セキュリテイ対策が不十分だと、脆弱性を突かれ不正アクセスされ個人情報が流出し、
大きな損害が出てしまう可能性があります。
十分にセキュリティ対策が行えるよう、セキュリティリスクについて解説します。
エンタープライズ企業が
セキュリティに取り組む必要性
個人情報が
流出した時の損失
個人情報が流出した時の損失は金銭的損失と企業の信頼度の2つに分けられます。
賠償額データ
2018年個人情報漏えいインシデントの分析結果
| 漏洩人数(合計) |
561万3,797人 |
|---|---|
| インシデント件数 |
443件 |
| 想定損害賠償総額 |
2,684億5,743万円 |
| 一件あたりの漏えい人数 |
1万3,334人 |
| 一件あたり平均想定損害賠償額 |
6億3,767万円 |
| 一人あたり平均想定損害賠償額 |
2万9,768円 |
特定非営利活動法人 日本ネットワークセキュリティ協会「2018年情報セキュリティインシデントに関する調査報告書」
大規模情報漏洩の実例
ソニーの例
損失
①金銭的
セキュリティ強化のためのシステムの大規模な改修を行った。
②信頼度
当時過去最大の情報流出事件といわれ企業の信頼を著しく落とした。
詳細
2011年4月、PlayStation NetworkおよびQriocityの不正アクセスによりソニーから約7,700万件の情報が漏洩しました。 ソニーから漏えいしたとみられる情報は、氏名、国と住所、Eメールアドレス、生年月日、性別、パスワード、PlayStation NetworkのオンラインIDです。
一方で、漏えいした可能性があるものとして、購入履歴、請求先住所、パスワード再設定用の質問への回答などのプロフィールデータ、クレジットカード番号および有効期限に関する情報が挙げられています。
こちらの事件に関しては金銭的な補償というのは行わなかったようですが、当時過去最大の情報流出事件といわれ企業の信頼を著しく落とし、システムの大規模な改修費用を含め、多大な損失となった事は間違いありません。
セブン&アイ・
ホールディングスの例
損失
①金銭的
被害額の全額補償および、7payサービスの廃止。
2019年7月のチェーン全店の売上高が前年同月比1.2%減と9年4ヶ月ぶりに前年割れとなった。
参考:https://www.nikkei.com/article/DGXMZO48532210T10C19A8MM8000/
②信頼度
経済産業省の世耕大臣や各メディアからセキュリティ対策が不十分と指摘され、企業の信頼度を著しく落とした。
詳細
セブン&アイ・ホールディングスは2019年8月1日、傘下のセブン・ペイが運営するバーコード決済サービス「7pay」の一部アカウントに対して不正アクセスが発生した事を発表しました。
不正アクセスによる被害者は808人、被害金額は3,861万円にものぼりセブン&アイ・ホールディングスは被害額全てを補償し、7payサービスは廃止となりました。
システムの問題点としては、メールアドレスでの本人確認が不十分だった事や、システムの重要情報の管理が杜撰であった事などが挙げられます。現代においてはまず堅牢なセキュリティを用意し、そのうえでパフォーマンスその他の機能を追求する必要がありますが、7payシステムにおいては構築の段階でセキュリティに不備があった事が明らかになりました。
愛知県の例
損失
①金銭的
氏名公表に至った396人に対して4万円、掲載されてない94人に対しても2万円、合計で1772万円の賠償金を支払った。
②信頼度
センシティブ情報は特に他人には知られたくない情報のため扱う際は厳重に取り扱いをするべき。
そのため一度流出してしまうと信頼度が回復が難しい。
詳細
愛知県は2020年5月5日、県が市民向けに新型コロナウイルスに関連する情報を公開しているページにて、県内での発生事例合計495件について、本来公開すべきではない氏名などの個人情報が掲載されました。
担当者が本来個人情報を伏せる形で情報を更新しようと試みたところ、誤って個人情報が記載されたファイルを登録した事が原因です。
発生から1時間後にファイルを削除しましたが、既に閲覧した県民から通知があったため、流出が確定的となりました。この事例では氏名公表にまで至った396人に対して4万円を支払うほか、掲載されていない94人に対しても2万円のあわせて1,772万円の賠償金を支払う事となりました。
CMSを狙ったサイバー攻撃
IPA調査報告書によると、CMSを利用したWebサイトが狙われた被害事例が確認されています。
その原因には主に
① CMSにある認証画面に対する不正アクセス
② CMS本体、およびCMSの拡張機能の脆弱性悪用
の2点が挙げられます。
実際CMSの不正アクセスによる被害のそのほとんどが拡張機能の脆弱性で占められ、また、Webサイト改ざん被害がCMSの拡張機能の脆弱性にある、と警察庁からも指摘されています。
エンタープライズ企業が
行うべき
セキュリティ対策
CMSを最新版に
アップデート
CMSは脆弱性が発見されると対策のためのアップデートが公開されるため、常にCMSを最新版にアップデートしておく必要があります。
WordPress、Drupal、Joomla!はライセンス料がかからないため導入のハードルも低く、世界で最も使用されているCMSです。これらCMSはオープンソースで世界中にソースコードを公開しているため、脆弱性を発見されやすいです。
脆弱性が発見された場合、サイバー攻撃の標的になりやすいため、早急にアップデートする必要があります。
WAFの導入
“WAF”(Web Application Firewall)とは、ウイルスや不正アクセスなど、外部からの攻撃を防御するセキュリティの一種で、Webサイト上のアプリケーションに特化したファイアウォールです。セキュリティの対象は、ネットショッピングや動的ページが生成されるWebサイト、ECサイトなど、データのやり取りが発生するWebサービスです。一般的なファイアウォールとは異なり、データの中身をアプリケーションレベルで解析出来るのが特徴で、多様化する不正アクセス被害において有効な対策とされています。
WAFには大きく分けて、アプライアンス型、ソフトウェア型、クラウド型の3つのタイプがあり、
簡単にメリットとデメリットを挙げると
①アプライアンス型
専用のWAFサーバーを設置する
メリット
サーバーの台数や環境に左右されない
デメリット
・コストが高い
・専門の技術者が必要な場合が多い
②ソフトウェア型
WebサーバーにWAFのソフトウェアをインストールする
メリット
比較的導入コストが安価
デメリット
・サーバー台数が増加するほどコストが増加する
・初期設定などを自社で行う必要がある
③クラウド型
WAFを提供しているサービスに接続する
メリット
導入・運用コストが少なく、自社で運用する必要がないため手軽
デメリット
仕様がベンダーによって変わるためカスタマイズ性が低い
まだWAFを導入していないのであれば、検討してみる必要があるかもしれません。
WAFの導入には、自社に最適なものを選ぶ必要があります。コストや目的にあった正しい選定を行いましょう。
改ざん検知ソフトの導入
Webサーバー、システム上の不正に改ざんされた痕跡を検知し、通知や自動修復を行ってくれるツールになります。改ざんの検知方法も様々で、過去の改ざん事例に基づいて検知する「パターンマッチ型」、通常と異なるプログラムの動きを手がかりに検知する「振舞い分析型」、サーバーに置かれているファイルを定期的にハッシュ計算しファイル変更を検知する「ハッシュリスト比較型」、Webサイトの全ファイルの原本を監視用サーバーにおき、Webサーバーのファイルと比較して検知する「原本ファイル比較型」があります。
どの検知方法もメリットとデメリットがあるため、自社に合った検知方法を選択する必要があります。
Webサイトの改ざんは運営側が気づきにくいため、発見が遅れ被害が拡大する恐れがあります。そのため、改ざん検知ソフトを導入し、いち早く改ざんを発見し復旧する事が重要になります。
エンタープライズ企業の
セキュリティとこれから
ここまでエンタープライズ企業のWebセキュリティとCMSについて解説しました。ここ数年でユーザーのネットワークセキュリティに対する意識は増加し、それに応じて情報漏洩の際の賠償額も増加傾向にあります。それによって損なわれる企業の信頼は金額には換算出来ません。
サイバー攻撃はそのものが流動的で都度新しい手法が生み出されます。対策を講じたからといって安心するのは早いかもしれません。セキュリティ対策には相応のコストや労力を要しますが、万が一情報漏洩した場合の費用はその比にならないため常に意識を高め、継続的なセキュリティ対策をしていく事をお勧めします。
弊社が構築、運営するWebサイトでは万全のセキュリティ対策を行い、機密保持に取り組んでいます。下記資料にまとめておりますので併せてご確認ください。
Other
その他、検討すべき課題
拡張性
Webサイトは様々なシステムと連携する事で機能が増え価値が高まります。例えばCRMと連携すると精度の高いパーソナライズが出来、効率的なマーケティングが出来ます。システム連携の具体例から拡張性を見据えた設計方法などを解説します。
more view
ナーチャリング
良いコンテンツをWebサイトに掲載してもそれだけでは集客が出来ません。潜在的な顧客にタイミングよく情報を提供しみ込み顧客に育てるナーチャリングが必要になってきます。CMSを活用したナーチャリングの手法を解説致します。
more view
サイトパフォーマンス
サイトの機能を充実させると、どうしてもサイトが重くなりパフォーマンスが悪くなっていしまいます。サイトの表示速度が遅くなると、アクセス数や収益の減少に繋がります。サイトの表示速度が遅くなる原因やその対策方法について解説します。
more view
事業継続性
Webサイトは24時間365日表示される事が求められ、表示出来ない時間があると機会損失に繋がります。急激なアクセス数の増加によるサーバーのダウンなど万が一のトラブルを事例と対策方法ごとに解説します。
more view
グローバルサイト|グループ統合
グローバルサイト、グループ統合は各支社のメンバーが参加するため関わる人が多く、プロジェクトの進め方のコツがあります。LYZONのノウハウやグローバルサイトにおける各地域の法律やマーケティングを解説します。
more view
環境構築
「オンプレミスかクラウドどちらを選択したらいいかわからない。」「クラウドならAWSとAzureどちらを選べばいいかわからない。」そんな方に、Webサイトの環境構築における検討するべき事を解説します。
more view
わたしたち
「LYZON」の紹介
「世界に役立つ脳を創る」をモットーに、業界最先端のWeb分析技術を利用したサイト構築を行っている。
企業向けWebサイト制作を中心にWebに必要なすべてを提供し、その中でも大規模サイト向けCMS構築が得意分野。
マーケティングオートメーションやパーソナライズなどの次世代デジタルマーケティングを用い、Webサイト収益の最大化に励んでいる。また、LINE連携や人工知能の活用など常に新しい試みに成長し続けている。
代表取締役社長:藤田健
設立:2007年