Webサイト制作&開発に携わるディレクター・営業担当者必見!
Web担当者に必要な「セキュリティマインド」とは?
~提案書や見積書の説得力を増すセキュリティ面のちょっとしたコツとは~
あなたの「セキュリティマインド」、今のままで大丈夫?
Web制作会社の営業担当者やディレクターなど
制作・開発には直接タッチしないWeb担当者=“Web担”。
今や、自分でコードを書かないWeb担にも、
Webセキュリティに関する知識や意識(「セキュリティマインド」)を、求められる時代となりました。
セキュリティに関する質問に、確証のないまま「大丈夫です!」と答えたりしていませんか?
あるいは、「開発側がすべてやってくれているはず」「自分には関係ない」と思い込んでいませんか?
「そんなこと言ったってセキュリティのことを一から調べる時間なんてないよ」というWeb担のみなさんへ、
これだけは知っておいてほしい、セキュリティマインドのポイントをご紹介します。
思い当たることありませんか?
Web担の”ありがちな落とし穴”
Web担のセキュリティにまつわる、ありがちな落とし穴。思い当たるものはありませんか?
ここが落とし穴!CMSをすぐにアップデートできない環境だった
メジャーなCMSやアプリケーションにも、脆弱性は含まれる可能性はあり、メジャーであるゆえに、それを放置してしまうと攻撃対象になる確率は格段に高まります。
アップデートをしたくても、環境上や契約上のさまざまな理由から、すぐにアップデートをすることができず、脆弱性を放置してしまうケースは多く見られます。
× close
脆弱性を発見!
でも誰に連絡すればいいの?
ここが落とし穴!開発会社や担当者が代わって連絡が取れず、対処が遅れた…
サイト内に脆弱性が発見されたものの、担当者が替わったために対応が遅れたり、すぐに改修ができないというケースは少なくありません。
自社内でWebアプリケーションを開発した場合にも、引き継ぎが不十分であったり、仕様を理解している前任者と連絡が取れず手がつけられないというケースも…。
× close
うわっ…うちのサイト、
アプリケーション改修頻度、高すぎ!?
ここが落とし穴!脆弱性診断の費用もかさみ、アップデートの検証も負担に
”脆弱性診断”は、有効な脆弱性対策のひとつですが、機能追加の頻度が高いサイトでは、改修のたびに診断費用や手間がかかってしまい、継続的な対策が行えないというケースも見られます。
× close
優秀なエンジニアがいるから
セキュリティも大丈夫だろう
ここが落とし穴!Webアプリ開発エンジニアのセキュリティ知識を過信
Web担からは「優秀なエンジニア」は、何でもできる万能選手に見えがちです。
こちらから特に言わなくてもセキュリティ対策はバッチリやってくれているはず…、という思い違いがまさかの事態に発展してしまうことも。
× close
要件定義になかったから、
そのままリリースして大ごとに
ここが落とし穴!クライアントからのセキュリティ要件があいまいなまま、未確認だった
Web担がエンジニアに抱くように、クライアントもWeb担に対して、「Webについては詳しいはずだから、セキュリティについても当然、対策してくれているはず」という思いを持っているのです。
この思い違いがトラブルを招く原因になってしまうことも。
× close
クライアントからの質問が
高度すぎて答えられない
ここが落とし穴!Web担よりもセキュリティ知識が豊富なクライアントへの対応に四苦八苦
セキュリティマインドの高いクライアントが増加中。Web担が持つ知識では答えられない高度な質問が寄せられるケースも増えています。中途半端な知識で答えてしまい、それが原因で失注なんてことも…。
毎回「持ち帰って検討します」では信用の低下にもつながりかねません。
× close
優秀なエンジニアがいるから
セキュリティも大丈夫だろう
ここが落とし穴!Webアプリ開発エンジニアのセキュリティ知識を過信
Web担からは「優秀なエンジニア」は、何でもできる万能選手に見えがちです。
こちらから特に言わなくてもセキュリティ対策はバッチリやってくれているはず…、という思い違いが情報漏えいにつながることも。
要件定義になかったから、
そのままリリースして大ごとに
ここが落とし穴!クライアントからのセキュリティ要件があいまいなまま、未確認だった
Web担がエンジニアに抱くように、クライアントもWeb担に対して、「Webについては詳しいはずだから、セキュリティについても当然、対策してくれているはず」という思いを持っているのです。
この思い違いがトラブルを招く原因になってしまうことがあるのです。
クライアントからの質問が
高度すぎて答えられない
ここが落とし穴!Web担よりもセキュリティ知識が豊富なクライアントへの対応に四苦八苦
セキュリティマインドの高いクライアントが増加中。Web担が持つ知識では答えられない高度な質問が寄せられるケースも増えています。中途半端な知識で答えてしまい、それが原因で失注なんてことも…。
毎回「持ち帰って検討します」では信用の低下にもつながりかねません。
これだけは知っておきたい
Webセキュリティの基本
Webサイトへの攻撃には”脆弱性”が狙われる! ”脆弱性”って何?
情報漏えい、改ざん、データ破壊、なりすまし、ウイルス・マルウェア拡散など、Webサイトへの攻撃の被害はさまざまなものが報告されています。攻撃者は、Webサイトの”脆弱性”を狙い、攻撃を仕掛けてくるのです。
脆弱性とは、制作や開発工程での設計ミスや見落としなどから生まれる、Webサイトのセキュリティ上の欠陥を指します。Webサイトの開発・運営を続けていく上で、常につきまとう身近な問題です。
Webアプリケーション(Webサイト)への攻撃は、サイト規模にはあまり関係なく、「脆弱性を放置していた」サイトに対して行われるのです。
事業への重大な影響、忘れていませんか?
下記は、Webサイトの脆弱性から情報漏えいや情報改ざん被害が発生した場合の主要な影響です。
- 顧客への直接的被害(不正送金など)
- サービスの停止・終了
- 調査や報告などの各種手続き
- 損害賠償責任
- 人材面での損害
- ネットに残り続ける風評
補償や賠償など金額がはっきりしたものだけでなく、目に見えない深刻な影響が長期にわたり事業全体に及ぶことを、Web担の皆さんもぜひ認識しておきましょう。
これだけは知っておきたい
Web担の責任の重さ
「関係ない」とはもう言えない!
被害の防止・軽減対策を講じる責任は、一般的には運営主体となる企業(クライアント)が負うものとされています。
万が一、情報漏えいなどの被害を発生させたときには、次のような責任の所在が問われます。
- 事故が発生した場合に、被害を最小限にとどめ、二次被害を防止する責任
- 事故の原因を究明する責任
- 毀損された情報を回復する責任
- 被害を与えた顧客やサイト利用者に対する賠償責任
- 被害を与えた従業員や関係会社、取引先等に対する賠償責任
- 二次被害を受けた第三者に対する賠償責任 (加害者となってしまった場合)
- サイト再開に当たって、再発防止策を立案、実施する責任
(自社で運営する他のサイトやサービスに関する検証対策を含む)
あなたのクライアントは、これらの責任が発生する可能性まで想定できているでしょうか?
Web担は、これらの責任を負う可能性があることも含め、脆弱性を放置するリスクをクライアントへ伝える義務があるのです。
では、具体的にどうするべきか?
Web担が持つべき、3つのセキュリティマインド
根本的な対策は、Webアプリケーションに脆弱性を残さないことです。
しかし、コストや納期との兼ね合い、開発部門や開発会社に対する権限の問題など、
Webサイトの開発や運営という大がかりな仕事のなかで、独りで解決できる部分は、やはり一部にすぎません。
そこで提案したい、Web担にやってほしいことは次の3つです。
Webセキュリティへの最低限の知識を持ち、クライアント等とのすり合わせに力を注ぐ
担当者として、Webサイトが外部からの攻撃を受けたときにどのような影響が考えられるか説明できるよう、最低限の知識を持っておきましょう。
クライアントとの交渉時には「セキュリティ要件が定められているかどうか」「求めるセキュリティ要件が予算的およびスケジュール的に対応可能か」「外注先の選定に影響があるか」といった点を受注前の段階で確認できるようにしておきましょう。同チームのエンジニアへの共有も忘れずに!
万が一の事態における、対応フローを準備
万が一の事態が起こった場合、担当者は目の前の問題の対応に手が一杯になり、関係各所が混乱に陥るケースが少なくありません。
特にWeb担には、制作会社の代表としての行動が求められます。企業の信頼性を損なうことのないよう、問題が発生してからでは対策を考える余裕はないことを念頭におき、あらかじめチーム全体の対応フローを構築しておきましょう。
セキュリティ対策の機能を持つサービスや製品を提案段階で取り入れる
担当するWebサイトに必要なセキュリティサービスや製品を、早い段階で提案し見積もりに反映できるのも、Web担ならではの役割です。製品やサービスのタイプによって特徴(防御できる範囲)や費用は大きく変わるため、おおまかな傾向だけでも知っておくといいでしょう。
特にWebサイトの脆弱性を狙った悪意のある攻撃を防ぐ、WAF(Webアプリケーションへの攻撃を防御できるファイアウォール)は、水際で被害を軽減することができ、公開直前でスケジュールや予算が限られている場合などに有効なサービスのひとつです。
Webセキュリティへの最低限の知識を持ち、クライアント等とのすり合わせに力を注ぐ
担当者として、Webサイトが外部からの攻撃を受けたときにどのような影響が考えられるか説明できるよう、最低限の知識を持っておきましょう。
クライアントとの交渉時には「セキュリティ要件が定められているかどうか」「求めるセキュリティ要件が予算的およびスケジュール的に対応可能か」「外注先の選定に影響があるか」といった点を受注前の段階で確認できるようにしておきましょう。同チームのエンジニアへの共有も忘れずに!
万が一の事態における、対応フローを準備
万が一の事態が起こった場合、担当者は目の前の問題の対応に手が一杯になり、関係各所が混乱に陥るケースが少なくありません。
特にWeb担には、制作会社の代表としての行動が求められます。企業の信頼性を損なうことのないよう、問題が発生してからでは対策を考える余裕はないことを念頭におき、あらかじめチーム全体の対応フローを構築しておきましょう。
セキュリティ対策の機能を持つサービスや製品を提案段階で取り入れる
担当するWebサイトに必要なセキュリティサービスや製品を、早い段階で提案し見積もりに反映できるのも、Web担ならではの役割です。製品やサービスのタイプによって特徴(防御できる範囲)や費用は大きく変わるため、おおまかな傾向だけでも知っておくといいでしょう。
特にWebサイトの脆弱性を狙った悪意のある攻撃を防ぐ、WAF(Webアプリケーションへの攻撃を防御できるファイアウォール)は、水際で被害を軽減することができ、公開直前でスケジュールや予算が限られている場合などに有効なサービスのひとつです。
Web担としてのセキュリティマインドを持ち、説得力のあるセキュリティ提案を自ら行うことで、
Web担としてのスタイルを一歩、進化させましょう。
幅広いサイトに導入できるクラウド型WAFのすすめ
各社のWAFには様々な特徴がありますが、中でも特におすすめしたいのは、クラウド型WAFです。
- 導入までにかかる日数が比較的短い
- 機器の購入が不要
- ランニングコストが明確で、予算化しやすい
- 稼働中のWebサイトも止めずに導入できる
- 防御機能は随時アップデートされ、新たな脆弱性にも対応できる
などの特徴があり、もっとも対応できる範囲が広いおすすめの対策です。
みんなが使ってるCMSだから
アップデートすれば大丈夫!