[画像のクリックで拡大表示]

 価格.com事件に代表されるWebサイトへの不正アクセス,業務効率の低下に加えサーバーに過大な負荷をかける迷惑メール。通信コストを大幅削減できるとして企業に急速に普及しているIP電話には,従来の電話には無かったぜい弱性が指摘されている。企業ネットはさまざまな攻撃にさらされている。さらには,ネットを守るはずのウイルス対策ソフトが逆に脅威へとなる事態まで発生している。一方で,個人情報保護法の完全施行などにより,企業に要求されるセキュリティのレベルは上がっている。ネットワークを取り巻くセキュリティ環境が急変している現在,企業は何をなすべきかを一週間にわたって究明する。

「サービス開発を優先するあまり…」

 「ユーザーの期待に応えようとサービス開発を優先するあまり,セキュリティがおざなりになっていた」――。本誌の取材にカカクコムの穐田誉輝・代表取締役CEO(最高経営責任者)は肩を落とした。

カカクコムの穐田誉輝
写真●Webサイトの再開時に記者会見に臨んだカカクコムの穐田誉輝・代表取締役CEO

 製品比較情報を提供するWebサイト「価格.com」を10日間にわたって閉鎖したカカクコム(写真)。収入の大半をWeb事業に依存する同社にとって,サイトの閉鎖は事業機会の損失に直結する。現時点での被害額は不明だが,同社の2004年度の売上高21億3300万円を単純に日割り計算しても,10日間の閉鎖で被った機会損失額は約5800万円。「今後の営業活動に及ぼすイメージも考えると,影響はさらに拡大する」(ある証券アナリスト)。

 カカクコム同様Webサイト「OZmall」に不正アクセスを受けたスターツ出版も5月25日にサイト閉鎖へ追い込まれた。同社の事業はインターネットに大きくは依存していないものの,やはりWebサイトと同社のイメージを回復するまでに相当の時間を要するだろう。

 企業にとってWebサイトは顧客へのサービス向上や販売の窓口として重要な役割を果たしている。それ故,セキュリティ対策を怠り不正アクセスを許す事態は,自社の業績の足を大きく引っ張る要因になりかねない。特に個人情報保護法が完全施行された2005年4月以降,不正アクセスによる顧客情報の流出は企業活動にとって致命傷。セキュリティ対策を継続的に実施することは,安定した事業を展開するための鉄則になっている。

 ところが,「大手サイトでも自社のセキュリティ・ホールに気付かずにセキュリティ体制が万全だと思っている企業が少なくない」(あるセキュリティ会社幹部)。その実態の一端が,図らずも価格.com事件で浮き彫りになった。

Webアプリのぜい弱性を狙い撃ち

 カカクコムは不正アクセスの攻撃手口については「一切公開しない」(穐田CEO)と口を閉ざす。だが,複数のセキュリティ関係者の話を総合すると,カカクコムはWebアプリケーションのぜい弱性を突かれた可能性が高い。

 一般の商用サイトでは,Webアプリケーションを,データベース(DB)からデータを抽出し,動的なページを作成するために利用する。例えば,電子商取引(EC)サイトなどが提供する商品検索機能は,大半がWebアプリで実現している。検索したい商品名などを基に,WebアプリがDBサーバーに問い合わせ,在庫状況や価格などの結果をブラウザに表示させるといった具合だ。

 複数のセキュリティ会社によれば,ここ数年,Webサイトの攻撃対象がWebサーバーからWebアプリへ移っているという。Webサーバーへのセキュリティ対策としてファイアウォール(FW)やIDS(不正侵入検知システム)が普及し,セキュリティ・パッチなども迅速に適用されるようになった。セキュリティ対策を強化したことで「攻撃者がWebサーバーの穴を見つけにくくなった」(あるセキュリティ会社幹部)。その一方で,Webアプリへの対策が甘くなってしまい,簡単にハッカーの侵入を許すケースが多いと言う。「玄関の入り口(Webサーバー)に鍵をかけても,Webアプリにぜい弱性があれば,裏口に開いた窓から侵入されるようなもの」(同)。

知らぬ間に顧客情報を盗まれる例も

 ただし,Webアプリに潜むセキュリティ・ホールをふさぐことは容易ではない。背景には,Webアプリは各企業が個別に開発するケースが多く,管理が難しいという事情もある。何年も前に開発したWebアプリに後付けで機能を追加し,担当者も変わっているケースでは,どこにセキュリティ・ホールがあるのか見付けにくくなるからだ。

 実際,セキュリティ会社のラックが発表したリポートでは,2004年に大手企業122社に対して実施したセキュリティ検査でほとんどすべてのWebサイトに何らかのぜい弱性がみつかった。このため,多くのセキュリティ会社が,今回の価格.com事件は氷山の一角に過ぎないと見ている。

 不正侵入者の目的もここ数年で変化している。「以前はハッカーの大半が自身の腕前を誇示する愉快犯が多数を占めていたが,最近では個人情報の転売目的で侵入するプロも増えている」(セキュリティ会社幹部)。中には不正アクセスに全く気付かず,顧客の個人情報を取り続けられていた企業もあると言う。

不断のセキュリティ監視が必要に

 結局のところ,攻撃からの被害を避けるためには,セキュリティにかかわるトレンドを敏感にキャッチし,こまめに対策を打つしかない。「定期的にセキュリティ対策を再点検し,運用を日々見直す」(NRIセキュアテクノロジーズの鈴木上級コンサルタント)という努力が求められる。

 自社内だけの対策が難しい場合は,専門のセキュリティ会社による診断も有効な対策になる。「自社内では考えうる限り最高のシステムだと思っていたが,実際診断を受けたらそうとは言えないと指摘された」。カカクコムの穐田CEOの一言は,まさにその視点が欠けていたことを物語っている。

 カカクコムをはじめとして,Webサイトが提供するサービスは人々の生活に不可欠になってきた。この流れは今後も止まらないだろう。だがWebサイトの利便性が高まれば高まるほど,停止した場合の影響は大きい。不十分なセキュリティ対策がサイト停止の原因となれば,運営者に対する非難は一層厳しくなる。インターネット上で顧客情報を扱う企業へも不正アクセス攻撃が容赦なくふりかかっている。商用サイトを運営する事業者はセキュリティ対策にわずかでも油断があれば,自社の事業を大きく左右しかねない。

 「セキュリティ対策には常に100%はない」――。穐田CEOが誰よりも身にしみて感じているこの言葉を,商用サイト運営者全員が改めて認識する必要があるのではないか。

(蛯谷 敏=日経コミュニケーション

【緊急連載 今本当に必要なセキュリティ対策】特集ページはこちらをご覧下さい。

【緊急連載 今本当に必要なセキュリティ対策】記事一覧

●(1) カカクコムが浮き彫りにした商用Webサイトの油断
●(2) 迷惑メール対策は総力戦,皆が協力しないともう止められない
●(3) IP電話に襲いかかる“スパム”や盗聴
●(4) トレンド問題が残した教訓──単一ソフトに依存する危険性
●(5) 「持ち出せなければ紛失もない」ノートPC/携帯電話の新潮流