カカクコム事件に見るセキュリティの本質とは

特定サイトのセキュリティ被害の詳細情報は必要か

　カカクコムをはじめとして、ウェブサイトがクラックされるニュースが相次いでいる。“誰の責任なのか、詳細情報を公開せよ”との声も上がっている。私も、被害がユーザに及んでいる場合に情報の非公開を決め込む態度が流行することを危惧している。しかし、詳細な情報が出さえすれば不安は解消され、物事は良い方向に進むのかと時間をかけて考えてみた。そして「必ずしもそうではない」と思うようになった。それはなぜか--。

　例えば、その手口情報が公表されたとしよう。すると、それを読んだ人は、すぐさま自分のサイトなどにその情報が該当するかどうかを考えるだろう。

　幸か不幸か、該当したところではたして真剣な対処をするのだろうか。無論、そうあって欲しいが、実のところ、これまで何年にもわたり、ウェブサイトにかかわるセキュリティ脆弱性と対応策が公表され、正しいプログラミング方法について公表されたとしても、それに対応することを怠っているサイトは非常に多いのだ。その点で、きちんと対処してきたサイトは、特定のサイトが被害にあうというニュースを聞くころには、すでに対処し終わっているのではないかと思う。

　一方、もしその手口情報が自分には関係ないと思える場合はどうだろう。危機感は好奇心と共に去り、自分たちのセキュリティ対策を見直すアクションにはつながらないかもしれない。カカクコムで被害にあったサーバは、WindowsでウェブサーバーはIIS6であることは知られている。そこで、仮にOSに依存する手口だとすれば、たとえば“うちはLinuxだから関係ない”と感じるかもしれない。きっとその時点で今回の事件から学ぶという思考は停止してしまうかもしれない。

　さまざまなメディアの報道の中で「クロスサイトスクリプティングが危険」といわれればその対応をし、「SQLインジェクション」といわれればその対応をし、その都度、ただ応急手当て的な対応をしていくことは、しないよりはましではあるものの、本質的ではない。

あなたのWEBサイトのセキュリティリスクは

　ここで原点にかえって皆さんのウェブサイトとセキュリティの関係を一緒に考えてみることにしよう。そのウェブサイトはきっと、それを閲覧するユーザへのサービスだろう。そして、そのサービスの利便性を維持するためにさまざまな仕組みが存在するだろう。美しいコンテンツから始まり、メール配信、ID・パスワードによる個人認証、検索機能、RSS配信、これらすべてはユーザありきのサービスである。

　すると、そのWEBサイトにとっての脅威--すなわち起きては困ること--はどんなことだろうか。少なくとも、せっかく丁寧に作ったコンテンツを改ざんされること（完全性への脅威）、ユーザから預かっている情報が漏洩すること（機密性への脅威）、肝心のサイトがエラーで見られないこと（可用性への脅威）が挙げられるかもしれない。詳細に落とし込むともっとたくさん挙げられるはずだ。こういう脅威を総称して「リスク」と言う。

　では、なぜ「リスク」は発生するのだろうか。誤解を恐れずに言うなら、それは壊れる可能性のあるものを利用していること、サービス主体者もユーザもミスを犯しがちな人間であることに起因している。また、悪意のある犯罪者は自分たちよりはるかに悪賢いかもしれない。「そこまでくると、どうにもならない｣--そう、それはそのとおりだが、だからと言って“100％のセキュリティはない”と合言葉のように言いながら、思考停止しまってはいけない。