2017.09.07
決済サービスのセキュリティに必要なアベイラビリティとは そのサービスの時間単価はいくらですか?
安全な決済サービスを構築・運用するにはシステムと社内のセキュリティが重要。しかし、その必要性を上層部に伝えることは存外難しいものだ。情報セキュリティの第一人者に、スムーズに導入するためのポイントを聞いた。
情報セキュリティの3要素「C.I.A.」とは
−Webでビジネスをすることが当たり前の時代になってきていますが、情報セキュリティにおいてもっとも基本的な考え方というのは何でしょうか?
蔵本雄一氏 情報セキュリティには3つの要素がありまして、それぞれの頭文字をとって「C.I.A」という言葉があります。とても簡単に解説すると、CはConfidentiality(コンフィデンシャリティ:機密性)、これは情報を勝手に見られたりしないことです。IはIntegrity (インテグリティ:完全性)で情報が改ざんされたりしないこと、ここまでは誰でも想像が付くと思います。そしてAがAvailability (アベイラビリティ:可用性)、これは「持続的に利用できる」ことを意味しています。ビジネスにおけるセキュリティではこの3要素を高いレベルでバランスよく組み立てて行くことが求められます。
−具体的にはどのようなものとして考えるとよいでしょうか。
蔵本氏 Webサービスを展開している会社であれば、フロントエンドの背後の顧客情報などが入ったデータベースが漏洩しないように、機密性の確保やホームページが改ざんされないように完全性の確保、サーバがダウンしないように「アベイラビリティ(可用性)」の確保が該当しますね。 特にアベイラビリティは、ECサイトなどを運営しているのであれば、利益に直接関わってきます。
例えば、時間単価で1億円稼いでいるサーバを運営しているのであれば、1時間ダウンしたら単純に1億円の含み損が出るわけです。なので、まずはWeb担当者はサーバが時間あたりどのくらいマネタイズできているのかを出しておくことが基本となります。これなしに「最近こういう攻撃が流行してますからセキュリティの予算をください」と上層部に言ってもまず通りません。
−なるほど。では、上層部にどのように説明すればよいのですか?
蔵本氏 簡単です。「このサーバは1億円稼ぐので、100万円かけて守りましょう!」と言えば、経営者は「100万円で1億円守れるなら安いものだ」となるわけです(笑)勘違いしてはいけないのは、経営者にとって一番重要な価値は会社の経営の成功であって、それは多くの場合「お金」で判断されるのです。
また、最近は「ビジネスイネーブラーとしてのセキュリティ」ということも言われています。皆さんセキュリティというと「ルール」や「ポリシー」を定めて何事も禁止する方向でイメージしますが、セキュリティを確保しながらビジネスの目的を達成するという考え方が重視されるようになっています。
−ビジネスイネーブラーをもう少しわかりやすく言うと?
蔵本氏 例えば、仕事で使うノートブックを会社の外に持ち出せば生産効率が上がるという話がよくありますが、オフィスから持ち出せば盗難紛失のリスクがあります。かといって、それが怖いから持ち出すべきではないという意見が出ますが、それではビジネスは成長しません。だったら、最初からしっかりと盗難紛失対策を施したノートブックを持ち出せばいいじゃないかというのがビジネスイネーブラーの基本的な考え方です。
これをWebに当てはめれば、新しいサービスを展開する際に「これをやったら狙われるからやめよう」という発想ではなくて「適切なセキュリティ対策を施した上でやってみよう」とならなくてはいけません。これはWebサービスの作り手全般に求められることだと思います。
活かされなかった震災の教訓
−中小企業のセキュリティ対策の現状はいかがでしょう?
蔵本氏 予算的にやむを得ないところもあるのですが、見ている範囲では悲惨ですね。セキュリティ対策にもいろいろありますが、基本的にはOSやソフトを最新の状態にしておけば脆弱性を突く攻撃からは大体防げるものなのです。
製造業の分野では「State of Art相当(現時点で最高峰の状態にしておく)」という要件を目にすることも珍しくありません。これはITの分野からするとざっくりした要件に見えるかもしれませんが、命や健康に関わる製造業では、「最高のセキュリティを施したい」という考えがあるので、このような要件が出て来ます。「常に最新、最高の状態」は理想的ですが、ITの分野ではアプリケーションとの互換性などの理由から最新の状態にできないという状態が往々にして発生し、OSなどを古いまま使っている状態が散見されます。
Webサーバであればバックアップを用意した冗長構成をとり、スタンバイ機で検証した後に本番機へ適用したり、運用中のサーバにパッチを適用したりサーバのアプリケーションのバージョンを新しくする際にも、ダウンタイムを極力減らし、アベイラビリティを確保しながら最新の状態に更新していくという運用をしっかりと検討し、ビジネスへの影響を最小限にしながらもセキュリティ強度を高める努力は非常に重要です。