実はわたしはIPA(独立行政法人情報処理推進機構)というところでも働いていたりしますが、やってる仕事の内容は「脆弱性情報取扱い制度」にちょこっと関係があったりします。これは、ソフトウエアやWebサイトに脆弱性(セキュリティホール)というものが見つかったら届け出ていただいて、その人に代わって開発者や運営者に連絡を取って直していただくように働きかける、というものです。
 この制度による届け出数の累計が昨年末で1000件を突破しました(2006年12月までで1166件)。平均すると日に1件強、2件弱のペースになります。Webサイトだけに限ったとしても2006年12月までで750件、そのうち実際に脆弱性が存在したと思われるものは446件です。

 この数字をもって「多い」と言えるのかどうか、そもそも日本語圏で公開されているWebサイトの総数が分かりませんので判断できませんが、少なくともこれまでに、延べ446のWebサイトに脆弱性が見つかった、という絶対数を考えるとやはり「多い」と言っていいような気がします。446もあれば、ごく普通にネットサーフィン(笑)をしているときに、弱いWebサイトに遭遇する確率もそれなりに高そうです。

 さて、対策してくれよ!と言われてしまったWebサイトですが、対策方法もいろいろです。
最も多いのは「脆弱性を修正する」ですが(403件)、他にも「運用で回避(16件)」したり、「当該ページを削除(27件)」したりという対策が取られています。
 この中で最も安全な対策はと言えば、実は「当該ページを削除」ではないでしょうか。27件すべてがアプリケーションも含めて完全に削除、ということではないかもしれませんが、リスクの要素を丸ごと消してしまうというのは、いろいろな意味でサッパリして良いかもしれません。

 もちろん、わざわざWebのサービスを始めたのには何らかの理由があったはずです。だからこそ、これだけたくさんのWebサイト(特に企業サイト)が公開されているのでしょう。例えば、イマイチなビジネスをてこ入れしたいとか、手堅い実入りを確保したいとか……。もしかすると実は、最近どこの会社でもWebで物販なんていうのは常識だし、ウチも乗り遅れないようにしよう!というのがきっかけだった…なんていう会社も多いかもしれません。

 これだけ多くの企業サイトが、Webアプリケーションを利用して何らかのサービスをするということは、言い換えればこういったWebシステムの開発がそれだけ安価になってきているということでしょう。コスト面でのハードルが低くなってきたので「じゃあウチでも……」と思ってしまう心理が、背景にはあるような気がします。

(注ここから)
 ちょっと前に比べて、開発現場の生産性なんて全体的にはそう向上しているとも思えないのに、なぜ「安く」なってきているのでしょうか?もしかしたら、どこかに無理があるからではないでしょうか。
 開発側のその無理についてはまた別の機会に触れることにします。
(注ここまで)

 そういうある意味「軽い気持ち」で始めたWebサービスに、ある日突然「脆弱性が発見されました」とIPAから連絡が来る。話を聞いても難しそうだし、どうも直せそうもない。一発で直しきれないのならば今後もメンテが必要だし、手続きや予算確保や調整など、いろいろややこしそうなのでいっそ止めてしまおう。どうせビジネスの中核になっているものでもない。止めてしまってもあまり惜しくはない。かえって人手を割かなくていいので好都合かも……期せずして最も安全な「削除」を選択した裏には、そんな思考経緯があってもおかしくなさそうです。

 しかし、止めるに至った理由をもう一度考えてみてください。「どうせビジネスの中核でもないし、止めてしまっても」――ここに大きなポイントがあると思うのです。この判断を掘り下げると、おそらく、
・個人情報が漏洩するとか、Webコンテンツが書き換えられるとか、フィッシングに悪用されるとか、いろいろ指摘された「脅威」に対抗してサービスを続けるには、けっこうお金(手間も含む)がかかりそう
・Webによるサービスで、現在実入りとしてあるのは月間○○円くらい。開発費がようやく回収できた程度
という材料をもとに、「サイトを運営し続けることは経営上見合わない」という結論になったのではないでしょうか。そして、この時点で初めてきちんとリスクを見積もることができたのだと思います。

 もちろん、理想的にはサービスを始める前にこのようなリスクもきちんと見積もり、それでも始めるのであれば、想定されるリスクを管理できるような対策を講じておくべきです。しかし、一般的に始める前は「簡単にできそう」「安くできそう」という意識しかなく、サービスを始めたことでひらけるバラ色の未来のことばかり考えるものです。始めることによって抱え込むリスクのことは、おそらくあまり考えられていないのではないでしょうか。
 といって、最初の段階で具体的にリスクについて提示できる人がそうそう身近にいるとも思えませんし、いたとしてもその人にリスク分析を頼むには別の予算も必要でしょう。頼めないなら自前で考えるしかありませんが、いったい「いくら」が相場なのかすらサッパリ見当がつかない……そういう方々のためにあえて言い切ってしまいますと(笑)、もしこれからWebサービスやってみよう!と思っておられるなら、想定されている予算のは覚悟された方がいいと思います。

 そう、です。ちょっと多すぎじゃないの? そう思われますか?

 こんな例を想定してみましょう。とある個人情報を取り扱っているWebサイト(例えばネットショッピングのECサイトなんてどうでしょうか)、ここでのアプリケーション開発予算は200万~300万円程度であるとしましょう。まあまあ一般的な規模なんじゃないでしょうか。いや、むしろ多いくらいかもしれません。多くの開発会社はけっこう買い叩かれているとも聞きますしね。
 もしこのサイトで個人情報が漏洩しそうな脆弱性が指摘されたとしたら、まずその改修費用が必要になります。元値300万円のサイトを改修するのにかかる費用が150万円だとしましょう。さらに改修できたことをチェックする費用として、その規模なら最低でも200万円くらいはかかるでしょう。これですでに倍になりますね。

 脆弱性が発見されてから改修する場合、当初、開発に携わった開発者や開発会社に依頼できるならまだしも、そもそも200万~300万円で過剰に作り込みさせられてしまうような会社は、人の移り変わりが激しいことが想定できます。そうなると、今あるアプリケーションのことを知らない人に頼むことになるので、時間はかかってしまいそうです。そうなるとさらに費用はかさむでしょう。そのコストを出せないのなら、それこそサービスを止めるしかないということになります。
 また、事後にかかる費用は開発規模に応じて拡大すると考えるべきでしょう。さらには、実際に事故が起きてしまったとしたら、人手をかけて対応したり、サービスを停止して損したり、またまた費用がかかってしまいます。

 どうです? 事後の費用というのを想定すると、倍どころか、もっと膨らみそうな気がしてきたでしょう。覚悟して事前に想定の倍の予算を投じるか、そこをケチってあとで倍以上費用をかけることになるか、それとも、Webに色気を出さずに地道にオフラインメインでがんばるか、並べてみると何となく判断がつきそうですよね。

(注ここから)
 こういったシナリオを、開発を始める前の計画段階にあらかじめ想定・検討しておけば、それに応じた予算の確保なり、組織の整備なり、担当スタッフに覚悟を要求したりといった準備をしておけそうです。リスクをちゃんと見積もることで、真実に近い姿をとらえて、その上で経営的に判断する……実はこのプロセスは、セキュリティ以外の分野ではどの経営者も普通に行っていることだったりします。しかし、「情報セキュリティ」というキーワードが浮上した途端、どうも人は「心のシャッター」を降ろしてしまうような気がします。
(注ここまで)

 具体的なストーリーを描いてリスクを提示してくれるコンサルタントの当てが無いならば、「事前で倍、事後で倍以上」という目安をあてに、リスクの真実を(ごく大さっぱではありますが)見積もって、その上で突撃か撤退かを判断すると良いでしょう。みなさんの幸運をお祈りします(笑)。