東京発Webシステム開発会社TDTCの徒然ブログ

セキュリティ対策と保守運営の話（はじめに）

企業WebサイトやWebシステムは、日々多くの悪意に満ちた攻撃者に狙われています。どの様にセキュリティ対策や保守運営をすべきか考察します。

Webシステム運営者に襲い掛かるリスクとは？

企業WebサイトやWebシステムを狙う攻撃者は、主に以下に挙げる3つの目的で攻撃を仕掛けてきます。

利益目的型の攻撃者

この種の攻撃者は、①暗証番号（パスワード）を総当たり攻撃などの解析プログラムでハッキング解読、またはフィッシング・サイトへの誤認誘導で盗取、②迷惑メールの送付などを通じてコンピュータ・ウイルスに感染ないしランサムウェアを仕込む等の手口を通じ、（Ａ）金融機関から不正送金、（Ｂ）個人情報や取引先情報の漏洩阻止と引換に金品（身代金）の要求やその他犯罪目的で盗取情報を転売、（Ｃ）重要な機密情報を盗み出し自己の営利目的に使用（産業・政治スパイ）するなどの目的で攻撃します。

営業妨害型の攻撃者

この種の攻撃者は、Webサービス提供元のサーバーやネットワークに悪意を持って集中アクセス（D/DoS）攻撃することで過剰負荷を与え、サービス妨害や停止に追い込むことでライバル企業の営業妨害や信用失墜を画策する目的で攻撃します。

乗っ取り型の攻撃者

この種の攻撃者は、攻撃対象のサーバー等インフラ環境をハッキングすることで乗っ取り、それを①迷惑メールやフィッシング・サイト（なりすまし）への誘導メール送信、または②D/DoS攻撃に使用するなどの目的で攻撃します。悪用には相当程度のサーバー環境などインフラが必要となり、攻撃者は乗っ取りによりタダ乗りと身バレ（※表面上の攻撃者はハッキング攻撃を受けた被害者が加害者となります。）のリスクを回避させます。

Webシステム運営に係るリスクとその対応策

Webシステム運営には主に以下に挙げる3つのリスクが存在します。それぞれのリスクをしっかりと把握し、十分に対応策を講じましょう。

外部攻撃に係るリスク

外部攻撃に係るリスクとしては、一般的に前段で述べた様な脅威が考えられます。

人的要因に係るリスク

人的要因に係るリスクとしては、①日々の営業活動（例：メール送受信、添付ファイル開封、社内ネットワーク利用など）、②不十分なセキュリティ環境や事前許可の無い社外からの就業活動、③、セキュリティ担当の知識経験不足または怠慢、④役職員のセキュリティに係る意識の希薄さ、⑤役職員と悪意ある第三者との共謀（例：USBメモリなどによる情報持出しなど）などが挙げられます。

予算制約に係るリスク

予算制約に係るリスクとしては、経費節減やWebシステム運営に係るリスクを看過してしまい、何ら対策を講じない、または必要十分な予算を割り当てること無しにいざ問題が生じた際の損失が想定以上に及んでしまうリスクです。

各リスクとその対応策

外部攻撃に係るリスクに関しては、社内に精通したIT人員または部署が無い場合、外部の専門業者へコンサルティングや保守運営を委託するのが良いでしょう。

人的要因に係るリスクに関しては、日頃から定期的に社内研修の実施、リスク対策マニュアルの整備や現状把握と対策を再構築するのが賢明です。

予算制約に係るリスクに関しては、潜在的な損害リスク対費用を意識しつつ、必要十分な予算を確保することが理想的です。

Webシステムに係る保守運営の理由と重要性

ここまでのコラムでWebシステム運営に係るリスクは十分ご認識して頂けたかと思います。保守運営の理由と重要性は、当該リスクに対する防衛はもちろん、納品後のWebシステムが安定的に稼働して日々の業務に安心して活用できる状態を維持することにあります。

一般的に事業拡大に伴い当初開発したWebシステムは、ユーザー数の拡大に相応したサーバーなどのインフラ拡張、より使い勝手の良いWebシステムへの改修やその時々の事業・業務に応じた追加機能が求められます。

結論、保守運営の意義目的は、あらゆる潜在的リスクを極力排除しつつ、大切な事業インフラとして日々の業務の使用に耐え得る状態を長く維持し続けることに尽きます。Webシステムは開発してお終いではありません。機械、車両や建物と同様に、適宜適切なメンテナンスが必須となります。

セキュリティ対策と保守運営の話（まとめ）

今回のコラムでは主にWebシステムに係るリスクとセキュリティ対策の観点で保守運営の重要性につき考察して参りました。あらためて専門家の意見やコンサルティングを受けたい、保守運営を依頼されたい方は当社、(株)TDテクノロジー＆コンサルティングへお気軽にお問合せください。