ブロードバンドの普及によるネットインフラの整備が加速度的に進んだ日本だが、ことセキュリティ面においては欧米諸国の後塵を拝する位置づけにあると言っても過言ではない。

情報漏えいが喧伝される昨今、経営者としてネットセキュリティに取り組む上で最も留意すべき点とは何か。セキュリティやWebサイトへのコンサルティングを手掛ける、エレクトロニック・サービス・イニシアチブ有限会社の大垣靖男取締役社長へのインタビューを届ける。


大垣靖男（おおがき　やすお）
エレクトロニック・サービス・イニシアチブ有限会社　取締役社長
University of Denver卒。同校にてコンピュータサイエンスとビジネスを学ぶ。（株）シーエーシーを経て、エレクトロニック・サービス・イニシアチブ（有）を設立。 セキュリティやWebコンサルティングのほか、開発も手掛ける。著作は『Webアプリセキュリティ対策入門』のほか、『はじめてのPHP言語プログラミン グ入門』『［改訂版］PHPポケットリファンレス』（すべて技術評論社）。 http://www.es-i.jp/


今年の4月に出された著書『Webアプリセキュリティ対策入門（技術評論社）』はどのような内容ですか？
開発者や発注者にWebアプリケーションのさまざまなリスクについて理解してもらう、というのが第一の目的です。セキュリティの問題は難しく考えられがち ですが、個別具体的に見れば決して難解ではありません。ですが、開発者にとっては気を付けなくてはならないポイントがあまりに多く、また発注者はセキュリ ティの重要性を十分には理解していないのが実情です。少しでもそうした状況が改善されればという願いを込めています。


Webアプリケーションにおけるセキュリティ問題の概略とはどのようなものでしょうか？
発注者サイドとしてまず、セキュリティ対策にはある程度のコストがかかることを理解しなくてはいけません。安い見積でもセキュリティはちゃんとしてくれて いるだろう、という憶測は捨てるべきです。開発者サイドにも言えることですが、例えばこれまで業務アプリケーションを専門に手掛けてきた開発者には、セ キュリティの問題意識が不足している部分があります。Webアプリケーションは最も危険なアプリケーションとも言われていて、セキュリティの知識やプログ ラミングへの考え方までが、業務アプリケーションとはまったく異なるものだからです。


企業の経営者としてはどうのような点に気を付けるべきでしょうか？
提供するサービスの価値や管理している情報の内容によってセキュリティレベルを見極めて、必要な対策が計画的に行われているかを判断する「姿勢」が重要な のです。そのためには、費用が一時的なものとだとは考えない方がいいでしょう。一般に、業務アプリケーションは作ったらおしまいで後は運用やメンテナン ス、保守などの契約を結ぶものですが、Webアプリケーションの場合はこれらにプラスαとして「安全性」を維持するためのコストが必要だと理解するべきで す。


日本人のセキュリティへの意識はいかがでしょうか？
非常に低いと言わざるをえません。毎週のように情報漏えいの事件報道がなされても「自分は大丈夫だろう」と思われている方をたくさん見受けます。これは個人にとどまらず、経営者についても言えることです。
背景としては、キックバックが形となって見えてこないことが考えられます。例えば、営業システムにコストをかければ、営業効率が上がって受注率が伸びると いった直接的な収入メリットが見えます。一方、セキュリティ対策はもうかるわけではなく、つぎ込んだだけコストがかかるものです。とはいえ、Webアプリ ケーションのセキュリティ上の危険性は、数年前とは比べられないレベルに跳ね上がっています。ネット犯罪といえば、当時はWebページを改ざんするぐらい の愉快犯という色合いのものでした。ですが、現在ではフィッシング詐欺※1による口座番号の盗み出しの被害に遭い、現金を引き出されるといった事例が多く 出ています。
最近ではクロスサイトリクエストフォージェリが話題になりましたが、弊社としては5、６年ほど前からその危険性について認識していました。先にも申し上げ ましたが、大事なのはセキュリティへの「姿勢」なのです。気が付くことができるか否か。気にしなければいつまでたっても気が付かない点ですが、気にさえし ていれば当たり前のようにその脅威に気が付くものです。


大垣取締役社長には、オープンソースのプログラミング言語「PHP特集」（「NEXTWISE」8月号）にもご登場いただいたことがあります。最後にオープンソースについて感じることをお聞かせください。
PHP※2にも言えることですが、日本は海外に比べてオープンソース・ソフトウェア（以下OSS）の開発者が非常に少ないことです。エンジニアの方にはぜひ、OSSの開発やコミュニティ活動に参加していただきたいです。
そして、経営者の方には、OSSのコミュニティに従業員や技術者が積極的に関わることを推奨されるよう、お勧めしたく思います。エンジニアとしてのスキル アップが図れることはもちろん、開発ツールのオプションとしてOSSを採用するといった場合に、普段からOSSコミュニティとの関わりを持った技術者の見 識が必要になってくるはずです。そして、さらに一歩先を見るのであれば、自社開発のソフトをOSS化することを検討してみてください。OSSとして公開さ れて多くの人が開発に携われることで、新機能の実装の可能性も出てくるでしょうし、セキュリティ上の問題を指摘してもらえることもあります。OSSにはさ まざまなメリットがあります。従業員の業務時間を工夫するなどの環境づくりからスタートすることも、一つの方法だと思います。



※1：フィッシング詐欺
金融機関などからのメールやWebサイトを装って、暗証番号やクレジットカード番号などを搾取する詐欺。メールに偽WebサイトのURLを張ってユーザーを誘導する。盗まれた暗証番号などは、架空請求詐欺や預金の引き下ろし、成り済ましなどに利用される。

※2：PHP
Hypertext Preprocessor。プログラミング言語の一種。オープンソースであるため、言語仕様やプログラムは無償で入手可能。データベースを利用したWeb サイト、メール送信機能を持ったWebシステムの構築など、動的なWebページを生成することができる。