見出し画像

8.1 Web構築において求められるセキュリティ観点

 Webを含めたIT/システムにおけるセキュリティを確保する目的は下記を防ぐことにあります。
 
・システムを本来の運用とは関係なく第三者(関係者を含む)により改ざんされること
・外部に公開していないシステム内部に進入されること
・進入されることにより外部に対して秘密にしている情報が漏洩すること
・コンピュータウェルスに感染した結果システムがダウンすること
 
また、さまざまな業務にWebが利用されるようになり、正当なユーザによるシステム的には不正ではない操作による不正行為を防ぐための観点も内部統制/SOX法ということで求められるようになってきています。
 
a. 「脆弱性対策されていることの確認」および「業務の有効性の確保」
 セキュリティというと、基本的には外部からの第三者による攻撃に対してきちんとシステムが防御されていることを指します。正規の入り口から正規の手順で認証されることによってはじめてシステムの利用を可能とする仕組み、正規の入り口以外からはシステムに進入できない仕組みなどがきちんと構築されていることなど、さまざまな攻撃に対する脆弱性がないことを専門の事業者に確認してもらう「脆弱性診断」を定期的に受けてセキュリティが確保されていることを担保することもよく行われます。この観点でのセキュリティの確保とはシステム的に正規の方法以外でシステムに進入して情報が漏洩などすることを防ぐことを指します。
 一方で、業務が所定のルールに従って遂行されていることを内部統制の観点からITによって担保するためのWeb構築なども増えてきています。契約/発注/受注などの承認フローを紙からシステム化することが代表的ですが、これらの業務システムとしてのWebに対しては、内部統制の観点から、大企業などでは下記を満たすことが求められます。
・業務の有効性および効率性
・財務報告の信頼性
・事業活動に関わる法令などの遵守
・資産の保全
上記の内部統制が実現しようとする目的をはたす情報システムとしては、もちろん攻撃に対する脆弱性はあってはなりませんが、それだけでなく、正当なユーザによるシステム的には正当な操作による不正行為を防ぐための仕組みも必要とされます。
 
 具体的な例をあげると、受注決裁フローをシステム化したときに、ある顧客に対する取引において、ある値引き額での受注を認めてもらう申請を行うことを想定してみてください。その値引き額を承認するかどうか判断するのにあたって、その値引き額で利益がでるのか、どの程度の利益がでるのかは必要な情報です。申請情報としての販売価格は申請者の営業担当者が提示する情報ですが、その販売価格 (値引き金額) での利益額 (原価) については、申請者が提示するのではなく、決裁者が正規の情報を参照することにより取得するシステムとなっている必要があります。このように、申請者が承認を得るために不正な情報提示や承認結果の改ざんなどを行えないようにするシステム的な仕組みの構築が求められます。
 
b. 脆弱性対策されているシステムを実現する確認ポイント
 いわゆるセキュリティ対策として攻撃に対する脆弱性対策がされているシステムを実現するためには、アプリケーションのプログラム実装面、ネットワークセキュリティ面、あるいはパスワードの桁数を一定以上としたり定期的に更新することをシステム的に強制的に求めるなどの運用面など、さまざまな対策が必要となります。総合的にどのような観点での対策を行う必要があるか、まとめてある資料としては、たとえばIPAが発行している下記のようなドキュメントがあります。
「安全なウェブサイトの作り方」
https://www.ipa.go.jp/security/vuln/websecurity.html
 
c. 情報管理の仕組み
 外部からの進入などを防ぐ仕組みの構築とともに、個人情報やクレジットカード情報などの重要な情報についてはより強固に防御する情報管理の仕組みを構築する場合があります。たとえば、パスワードやその他の重要な情報をDBに格納するにあたっては暗号化するということがよく行われます。万が一、外部から侵入されてDBの情報が漏洩したとしても、暗号化された情報を復号化されない限り、重要な情報は漏洩しないという対策法です。


Webディレクタとして次のステップをさがしている方たちへ

これからのWeb構築・Webディレクションとして、業務にまで踏み込んでディレクション/プロデュースすること、それが近年のバズワードであるDXにもつながること、そしてWebの進化とともにWeb構築の各種ツール/サービスやSaaSが広がってきていることにしたがって、業務とシステムの両面からWeb構築・運用していく人間が求められていくこと、そのためにどのような知識や能力を身に着けていくとよいかについて解説している「マガジン」です。