［Analysis］

サイト運営に必要なセキュリティ対策

2001/11/20

　情報処理振興事業協会セキュリティセンター（IPA／ISEC）は、2001年10月のコンピュータウイルスの届け出状況をまとめ、Nimdaウイルスに関していまだに対策のできていない企業などに警告を発した。

　ウイルスには、メッセージを表示させるだけの愉快犯的なものからハードディスクの内容を破壊するもの、大量の電子メールを送るもの、特定のサイトにDoS攻撃を仕掛けるものまでさまざまだ。さらに感染により悪質なハッカーにWebサイト内に侵入される可能性もある。しかし、そうなってからの対応では遅すぎる。そのため、常にセキュリティに対する意識を持つ必要がある。

　事後の対策では遅いのは、サーバに保存された個人情報などが盗まれた場合、その被害が巨額になる可能性もあるからだ。例えば「クロスサイトスクリプティング攻撃」（HTMLやXMLなどを動的生成するWebサイトで、セキュリティ上問題となることがあり、その弱点を突いた攻撃）が行われた場合、そのサイトが適切な対策を取っていなければ、ユーザーのcookieが第三者に送信される可能性がある。場合によっては、クレジットカード番号などの情報が盗まれる恐れもあるのだ。そうなっては企業の信用は致命的なものとなりかねない。そうした最悪の可能性を考慮に入れて、対策を講じる必要がある。

　そして万が一Webサイトが改ざんされたり、問題が起きたりした場合の対策をいかに迅速に行えるかが、企業に課せられた大きな課題である。ユーザーが安心してWebを利用できるようにするには、行政と民間が共同でセキュリティ対策の重要性をWebサイトの運営者に認識させるキャンペーンなどが必要かもしれない。

情報をお寄せください：

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）