カカクコム事件に見るセキュリティの本質とは - (page 2)

正確なコンテンツを維持して「保護」するべし

　実のところ、セキュリティの意味は、そのリスクが被害を引き起こす可能性とその影響を「ゼロにする」ことではなく、「受け入れ可能なレベルにまで軽減させる」ところにある。だから、100％問題の起きないセキュリティはありえないが、かなりの程度100％に近く機能するセキュリティはあり得る。

　興味深いことに、日本情報処理開発協会のISMS認証基準Ver.2.0の定義によると、セキュリティ三要素の1つ、「完全性」の定義は「情報及び処理方法が、正確であること及び完全であることを保護すること」とある。もう一度よく読んでいただきたい。「正確であること及び完全であること」ではなく、それ｢を保護すること」とあるのだ。正確かつ完全なコンテンツを維持するための仕組みがあるとすると、それが機能するように、さらにそれを保護することがポイントだというわけだ（あとの二つの要素である「可用性」、「機密性」の定義にも同様の考えが含まれている）。

　コンテンツが改ざんされないためには、広く知らされるセキュリティ情報に基づいてしかるべきアップデートを行うことや、サーバ、データベース、アプリケーション、コンテンツを監視する仕組みがあることだろう。そういった仕組みがあることは重要だが、それだけでは不十分だ。そのような仕組みが本当に有効に機能することが最も重要である。もしかすると、問題が発生してから、認知できるまでのスピード、認知してから誰がどのように対応し、最終的に復旧するのか、その方針さえ決まっていないかもしれない。

被害を想定した対応方針のポイントは「スピード感」

　被害を想定した対応方針を決めていく際に特に大切なことの1つとして提案したいのは、「対応の“スピード感”を共有すること」である。

　理由として、攻撃側の状況が挙げられる。ウェブサイトを攻撃するプログラムや、人手によらずに攻撃し増殖する“ワーム”が巧妙化している。これらは悪意のあるソフトウエア（malicious software）の意でマルウェアと呼ばれるが、ここで理解のために、一例として原理を解説したいと思う。

　たとえばウェブサイトのよくある、検索、ログインなどの機能は攻撃対象となり得る。また、人気のあるウェブプログラム、たとえば掲示板、Wikiのようなオープンソースのウェブアプリケーションの古いバージョンを探し、その脆弱性を攻撃するという例もある。

　こういったケースでは、フォームのフィールド名や、また内部のデータベースのフィールド名が推測できることは珍しくない。つまり、クロスサイトスクリプティングやSQLインジェクションなどの攻撃に用いられる文字列はパターン化でき、攻撃用プログラムに組み込むことができる。

　攻撃の成果として、ウェブサイトの一部に、ブラウザでは一見してそれとわからない文字列を埋め込み、改ざんすることに成功すると、そのウェブサイトは、有害なプログラムを自動配布する仕組みと化し、あるいはフィッシングサイトとして流用されることもある。

　また、メールアドレスなどのデータを収集することに成功すると、それらは有害なプログラムやフィッシングメール配布のためにSPAMメールの新たな送信先に加えられる。有害なプログラムは、ユーザのPCに入り込むことに成功すると、ブラウザやキーボードを監視するなどして、その個人の重要な資産にアクセスするためのIDやパスワードをいとも簡単に盗み出すことができる。

　このような攻撃は、すべてのウェブサイトにとって脅威となる。サイト機能は犠牲になっていないように見えても、ユーザが犠牲になるのを導く。仮に盗まれたのがメールアドレスだけだとしても、「個人情報」が漏洩していないと安心してはいけない。直接、間接に被害拡大の幇助をしてしまうことになるのは、サービスとしてどうしても避けなければならないからだ。

　それで、セキュリティ被害検知の仕組みを導入するだけではなく、被害を前提にしたスピード感のある対応をシミュレーションしておくことは非常に重要なことだと言える。