企業のWebサイトに対するセキュリティ侵害事件は相変わらず後を絶たず、しかも年々かたちを変えて複雑さを増している。今年前半にも、オンラインバンキングの二要素認証に対するMITB(マン・イン・ザ・ブラウザー) 攻撃や、OpenSSL Heartbleed等のWebサービスを支える基盤技術の脆弱性が相次いで見つかった。
とりわけ大規模なWebサイトの場合、もともと攻撃者に狙われやすいうえに、被害の規模も甚大になりやすい。インターネットが人々の生活に根付き、Webサイトが企業にとっての"窓口"となっている今、"窓口"の安全を守ることは、企業全体の信用を守ることだと言っても過言ではないだろう。
そこで本稿では、ヤフー ID戦略室長 楠 正憲氏に、スマートフォンやタブレット、パソコン等さまざまなデバイスからアクセスされるYahoo! JAPANでの取り組みを踏まえて、大規模Webサービスを運用する上で留意すべきリスクや日々の対策で押さえるべきポイントなどについて話を聞いた。
想定外の攻撃を受けても顧客を守れる工夫が大事
言うまでもなく、「Yahoo! JAPAN」は国内屈指のトラフィックを誇るWebサイトであり、そこで提供される様々なサービスを利用するアクティブな会員の数も桁違いだ。今年1月から3月期を見ると、月間総PV数は約565億PV、月間アクティブユーザーID数は約2,800万IDにも及ぶ。これに加えて、多様なサービスを運営していることもヤフーの特徴だ。ニュースサイトのような情報提供サイトから、メールサービスに代表される通信系サイト、インターネットオークションサイトの「ヤフオク!」、eコマースサイトの「Yahoo!ショッピング」などのECサイトに至るまで、性質の異なるサイトを運営している。
楠氏は言う。「B2CなのかB2Bなのか、あるいは情報提供のみなのか、ECのように決済情報も扱っているのか ── それぞれのサイトの性質や規模に応じてセキュリティ対策も異なる工夫を凝らす必要があります。グループ内にはFXを取り扱うサイトや、ネットバンキングもありますので、すべてのサイトに対し、まんべんなく同じレべルのセキュリティ対策を施すことは現実的ではありません。サービス毎の守るべきルールや情報資産、具体的な脅威を意識した、メリハリある対応だ大事だと考えています」
また、Webサイトのセキュリティレベルを維持するためには、社内のセキュリティ対策も肝要だという。ヤフーの従業員が利用するクライアントPCの台数は約8,000台にもなるため、セキュリティポリシーを徹底したとしても、いつどのような経路でマルウェアの侵入を許してしまうかといったリスクはゼロにはできないのである。
「ですので、日頃の対策を十分に行うのはもちろんなのですが、ある意味マルウェア感染を前提として、それでも最低限はお客さまの情報を守れるような仕組みをつくらねばならないのです」(楠氏)。
ヤフーは2013年5月、不正アクセスを受けて最大2,200万件の「Yahoo! JAPAN ID」のうち、148万6千件の暗号化済みパスワードとパスワード再設定用の「秘密の質問」が流出した可能性があると発表した。同社にとって痛恨の出来事となったこの不正アクセスだが、そこから学べたこともまた非常に多いという。
「それまでは、"理論上ではここまでは守れるはず"という憶測が頭の中にあったのですが、実際に攻撃を受けてみると、守ることができる範囲というのは想定とは異なるのだと実感しました。そのため今は、万が一、情報が漏れた際にどうやって安全を担保するかといった観点から、データの置き場を変えたり監視体制の拡充を図ったりと新たな対策を実施しています」
大規模Webサイトのセキュリティ対策において、ヤフーから学べる点は多いはずだ。楠氏は、7月25日に開催する「マイナビニュースITサミット-大規模サイト管理者に学ぶ、セキュリティの極意- 」の基調講演で、企業が自社のWebサイトを守るために必要となる対策のあり方や運用方法、そして最新の脅威に関する情報などについて詳細な解説を行う予定だ。IT担当者やWebマーケティング担当者、セキュリティ担当者はもちろんのこと、経営層の方々にとっても有益な情報が得られるはずなので、ぜひ足を運んで欲しい。