水無月ばけらのえび日記

どこまでガードすれば良いかの指標

「企業のセキュリティレベルを"ベンチマーク" - 経産省の新たな取り組み (pcweb.mycom.co.jp)」というお話がでていますね。

個人的にはサイバーノーガード戦法というお話はシニカルなジョークに過ぎないと思っています。実際にセキュリティがぼろぼろな企業サイトは存在すると思いますが……というか思うも何もこの目でいくつも見てきましたが、それは別に意図的にノーガードにしているわけではないと思うのです。セキュアでない状態で放置されてしまう原因の一つに、何にどれだけコストをかければ良いのか、どれだけコストをかけなければならないのか、ということが分かっていないという点が挙げられるのではないかと思います。

サイバーノーガード戦法という言葉が生まれるもととなった ASKACCS のフォームですが、これも別に漏洩して良いと思って放置していたわけではなく、単にコストをかけなかった結果だと思います。あのフォームは住所氏名電話番号などの個人情報を取得していたにもかかわらず、SSL で保護されていませんでした。ファーストサーバには当初から SSL のサービスがありましたので、技術的にできなかったわけではないはずです。SSL が使われていなかったのは、単にそこにコストをかける必要がないと思っていたからでしょう。同じ流れで低価格の Web 制作業者、低価格のサーバ管理会社が選定されて、あのような結果を招いたのだと思います。

そのあたりは、何を扱うときにどれだけのセキュリティレベルが必要なのかという基準があれば改善が期待できるはずです。こういう指標ができれば改善されて行くのではないかと思います。

※……いや、それは楽観的にすぎるような気もしますが。

• 「どこまでガードすれば良いかの指標」にコメントを書く

関連する話題: セキュリティ / 思ったこと / ファーストサーバ