ウェブサイトもウェブサービスの一つです。当然セキュリティについても十分に検討する必要があります。
とはいえ、「セキュリティ」といっただけでは漠然としていて、何から手を付けたらいいのか悩みます。
今回は、ウェブセキュリティについて理解するための第一歩として、セキュリティについてどのように考えたら良いのか、基礎的な心構えを解説します。
セキュリティはサービスを使えるようにする
セキュリティというと「自由なネットワークに制限をかけるもの」というイメージが強いですが、実際は「セキュリティがあるからこそ、自由なネットワークが実現できる」といえるのです。
私たちは日々さまざまなインターネットサービスを利用しています。ウェブブラウザを使ったネットサーフィンはもちろん、SNSでの情報収集やインターネットバンキングによる振込など、利用目的も様々です。
しかし、こうしたサービスを利用する際に全くセキュリティが無かったらどうでしょうか。セキュリティが無いということは、鍵のない家に住むようなものです。プライベートとパブリックの境目が無い世界では、私たちは自由にサービスを利用することができません。
サイバーセキュリティがきちんと機能し、公開してもよい情報とそうでないものとが区別できるからこそ、私たちはネットワーク上の自由を得ることができ、サービスが発達していくのです。
このように、「セキュリティがあるからサービスが可能になる」という見方を持つことは重要です。鍵の無い家を建てる人が居ないのと同じように、セキュリティが十分でないウェブサービスもまた成立しないのです。
ウェブサイトも立派なウェブサービスです。仮にウェブサイトがセキュリティ侵害を受けた場合、サイト上のコンテンツを破壊される等のサイトオーナーに損害が出るだけでなく、もっと悪い場合にはサイトに悪意のあるスクリプトを埋め込まれ、サイトを閲覧した人に損害が発生することになります。
自分の身を守るためだけでなく、サイトを閲覧してくれる人の安全を確保するためにも、ウェブサイトのセキュリティは重要です。
リスクをゼロにはできない
「十分なセキュリティが確保できて初めてウェブサービスが成立する」というのが事実である一方で、「セキュリティ侵害のリスクをゼロにすることはできない」というのもまた事実です。
サイバー攻撃は、攻撃側が圧倒的に有利で、防御側は常に不利であるという構造的な非対称性があります。
防御側がどれだけ細心の注意を払い、いくつもの脆弱性を見つけては修正したとしても、「これですべての脆弱性は発見できた」と言い切ることができません。一方、攻撃側はたった一つでも脆弱性を見つけることができれば、攻撃を成功させることができます。
詳しくは「悪質セキュリティコンサルに騙されない!セキュリティの本質を知ろう」で書いていますが、セキュリティはリスクとコストを天秤にかけ、適切なバランスを確保することが重要です。
サービスごとに最適化されたセキュリティが必要
セキュリティについてリスクとコストのバランスを考える際、必ずサービスごとに考えるようにしてください。
サービスごとにシステム構成が異なりますし、扱うデータの重要性も異なります。ウェブサイトなら、問い合わせフォームがあるかないか、フォームにデータの添付を許容するかどうか、サイトに掲載する画像の拡張子として何を許容するかなど、細かい仕様の違いで考えられるサイバー攻撃の種類が全く異なります。また、e-commerce(電子商取引)機能をサイトに持たせる場合、お客さまの個人情報は特に厳重に守る必要があります。
「このソフトさえ買えばすべてのサービスに対応できます」といったようなものは存在しません。個々のウェブサービスの仕様に合わせた地道な取り組みが必要なのです。
まとめ
セキュリティはネットワークに制限をかけるものではなく、むしろ自由なウェブサービスの利用・提供の前提となるものです。セキュリティ侵害のリスクをゼロにはできないものの、ウェブサービスの仕様をつぶさに分析し、リスクとコストのバランスを考えてセキュリティ環境を構築することで、サービスのオーナー自身はもちろん、ユーザーの安全も守ることができるのです。
セキュリティに関連して外部業者を起用する際は、あなたのウェブサービスの仕様を細かく把握するように努めているか否かをよく観察することが重要です。信頼できる業者を選んでくださいね。