2013/09/13
WEB サイト改ざん対策でご相談を数多く受けていますが、何か良い方法はないかと最近、悩んでいたりします。EC サイトは除きますが、一般的な企業サイトは、ご予算が壁だったりします。
悩んでいる理由としては、たとえば、サーバやネットワーク、BCP の保守メンテナンスであれば重要度や内容に応じて、臨機応変に変わり、パッケージのようなここからここまでと形が決まったものではありません。つまりご予算も含めた、お客様のご要望に応じたプランを作成します。
しかし、WEB サイト改ざん対策については、不正アクセスの侵入経路が決まっていますので、この予防は行って、あっちはやらないとご要望に応じるのではなく、要因はすべて潰す、あくまでもパッケージです。自社のホームページが荒らされたという被害者でもありますが、同時に閲覧中のお客様にウイルスを感染させる加害者にもなってしまうので、請け負う当社としても中途半端にはできません。しかし、一般的な企業サイトは、間接的に売り上げに貢献していても、直接的にナンボと計測が難しく、ご予算が壁だったりします(維持費がかかるなら運営が厳しい)。
エンジニアとして曲げられない信念がありますが、いち企業の社長としては、ご予算と言われると痛いほどわかるところでもあります。しかし、パソコンがウイルス被害にあって駆除依頼を受けたお客様と話していると、たとえ5ページくらい小さなサイトであっても日本の商用サイトはしっかり管理されていると先入観を持っています。
改ざん被害に遭いウイルスをばらまいてしまった現場も、その影響でウイルス感染してしまった現場も両方とも見ていますので、「予算の関係である程度の対策までしか行えない。しかし、利用者は企業であればしっかり対策してると思っている。」この考えのギャップは恐ろしく感じるところです。
そして出来ることと言えば、セキュリティを請け負ういち企業として、WEBサイトの改ざんに対する注意喚起と言いましょうか、例えばうちのホームページでは責任を持って改ざん対策をしています的な、「特定商取引法の表記」とか「個人情報の取り扱い」みたいな宣言を行っていこうと考えています(ホームページの変更が必要なため、順次変更します)。このような宣言がいろんなサイトで当たり前のようにはじまれば、自浄作用的にセキュリティに対する考え、水準がスパイラルアップするでしょうから、そのような発展があることを願って活動していきます。
