プライム・ストラテジーの社員向けに、徳丸浩先生のセキュリティーセミナーが開催されました。


Web制作会社の皆さま、エンジニアの皆さま。

皆様は、制作されているWebサイトのセキュリティについて、安全に正しい対策をされているでしょうか?

「情報漏洩」のニュースがたくさん溢れている今、改めて自社のセキュリティ対策について見直す必要があるのではないでしょうか。

なぜこのような話題を出すのかと言うと、本当に多くの制作会社様から以下のような悩みを聞くからです。

 

 ・制作だけに集中したい、サイトのセキュリティ業務まで手が行き届かない

 ・できればセキュリティに関することは外注したい

 

それもそのはずですよね。

制作会社様様はクライアント様の制作物を作ることがメインの業務ですので、なかなか保守やセキュリティに関して目が行き届きにくいというのが現実だと思います。

ですが、実は知らないと怖いセキュリティーに関しての常識って本当に多くあるものなのです。

 

さて、今回はそんな悩める制作会社様に向けて、

Webサイトのセキュリティに関して、驚きの情報を一部ご紹介したいと思います。

 

今回ご紹介したい方はこの方。

情報セキュリティ業界の重鎮として名高い”徳丸先生”こと徳丸浩さんです。

徳丸先生はHASHコンサルティング株式会社にて代表取締役をされていながら、

弊社の顧問も兼任されておられます。

毎月1回、社外に向けて個別セミナーを共同開催しております。

 

徳丸先生の執筆著書も多数あり、有名なものには、

「徳丸浩先生のWebセキュリティ教室」

があります。

*著書-徳丸浩のWebセキュリティ教室

 

今回は特別に、プライム・ストラテジーの社員に向けて特別セミナーを開催して下さいました。

 

当日のセミナー内容は以下でございます。

―――――――​​​―――――――​​​―――――――​​​―――――――

①脆弱性の責任は発注者か受注者か
②脆弱性の責任を開発会社に求めた裁判の行方
③SQLインジェクションの危険性
④SQLインジェクションの影響の大きさ
⑤さまざまな情報流出手法
⑥独自実装の危険性について
⑦CMSのプラグインの危険性
⑧WordPressのプラグインの脆弱性
⑨日本テレビ等をおそったケータイキットの脆弱性
―――――――​​​―――――――​​​―――――――​​​―――――――​​​

セキュリティに対する意識向上をする絶好の機会ということで、弊社社員も気合を入れてセミナーに臨みました。

当日先生から語られた、Webに関わる人なら知っていて当然の、

セキュリティに関する知識をここから一部抜粋してお伝え致します!

 


問題です。

とあるECサイトのクレジットカード情報が漏洩しました!

Webサイトを開発したX社、サイト構築を依頼したY社、X社はセキュリティに関する依頼はしていなかった場合、Y社は侵入の責任を負うと思いますか?


これは実際に、セミナー当日徳丸先生から出された問題です。

 

X社はとある家具ECサイトを運営している会社で

Y社はECサイトの開発を請け負っている会社です。

 

過去に、X社の所持するクレジットカード情報が7316件漏洩し、その被害総額は1億913円になったそうです。

図式化すると以下のようになります。

サイト制作を依頼したX社。

サイト構築を行ったY社。

X社はセキュリティに関する依頼をY社にしていなかった。

 

さてこの事件の場合、裁判所はどちらの企業に責任があると判断したのでしょうか?

 

*これは実際に起こった事件を参考に問題を作成しております。


皆さま、答えはわかりましたか?

 

多くの方が、セキュリティに関する指示を怠ったX社に責任があり、Y社に責任はないと考えられたのではないでしょうか。。

 

ですが今回の場合、答えはY社に漏洩に対する責任があるとされました

 

この事例でX社の持つクレジットカード情報が漏洩した要因は様々あるのですが、

脆弱性やアクセスログ、不正利用の状況から「SQLインジェクション攻撃」によるものだと断定されたことが論点になると言われています。


SQLインジェクション攻撃とは?


SQLインジェクション(英: SQL Injection)とは、アプリケーションのセキュリティ上の不備を意図的に利用し、アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃方法のこと。-Wikipediaより一部抜粋

 

対象のプログラムにSQL文の断片を与え、データベース内の情報を盗み出すと言われているSQLインジェクションの手口はかれこれ10年以上続いているそうですが、いまだに攻撃とその被害は収束していないそうです。

 

今回の事例では、Y社はSQLインジェクションはカード情報とは無関係の箇所にあったので無実を訴えたが、

裁判所からは認められず、それよりもサイト構築をしたY社の

「専門家としての責務」

を重視した結果となったようです。

(あくまで一つの判例としてご紹介しておりますので、今回のケースがすべてに当てはまる訳ではございません。)

 

安全なプラグイン、アプリケーションと思っていてもいとも簡単に攻撃され、その被害は大きい傾向があるということが今回の事例からわかりました。

ぜひWebの開発を受注する側は、専門家として発注者がセキュリティ要求をしていなくても、最低限安全な脆弱性への対策を実施しておくことがよいのではないでしょうか。


大切なお客様の情報を守る為にもセキュアな環境づくりは必須だと、今回のセキュリティセミナーを通して感じました。

いつ自分が被害者になるか加害者になるかわからないIT業界の現状ですので、正しい知識を持って十分な対策をしていこうと思います。

 

徳丸先生のセミナーは本当にわかりやすくて面白いです。

ぜひ徳丸浩先生の「安全なWebサイトの作り方」を一読して頂き、対策を急がれてはいかがでしょうか?

 

セミナー後、HASHコンサルティングのお二人とランチをご一緒させて頂きました。

*高級リゾートホテル「アマン東京」の世界初のカフェ、「ザ・レストランbyアマン」にて

 

プライム・ストラテジーでは、一緒に働いて下さるエンジニアさんを日々募集しております。

このようなセミナーを受けられる機会も多いにありますし、正しい知識を身に着けつつプログラミングスキルを上げるにはもってこいの環境なのではないでしょうか。

正社員も現在募集中でございますので、ぜひ弊社のホームページの方もぜひご覧ください。

プライム・ストラテジー採用情報についてはこちらから!→https://www.prime-strategy.co.jp/recruit/

 

また今回のようなWebセキュリティーへの意識を高めるイベントは定期的に開催していきたいと思います。

イベントの日程が確定しましたらこちらのコラムサイトでお伝えしていきます。

どうぞ宜しくお願い致します!


Post Author: 岡田あすみ

プライム・ストラテジーのKUSANAGIエバンジェリストの岡田です。 東京農大で栄養学を勉強した後、飲食店の運営を3年間経験しました。 現在はタレント業務を行いながら「話すスペシャリスト」になるべく勉強中です。 食べること、ラップ、話すこと、絵をかくことが好きです! KUSANAGIと会社を盛り上げます!よろしくお願いします。