると思う」(上記記事中の穐田CEOのコメント)。確かにこの点は議論が分かれるところだろう。実際,当事者の対応も分かれている。5月31日には,不正アクセスを認識して女性向けサイト「OZmall」を一時閉鎖していたスターツ出版が,侵入の手口が「SQLインジェクション(解説記事)」と呼ばれるものであったことを明らかにしている(関連記事)。
筆者としては,カカクコムにも攻撃の手口や悪用されたぜい弱性をある程度推測できるレベルの情報は公表してほしかった。これは,5月26日付けの記者の眼「カカクコムは情報をきちんと公開すべきだ」と同意見である。
例えば5月31日にスターツ出版が侵入手口を明らかにしたのを機に,改めてSQLインジェクション(解説記事)に関するぜい弱性をチェックした運用担当者もいたのではないだろうか。具体的にどのようにSQLインジェクションを使われたか,という詳細までを明らかにする必要はないだろう。だが,「SQLインジェクションが使われた」こと自体を明らかにすることに,十分な意味があったのではないだろうか。
カカクコムは「類似犯罪を招く」ために手口は公開しないと説明した。しかし,犯人は不正アクセスの手口を知っている。カカクコムが情報を公開なくとも,他のサイトに類似犯行が行われる危険性があるのは同じ。ならば,情報を公開して,対策を進めるよう広く促した方が,不正アクセスの危険性を抑えるためにも,企業の信用を回復するためにも有用であると思う。
セキュリティ・ホールのさらに裏側にあるもの
最近起きた一連の不正アクセス事件を見て,筆者がもう一つ気になっているのは,侵入を許したセキュリティ・ホールのさらに“裏側”である。これはカカクコムなど,特定の企業に限った話ではない。何らかのセキュリティ・ホールを突かれた場合,そのセキュリティ・ホールはなぜ放置されていたのか。人為的なミスなのだろうか。担当者がセキュリティのスキルを有していなかったからなのだろうか。
セキュリティ事件の原因は,多くが人に行き着くと筆者は考えている。「社員が規則を破ってウイルスに感染したPCを社内に持ち込んだ」「セキュリティ・パッチを当てる規則だが,エンドユーザーが実施しなかった」「担当者がセキュリティ・パッチをきちんと当てていなかった」「攻撃手法を担当者が知らなかったため,セキュリティ・ホールを空けたままシステムをインターネットにさらしていた」などである。
さらに突き詰めれば,直接の原因は担当者の技術的なミスだとしても,その背景には企業や組織のマネジメントの問題があるかもしれない。「担当者は危険性を説き努力していたが,経営陣が必要性を認識しなかったため,対策に必要な予算や人員が得られなかった」――と言う具合である。
セキュリティ・ホールなどの直接の原因の裏にあるものは何なのか――。読者の皆様にも,広くご意見や悩みなどを伺えれば幸いである。日経システム構築がIT Proを通じて実施中のアンケート「セキュリティ対策の実態調査」でも,多くのご意見や悩みをいただいている。いただいたご意見や,今後の筆者の取材結果は,日経システム構築の誌面やIT Proを通じて,皆様にフィードバックしたい。現場の実情を広く共有していただき,皆様がセキュリティ対策を進めるためのヒントをご提供できれば,と考えている。
(吉田 晃=日経システム構築)
■アンケートご協力のお願い
記事中でご紹介したアンケート「セキュリティ対策の実態調査」は,6月10日までご回答を受け付けております。ご協力のほど,よろしくお願いいたします。
