脆弱性診断、検知サービスは見積・提案の必須項目に?
先週セコムトラストシステムズ株式会社の方とお話する時間があり、最近話題になったサウンドハウスさんの個人情報漏洩に絡んで、Webサイトの脆弱性診断サービスの必要性や私たちのような制作会社の立場として納品時に第3者が確認をしてもらいました、という裏付けとしてこのようなサービスを利用するべきか?などなど、もろもろ相談させていただいたりしたのですが、
そして、本日(21日)付けのニュースとして、「SQLインジェクション攻撃を検出する簡易ツール、IPAが公開」が公開ということで、こちらの開発はラックさんが担当されているようですね。
サウンドハウスさんについては個人、会社での利用を含めかなりの回数利用させていただいている会社さんで、残念ながら今回パンチのスタッフの中にも情報漏えいの当事者になってしまった人間がおり、「不正アクセスに伴うお客様情報流出に関するお詫びとお知らせ」というPDF書類が送られてきたようです。
内容を読むと、クレジット会社やセキュリティ関連の会社への恨み辛み?と読み取れるような記載があり、受け取った本人としてはあまり気分としては良く無いと言っていましたが、確かにIDSサービスの値段を全然気にならないという事で採用できる会社はそれなりの規模かそれなりの売上があるサイトでなくては難しいという側面があるだろうな、、、と理解できる側面もあります。実際IDSサービスの提案をしても、金額面で折り合いが付かず、、、というケースを自分でも経験していますしね。
そういう意味で今回のサウンドハウスさんが発表されたPDFにある、
本来ならば、クレジットカードの取り扱いを開始するにあたって、インターネットセキュリティー構築のガイドラインがあってしかるべきであり、少なくとも最低限のセキュリティレベルが明示されているべきです。ところが、どこまでやれば十分か、という明確な基準が無いため、加盟店は、それぞれが独断で実行している部分があることを否めません。
↑この記載は間違いなく本音だろうなと思います(苦笑)
はてさて、この一件を踏まえ、
- 脆弱性診断をIPAが提供した無償ツールでテスト
- 既存の脆弱性診断サービスを受ける
- 前項踏まえ、運用にあたっては、IDSのサービスを利用もしくは、ハードウエアの導入を自社で行う
今回無償のツールが提供された訳ですが、テストを外部に依頼した場合、画面数にもよりますが、100万単位の費用はまず覚悟する必要があるでしょうし、自社でIDSに関するハードウエア導入しての運用を考えると千万単位のコストを負担するような場合も往々にしてあると思われす。
エンタープライズ系の方々にとってはそんなの当たり前という金額かもしれませんが、現在ネットでショッピングサイトなどを自社構築している会社でこれを負担できる会社がどれほどの数になるのか、、、という点ではPDFに記載のあるIDSの導入数12.1%というところを見るとある程度予想がついたりするのではないでしょうか。
前述PDFにある、
どうしてもコストダウンできないサービスであれば、それこそ、国家が何らかの形で導入する為の支援策を提供すべきではないでしょうか。そのような前向きな行政施策を期待したいものです。
↑自分含め、これは何か虫の良い話だなと思う方も多いだろうな、、、と少し思いつつも、各種診断サービスやIDSサービスを利用していないと(負担できるだけの経営体力がないと)個人情報を扱うサイトとしては不適格、、、みたいな話になるとこれまた困るところがたくさん出てくるのではないかと思い、首を傾げつつも同感できる部分もあったりはするわけです。
とりあえず、今後パンチのような制作会社が個人情報を扱うサイトの構築の提案や見積の依頼をされた時には、webアプリの脆弱性診断や不正アクセス検知サービスはオプションとして必ず記載しておくべきかな、、、と思いました。