最近、多くの企業から「自社のセキィリティリスクが放置されている」と相談を受けます。
近年Webサイトを立ち上げることが簡単です。クレジットカードさえあれば、レンタルサーバー(さくらインターネット、GMOなど)やパブリッククラウド(AWS、AZUREなど)で簡単にWebサイトを公開できます。その容易さこそが、Web基盤が散在してしまう原因の1つとなります。簡単にWebサイトを立ち上げられてしまうことで野良Webサイトが多数出来上がり、全体的なWeb基盤の管理ができなくなっています。その結果はいわずもがな、潜在的なセキュリティリスクが放置されることです。
自社Webサイト改ざん、顧客情報流出などのインシデントが発生した場合の企業ブランド毀損は株価下落などビジネスインパクトが大きく、決して対岸の火事ではありません。
そもそも「Web基盤」とは?
Web基盤が散在する原因
Web基盤が散在してしまう原因はいくつかあります。代表的なものは下記の2つのケースです。多くの方に心当たりがあるのではないでしょうか?尚、全く心当たりがない(何を言っているかわからない)というのも当然危険信号です。
ケース1:”あるある”ケース
大企業を中心によく見受けられるWeb基盤の問題です。「うんうん、あるある」と感じるケースですね。
・
・
その結果
・ 制作会社はコンテンツ制作・運用の部分だけ請け負っている。OS、ミドルウェアに関しては宙ぶらりんであり、セキュリティアップデートが実施されていない。もしくはアップデートしてるか、いつしたかが答えられない
・事業部はインシデントが発生するまでリスクに気が付かない
ケース2:“おっと、これはまずい”ケース
前者のあるあるケースより遭遇する場面は多くないですが、その分、発覚した際には、ずいぶん問題が深刻となっているケースですね。
・
・
その結果
・
これら、どちらのケースもいわゆる「管理」に関わるところがよく問題として挙げられます。
なぜWeb基盤を統合すべきか?
企業がWeb基盤を統合すべき理由としては、以下の3つが挙げられます。
1.Web基盤を網羅的に管理できる
Web基盤利用ルールを整備することで、Web基盤が散在することを防ぐことが可能です。
例えば情報システム部門へWeb基盤利用を申請するスキームを用意するだけで、Webサイトオーナーは情報システム部門からWeb基盤を提供され、制作会社がレンタルサーバーやパブリッククラウドでWeb基盤を構築する必要がなくなります。
また新たにドメインを取得する場合もWeb基盤同様で情報システム部門にドメイン取得申請しておけば、レジストラやネームサーバーを一括で管理することが可能になり、ドメインの更新し忘れで第3者にドメインを取得されることも防げるでしょう。
2.Web基盤管理工数を削減できる
それぞれ異なるOS、ミドルウェアを利用している場合は、それぞれのWeb基盤にセキュリティアセスメントを実施して、セキュリティリスクを洗い出す必要があります。その際に発覚した脆弱性への対応は、それぞれのWeb基盤個別に実施しなければなりません。更に問題になるのは、セキュリティアップデートによりアプリケーションが動作しなくなる可能性がありますので、検証環境がない限り、簡単にセキュリティーアップデートを実施することができません。
こういった状況を回避するために、AWS、AZUREなどのパブリッククラウドを利用して、統一されたセキュリティレベルで安全性が担保されたWeb基盤をユーザーに利用してもらうことで、セキュリティアセスメントの対象が大幅に減り、同時にWeb基盤の管理工数を削減することが可能です。
3.Web基盤のコスト削減
規模が小さいWebサイトであれば、Virtual Host(1つのWebサーバーで複数のドメインを運用する技術)を利用してWebサーバーの台数を減らしてコスト削減することも可能です。パブリッククラウドでは料金プランに従量課金モデルがありますので、リソースを使用した分だけ支払うことが可能です。
SNS時代にブランド毀損は重大なビジネスリスク
1つのWebサイトでの個人情報漏洩などのブランド毀損事案でも、ユーザーは企業ブランド全体の出来事として受け止めます。Webサイトを運営するということに隠れた潜在的なセキュリティリスクをビジネスリスクとして経営層も認識することが大切です。Web基盤を統合することで解決する課題は多く、まずは一度自社の状況を確認すべきではないでしょうか?