個人情報漏えい対策の考え方
  ~事故が起こらないようにするにはどうすればいいの?~

【1】 Webサイトで利用しているプログラムの脆弱性を解決

Webサイト経由で情報漏えいが起こる原因の多くは、Webサイトで利用しているプログラムの欠陥、すなわち脆弱性であることが多いと言われています。脆弱性のないプログラムをミスなく作れればいい、と考えがちですが、プログラマーのレベルや制作期間、また制作予算など、理想通りの「完璧な開発環境」を作れることはまれです。では、どの企業でも現実的に採用できる対策とはどのようなものなのでしょうか。ここでは主に2つの方法を紹介します。

セキュリティー診断を利用する

Webサイトにセキュリティー上の問題がないか、専門家に診断をしてもらうサービスです。費用はまちまちですが、数十万程度からが一般的な相場です。セキュリティーの専門家が攻撃者の視点から問題点をチェックする方法で、Webサイトが安全かを確認します。

診断期間は約1~2週間で、その後、診断報告書という形で結果がリポートされます。ちょうど人間の健康診断のような感覚です。その報告書に、セキュリティーの問題が指摘されていれば、診断機関からのアドバイスを元に修正を施します。

参考: セキュア・スカイ・テクノロジー 「Webアプリケーション診断」
プログラムの欠陥を無効にする機器やサービス(WAF)を利用する

万が一Webサイトにセキュリティー上の問題があったとしても、その攻撃を防ぐ方法があります。それが「Webアプリケーションファイアウォール(以下「WAF」)」と呼ばれるもので、Webサイトへの不正な通信を防御することで、セキュリティーの欠陥を攻撃される前の段階でWebサイトを守ります。

これも、月々数万円から利用できるSaaS(必要な機能をオンデマンドで利用できるソフトウエア)タイプから、初期費用で数百万円を必要とするWAF専用のハードウエアを購入するタイプまで、価格には幅があります。必要なセキュリティー対策をサイトの規模や予算に応じて考えたいのであればSaaS型(クラウド型)が、セキュリティーを最優先に考えるならばハードウエア型が適していると言えます。

参考: 情報処理推進機構「Web Application Firewall 読本 改訂第2版(PDF)」 参考: セキュア・スカイ・テクノロジーの クラウド型(SaaS型)WAF「Scutum (スキュータム)

自分でアプリケーションの脆弱性に対応できるか?

Webサイトのセキュリティー問題は難しく、対策費用も高いと考えている方が多いようですが、実は無償で提供されているツールがあります。こういったものを自分で利用してチェックすればお金はかかりません!(あたりまえですが…)

skipfish
Googleから無料で公開されている、オープンソースのWebアプリケーションセキュリティースキャナーです。「skipfish」で検索すると、日本語で使い方を解説したブログも見つかります。

iLogScanner V3.0
情報処理推進機構から無料で提供されている、主要なWebアプリケーション攻撃の痕跡を検出できるソフトです。ブラウザー上で実行でき、SQLインジェクション、OSコマンド・インジェクションといった事例の多い攻撃があったかどうかを調べられます。

ModSecurity
Apacheのモジュールとして使う、Webアプリケーションファイアウォールソフトで、イスラエルのWebセキュリティー専門会社Breach Security社が無料で公開しています。日本の有志の手による日本語マニュアルもあります。

ただし、利用するにもある程度専門的な知識が必要だったり、チェックの結果をどう判断すればよいかという解説は皆無でよくわからなかったり…。操作はともかく、誰でも簡単に利用できるというレベルでは、残念ながらなさそうです。

【2】 その他の準備や対策

サイト自体へ施す直接的なセキュリティー対策の他にも、漏えいに対する保険をかけて事故に備えたり、そもそも事故の原因になる個人情報を極力持たないという考え方もあります。

個人情報漏えい保険

【例】 AIU保険会社 「個人情報漏えい保険
漏えいが発生した際に、「危機管理コンサルティング補償」「危機管理実行費用補償(オプション)」「賠償金・争訟費用補償」などを補償する内容です。

【例】 東京海上日動 「個人情報漏えい保険
個人情報の漏えいにともなう、損害賠償にかかる費用や謝罪広告・見舞品購入などの対策費用を補償する保険です。

それほど必要ではない情報は極力取得しない

必要でない個人情報を極力集めなければ、被害は小さくなります。いま集めている情報が本当に必要かを再度確認してみましょう。

サーバー/ネットワークの対策

Webサイトが稼働しているサーバーやネットワーク環境での対策も当然ながら必要です。自社でサーバーやネットワーク機器、仮想サーバー等を管理している場合は、これらの機器や利用しているソフトウエアにセキュリティー的な問題がないかチェックが必要です。できれば常に最新のバージョンで利用すると安心です。

特定のソフトウエアや機器の脆弱性は、開発元やベンダーからの情報も入手しやすく、基本的な対策が明確になっていることが多いため、きちんとした運用さえなされていればWebアプリケーションの脆弱性と比べ、危険を回避しやすいと言えます。

個人情報漏えい対策のコスト  ~対策にはどのくらい費用がかかるの?~

【1】 セキュリティー診断の場合

最近では、安価な診断サービスも登場していますが、ある程度費用を投じてしっかりチェックしてもらう方が安心です。相場としては、Webサイト1ページ(1画面)あたり3万~5万円程度が多いようです。すべてのWebページを診断する必要がない場合も多いので、セキュリティー的に重要な部分を抽出して、50万~200万円くらいの費用で実施することが多いようです。

セキュリティー診断業者を選定するポイントは、しっかりとした技術者が診断してくれて、わかりやすいアウトプット(報告書)を提出してくれるか確認しましょう。アウトプットは事前にサンプルをもらえる場合が一般的ですので、問い合わせ時に聞いてみましょう。

【2】 Webアプリケーションファイアウォール(WAF)の場合

WAFは一般的に高価なソリューションとして知られていました。専用の機器を購入するタイプが多く、機器購入費用だけで数百万から、規模によっては数千万程度かかることもあります。その上、構築費用やその後のメンテナンス費用を含めると、なかなか利用するのに勇気がいるソリューションです。

最近では高品質なWAFをSaaS(クラウドサービス)で提供するモデルが出てきました。こちらだと、価格は月額数万円から利用できるようです。

いくつものWebサイトのセキュリティー事件が頻発している中ではありますが、現在の日本でビジネスを行うにはWebサイトを活用する必要があります。実際には、不安を覚えながらも、多くの企業で個人情報を含めたシステムを運用しています。コストを考える上で重要なのは、ビジネスとセキュリティーのバランスです。

実際に必要な費用は、取り扱う情報の件数・重要度やシステム全体の年間費用に応じてある程度の傾向はあるものの、業種、業態、事業規模、Webとリアルの売上比率、各企業や企業グループのセキュリティに対する姿勢によって大きく異なるのが実情です。

現実的なコストの中で、どのようにユーザーの安心と企業の未来を守るのか? 情報システム担当者だけでなく、Webサイトを利用してビジネスを行うすべての方にとって、そのバランスを考えることが必要になっているようです。