企業経営にWebセキュリティが必要なわけ

2018.06.22

Webセキュリティ

世界的にもサイバーセキュリティの重要性がますます高まる中で、近年は外部からのサイバー攻撃による個人情報漏えい事故が増加しています。特にWebサイトへの不正アクセスによる情報漏えい被害が拡大していることから、「Webセキュリティ」の重要性が高まっています。
こうした背景がある中で、国内のサイバーセキュリティ市場は、2010年6,500億円から2018年には1兆円を超えると予測されており、8年間で150%以上成長しています。

※出典:JNSA(日本ネットワークセキュリティ協会)2017年度 国内情報セキュリティ市場調査(速報値)

近年の事業においては、業種や規模に関わらずインターネットを利用するようになり、Webサイトでの情報発信も活発に行われています。Webセキュリティ対策は企業の信用度を高め安全性を確立するためにも実施するべき項目の一つと言えます。
今回は、なぜ企業経営の観点からWebセキュリティ対策を行う必要があるのかを解説します。

目次

近年のサイバー攻撃の状況

サイバー攻撃とは、サーバやパソコンなどのコンピューターシステムに対して、ネットワークを通じて破壊活動やデータの窃取、改ざんなどを行うことです。
以前は、政治的な理由や自己主張などメッセージ発信目的での攻撃が多く、且つ手法はターゲットを絞った個別での攻撃でした。
しかし、最近では個人情報の売買が盛んになり、よりビジネス化したため、手法も効率化を求めて不特定多数に向けて機械化(ボット)で攻撃するように変化してきています。
国立研究開発法人情報通信研究機構(NICT)が発表した観測レポートによると、2013年に日本国内で観測された攻撃が約128億だったのに対して、2017年度には約1504億と5年間で10倍以上に増加していることがわかります。

※出典:NICT NICTER 観測レポート 2017 

セキュリティ対策は経営課題

このようにWebセキュリティ被害の増加にともない、2015年には経済産業省とIPAが『サイバーセキュリティ経営ガイドライン』を策定し、経営者に対してセキュリティ対策を推進するよう求めました。
2017年11月に公表されたガイドライン(Ver.2.0)の概要部分では「経営責任や法的責任が問われる可能性がある」といった強い文言が記載されており、経営者へ警鐘を鳴らしています。

経営者が認識する必要がある「3原則」

 

サイバー攻撃が避けられないリスクとなっている現状において、経営戦略としてのセキュリティ投資は必要不可欠かつ経営者としての責務である。
自社のみならず、サプライチェーンのビジネスパートナーやシステム管理等の委託先を含めたセキュリティ対策を徹底することが必要である。
平時から実施すべきサイバーセキュリティ対策を行っていることを明らかにするなどのコミュニケーションを積極的に行うことが必要である。

※サイバーセキュリティ経営ガイドラインVer2.0より一部抜粋

 

サイバー攻撃による被害は、サービス停止、売上機会の損失、ブランドイメージの棄損に留まらず、予期せぬ二次災害を起こす可能性もあります。
日本ではWebサイトのサイバー攻撃の対策漏れが重過失と認定された判決があり、米国ではサイバー攻撃から株価下落という事態を招き、経営陣を相手にした株主代表訴訟が起こされた例もあります。
こうした様々な理由から、サイバーセキュリティ対策は急務の経営課題と言えます。

「社内セキュリティ」と「社外セキュリティ」の違い

一言でサイバーセキュリティと言っても様々なセキュリティ対策があります。企業においてのサイバーセキュリティは「社内セキュリティ」と「Webセキュリティ」の大きく2つに分けることができます。
「社内セキュリティ」はマルウェアに対してPCや社内ネットワークを守るための対策、「Webセキュリティ」はソフトウェアの脆弱性やWebアプリケーション層への攻撃から外部公開サーバを守るための対策です。日本国内ではこれまで社内セキュリティを中心に投資が進められていたことから、社内セキュリティ対策が未実施という企業は少なくなっています。逆にWebセキュリティへの投資は、まだ進められていない現状にあります。
過去に発生したセキュリティインシデントを紐解いてみると、セキュリティ被害の多くはWeb経由で発生しているものが多くあります。

情報セキュリティ10大脅威 2018

独立行政法人情報処理推進機構(以降IPA)が毎年公表している「情報セキュリティ10大脅威2018」によるとセキュリティ10大脅威のうち3件がWebに関する脅威となっています。特に6位「ウェブサービスからの個人情報窃取」については、大量の個人情報が流出する可能性があることから注意が必要です。

※出典:情報セキュリティ10大脅威 2018(IPA 独立行政法人情報処理推進機構)

2016年個人情報漏えいインシデント事故 Top10

NPO日本ネットワークセキュリティ協会による調査報告によると、2016年に発生した個人情報漏えいに関するインシデントの中で、漏えい人数が多い上位10件のうち7件は不正アクセスが原因でした。不正アクセスによる情報漏えいは大規模被害へ繋がることがわかります。

※出典:2016年 NPO日本ネットワークセキュリティ協会の調査報告書

個人情報漏えい事件の被害

個人情報漏えい事件の損害賠償額は

JNSAセキュリティ被害調査ワーキンググループによる個人情報漏えい事件の調査分析より算出した結果によると1人あたりの平均想定賠償額は2.3万円となります。(出典:2017年 情報セキュリティインシデントに関する調査報告書【速報版】)
これは、過去大きく報道された情報漏えい事件における顧客一人あたりに支払った金額(数百円~数千円)を大きく上回り、また世界での状況を見ても増加していくと予想されます。

個人情報漏えいした際の対応とは

それでは、実際に個人情報漏えい事件・事故が起こった場合、どのような対応が必要になるのでしょうか。
サイバー攻撃により情報漏えいしたサイトは、原因究明や再発防止策を講じるまでサービス停止を余儀なくされます。また、事故における報告書の作成や報告書公開にともなう問い合わせ対応などが必要となります。

 

<事故対応例>

  • ・調査・応急対応 :事故判定、原因究明、被害拡大防止、など
  • ・復旧作業    :データ復旧、など
  • ・事故の報告・公表:報道発表、記者会見実施、など
  • ・事後対応    :コールセンター立ち上げ、再発防止策の実施、など

Webサイトへのサイバー攻撃を防ぐにはWAFが効果的

Webセキュリティといっても、脆弱性診断、SSLなど複数種類があります。Webサイトへの不正アクセスによる情報漏えいを防ぐには、Webアプリケーションを保護するWAFが有効です。

Webセキュリティの種類

・IPS…OSの脆弱性を狙う攻撃を防ぐ
・WAF…SQLインジェクション、クロスサイトスクリプティングなど、Webアプリケーションの脆弱性を悪用した攻撃を防ぐ。

・脆弱性診断…Webサイトの脆弱性を洗い出し、修正する脆弱性を設定するためのセキュリティ。

・ファイアウォール(FW)…ネットワークアクセス制御を行う

・ログ監視…ログを収集する、監視する

・SSL…メールフォームなどの入力データを暗号化する

WAFが保護する範囲

FW

FWはネットワーク層を保護するセキュリティ対策です。外部から社内向けシステムへ侵入する攻撃に対して有効なセキュリティで、パケットフィルタとアクセス制御によって外部からの攻撃を防ぎます。

 

IDS/IPS

IDS/IPS(不正侵入検知・防御システム)はミドルウェア層を防ぐセキュリティ対策です。Webサーバの脆弱性やOSの脆弱性を狙う攻撃に対して有効なセキュリティです。

 

WAF

WAFはWebアプリケーション層を保護するセキュリティ対策です。企業が提供するWebサイトへの攻撃に対して有効なセキュリティです。FWやIDS/IPSでは防ぐことが出来ないhttp、httpsに対応しています。

Webセキュリティ投資が進まない

WAFは企業の情報漏えいを防ぐ極めて有効なセキュリティ対策であるにも関わらず、Webセキュリティ支出が進まない現状があります。NIST、Gathnerの調査結果によるとデータ侵害の原因の95%がWebサイト(アプリケーション)にも関わらず、Webセキュリティへの支出は10%にとどまり、90%はネットワークセキュリティにあてられているというデータが公表されています。この調査結果からも企業において情報漏えい事故が多発している原因の1つに、Webセキュリティ対策が進んでいないことが見て取れます。

※出典:NIST、Gathner調査より

Webセキュリティを成功させる3つのチェックポイント

情報が企業における重要な経営資源の1つであるにも関わらず、Webセキュリティ対策が進まない原因は必要なWebセキュリティに対して十分な投資ができていないことが1つの原因です。

セキュリティ予算は一括で取られていることが多いこともある為、経営層がセキュリティの意識を高く持ち必要なセキュリティ対策を推進していくことが大切です。

具体的にはどのような点を確認すれば良いか、Webセキュリティを成功させるための3つのチェックポイントをご紹介します。

Webセキュリティのチェックポイント ①  経営層の80%が誤認している

「Webサイトのセキュリティは実施済だ」政府主導でサイバーセキュリティ対策が推し進められており、企業も既にそのリスクを十分に理解して対策しているのでは?と思うかもしれません。

しかし、市場でのアンケート調査を行ったところ、興味深い結果となりました。

Webセキュリティ対策を実施していると答えた経営層のうち、約8割※は不正アクセスの侵入口となるWebアプリケーション層への対策が実施できていない状況だったのです。

さらに、対策を実施している残りの2割に関しても、一部のWebサイトにしかセキュリティ対策を実施できていないという結果となりました。

※出典:株式会社マーケティング・アンド・アソシエイツ「セキュリティソフト浸透度調査」

セキュリティ対策を実施していると答えたものの、 Webアプリケーション層へのWAF対策まで認識が及んでいない経営層(誤認者 80.5%)の回答の詳細を見てみると、経営層の多くが認識しているWebセキュリティ対策はFW(ファイアウォール)やログの監視であることがわかりました。

Webセキュリティのチェックポイント ②「委託先が対策してくれているはず」

Webシステム構築を外注した際に「ITベンダー側で適切なセキュリティ対策を施してくれているだろう」と思ってしまったことはないでしょうか?実はそう考えている企業は多く存在します。しかし、ITベンダーは要件定義されていないことは基本的に実施することはありません。

このようにお互いの認識齟齬から適切なWebセキュリティ対策が施されず、サイバー攻撃の脅威にさらされているWebサービスが数多くあります。

 

《関連する事件例》

化粧品などを販売する通販サイトで発覚した個人情報の漏えいについて調査報告書が発表されました。報告書では、サイト内で使用していた「SSI」に脆弱性があり、通販サイトの運営システムに関連して同社が複数の事実誤認をしていたことが記載されています。この事件により、個人情報約42万件、クレジットカード情報は約5万件漏えいしています。

Webセキュリティのチェックポイント ③ 「個人情報は別の環境で管理しているから大丈夫」

情報システムの責任者やシステム管理会社から「個人情報は持っていないから大丈夫」「個人情報は別システムで管理しているから大丈夫」と回答されたことはありませんか?

こうした「大丈夫」という認識には注意が必要であるケースが多くあります。

 

《関連する事件例》

個人情報はWebサイトとは別のデータベースで管理し、さらにセキュリティシステムを導入していた。しかし、クレジットカード情報を入力する入力フォームが改ざんされ、ユーザーが入力した情報が外部のデータベースに送信されてしまっていた。この事件では、クレジットカード情報約1万2千件漏えいしています。

まとめ

企業におけるWebセキュリティの重要性、被害状況や対策を施す際に陥りやすいポイントをご紹介しました。

サイバー攻撃はWebサービスやWebサイトを展開する企業であれば全ての企業が対象であり、サービス停止、売上機会の損失、ブランドイメージの棄損、株価下落といった様々な損害を及ぼします。

セキュリティの専任がおらず対策状況が曖昧になっているケースもあります。セキュリティ投資は売上を上げるものではありませんが、その被害は売りげに直結します。企業経営のリスク排除として、経営陣主導で自社のWebセキュリティを見直すことが大切です。

関連記事