少し昔の話になりますが、Webアプリケーションの脆弱性対策をしないというノーガード戦法をとっている人達はかなりいたと思います。そういう人達の決まり文句は「今まで問題が起きたことがないから」でした。実際は監視していないから気がついていないだけかもしれないのに。
今は時代が変わりました。攻撃ツールが登場し、高度化し、攻撃も自動化されています。自分のWebアプリケーションは知名度が低いから大丈夫ということはありません。どんなWebアプリケーションも公開された直後から攻撃対象になります。実際、私が期間限定のWebアプリケーションを立ち上げた時も攻撃を受けました。
さて、このような時代に脆弱性対策を行わないという選択肢はあり得るでしょうか。
答えは当然 No ということになります。
ですが、コストがかかる、問題は起きてから対処すればいいという理由で脆弱性対策を行わない人達もいるでしょう。消極的にせよ積極的にせよ、リスクを受容するということですね。ですので、脆弱性対策がなぜ必要なのか改めて考えてみたいと思います。
まず、個人情報の漏洩による金銭的な被害です。個人情報を10,000件持っているWebアプリケーションが個人情報を漏洩した時に、1,000円の金券を謝罪として配布したらそれだけで1,000万円のコストが発生してしまいます。おとなしく脆弱性対策をしていた方がよっぽど安いでしょう。
しかし、個人情報の漏洩の問題はこれだけではすみません。流出した個人情報は回収できないため、この問題は根本的な解決はありえず、ビジネス上の信頼も損ないビジネス機会の損失も無視できないでしょう。
もちろん脆弱性対策をしないことによる被害は他にもあり、ウィルスに感染しユーザーにウィルスを拡散させてしまったり、攻撃者がサーバーを乗っ取り攻撃に利用するボットネットワークに組み込まれ別のサイトを攻撃してしまうこともあり得ます。
これも金銭的な問題だけではすまず、場合によっては訴訟リスクをかかえることにもなるでしょう。
こうして見ると、最初から脆弱性対策を行っていた方がコストも安いしリスクを抱えなくても済むのです。
ですので、脆弱性対策は行うことが必要というのが答えになります。
もし皆さんの周りに脆弱性対策を行わなくていいという人達がいたら、リスクを受容できるのか、言葉を変えれば責任を取れるのか聞いてみてください。きっと責任を取ることはできないでしょう。
- 脆弱性対策を行った方がコストが安くリスクを負わない
- 脆弱性が問題になったときは受容できない問題となる
参考
Webアプリケーションセキュリティに関する記事は、以下のページにまとまっています。ぜひご確認ください。
コメント