Webサイトを開発を発注する企業側の立場

まず僕の立場なのですが、今回は開発する側ではなく、発注する企業側のPMです。
なのでセキュリティといってもソースコードがうんぬん…
って話ではなく、運営も含め、総合的にどのようにセキュリティを守っていくのか
という視点で書いています。

経営者が求めるセキュリティ

経営者が求めるセキュリティとは、普通であれば、「100％大丈夫」という状態ではないでしょうか。
つまり、

• 外部から攻撃を受けても一切情報が漏洩しない
• 外部から攻撃を受けてもサービスが停止しない
• サーバーが壊れても稼働し続ける（もしくはすぐに復旧する）
• Webサイトそのものにバグが存在しない
• 内部から情報を盗まれる心配がない

という状態を求められています。まさに完璧状態ですね。

今回セキュリティ対策として取り入れる予定の項目

上記経営者が求めるセキュリティに近づけるために、今回実施する予定なのが以下の項目。

逆にセキュリティ対策として取り入れない項目

やればセキュリティは確かにアップするかもしれないが、コストが高すぎたり他の面で補えたりなど、やらないことにしたリスト。取り入れない理由もちょっと書いてます。

最終的なセキュリティ対策まとめ

システム的な問題に対しては

• ペネトレーションテスト
• 24時間監視
• IPS導入

で問題の発生を未然に防ぎ、発生しても被害を最小限にとどめる
さらに

• サーバーの冗長化構成

によって、サービスの停止や消失を防ぎます。
また、内部の問題も考えられるため、

• ISMSを取得

することによって、セキュリティに対する意識を高めます。
以上が今回セキュリティ対策として実施することのまとめです。

最後に

実際のところ、Webサイトはきちんと知識を持って運用することで情報の漏えいはほぼ防ぐことができるはずです。
それでも情報漏洩事件が頻繁に起こるのは、「人」に問題があるからだと思います。
運用する人もそうですが、利用する人・関係する人が適当な態度でセキュリティに向き合った結果、情報が漏洩しているということがほとんどです。Security NEXTなどに載っている事件もほとんどが人の問題ですし、ジャパネットの事件など典型的なものだと思います。
これらの事実にもきちんと目を向け、正しくコストに見合うセキュリティ対策を実施していければ、Webサイトも企業も守られていくのではないかと思います。

追記

久々に長文書きました。
やっぱり定期的にアウトプットしないと書けなくなりますね。よくよく読むと日本語変だな…