認識が不十分な小規模組織

今や企業や組織においてウェブサイトの利活用は、事業展開や重要な経営戦略の一部として機能している。特に電子商取引(EC)サイトによるウェブ通販を生業としている組織においては、ウェブサイトの公開が停止すると収益に大きく影響してしまう。

さらに、企業情報のみの公開で重要な情報は保有していないウェブサイトの場合でも、ウェブサイトの利用者にウイルスを配布するサイトに改ざんされてしまうといった被害が考えられる。このような被害が発生すれば、ウェブサイトの公開停止のみならず、企業や組織の信用失墜につながる。

独立行政法人情報処理推進機構(IPA)では、2004年7月からソフトウエアの脆弱(ぜいじゃく)性関連情報の届け出を受け付けているが、これまでに受け付けたウェブサイトの脆弱性のうち、修正などが完了していないものが329件ある。こうしたウェブサイトは、主にセキュリティー対策への認識が不十分な小規模組織による運営である。対策のための体制やコストなどの準備がないことから、開設後に問題が指摘されても、修正も、廃棄もできない。これが〝攻撃を受けてしまうウェブサイトの放置〟につながっている。

そこでIPAは、主に小規模組織を対象に、ウェブサイトの新規開設、および刷新において、クラウドサービスなどの運用形態別にメリット・デメリット、およびセキュリティー対策に必要な確認項目を整理したIPAテクニカルウオッチ「ウェブサイト開設等における運営形態の選定方法に関する手引き」を本年5月に公開した。小規模組織においては、ウェブサイトの開設などを外部へ委託するケースが多い。発注者と受注者の両者がこの手引きを活用することで、安全なウェブサイトの開設に必要な確認項目などの合意が容易になる。

形態別に対策の確認を

手引きでは、ウェブサイトの運営形態について、①モール、②ASP・SaaS型クラウドサービス、③PaaS型クラウドサービス・レンタルサーバー、④IaaS型クラウドサービス、⑤ハウジング、⑥オンプレミスの6種類に分類しているが、どの運営形態を採用するかによって、運営にかかる費用が変化するのはもちろん、運営者が実施する作業内容が異なるため、運営者に求められる技術レベルも変化する。

また、運営形態ごとにウェブサイト上でどのような機能を提供できるか、ウェブサイトをどこまで自由に変更できるか、どのようなセキュリティー対策が必要になるかについても異なる。特に企業のウェブサイトでは個人情報を取り扱うことも多く、サイト運営者はセキュリティーが継続的に維持され、最新の脅威に対し対策ができているかどうかに気を配る必要がある。

運営者はウェブサイトで提供したいサービスや運営形態の手軽さだけでなく、日々の運営でセキュリティーを維持し続けることができるかといった点についても目を向けていただき、安全なウェブサイトの運営が可能な運営形態を選定するようにしてほしい。

手引きの具体的な内容はIPAのホームページ (https://www.ipa.go.jp/security/technicalwatch/20180530.html)を確認してほしい。(独立行政法人情報処理推進機構・江島将和)