セキュリティ診断で防げない事故

ITコーディネータの吉田聖書よしだみふみです。

前回前々回と、
7payのセキュリティ事故を取り上げましたが、
今回はもう一つの側面を取り上げたいと思います。

特に前々回の記事について
タイムリーな話題ということもあってか
予想以上に反響があり少々驚いています。
それだけ皆さんの関心が高い
ということなのかもしれません。

実は前々回の記事を掲載してから、
一つ書き忘れたことに気が付きました。
それはセキュリティ診断(審査)のことです。

7payの記者会見では、
「セキュリティ審査を行ったが
脆弱性の指摘は無かった」
という内容の言葉を述べたことで
少々騒ぎになったようです。

システム構築に関わったことのない方は
あまりご存じないかもしれませんが、
ITサービスを開始する前に
システムにセキュリティ上の問題がないか
外部の専門会社に調べてもらう
セキュリティ診断を実施することがあります。

セキュリティ診断で
セキュリティ上の問題が指摘されたら
指摘された側が対応を検討し、
実際にシステムを改修します。

以前は金融業界特有だったかもしれませんが
近年ではあらゆるサービスが
セキュリティ上の脅威に晒されており、
金融サービス以外のシステムでも
診断をしてもらうということが増えてきました。

7payのシステムも
おそらくセキュリティ診断では問題なし
という診断結果を得たのだと思われます。

しかしここで一つ落とし穴があります。
それは、いわゆるセキュリティ診断は
あくまで実装に対する診断であって、
設計に対する診断ではないということです。
ですので実装上の欠陥は検出できても、
設計上の欠陥は検出できません。
実際、今回の7payの事故は
登録していないメールアドレスに
認証キーを送信できるという
設計上の欠陥に因るものだと言われています。

実装上の欠陥というのは、
いわゆるプログラミングのミス
つまりプログラミングにおける考慮が
不足していたことによるもので、
ある程度機械的な診断で検出できます。

一方、設計上の欠陥というのは、
システムの実現方式を検討する時の
考慮が不足していたことによるもので、
設計書のようなドキュメントのレビューによって
リスク対策が設計に落とし込まれているか、
考慮漏れがないかを検出するのが一般的です。

そして、設計のレビューを通過しなければ、
実装の診断は意味のない活動であり、
それでセキュリティは向上しません。

たまたま委託した専門業者が
設計面のレビューを
サービスとして提供していなかった可能性もありますし、
サービスとしては提供しているけれども
設計面のレビューを委託しなかった
ということなのかもしれません。

指摘があれば設計作業を
一部やり直さなければいけませんし、
費用が追加でかかってしまうかもしれませんが、
実装面の診断だけでなく
設計面の診断もしっかりと受けることが
セキュリティ対策として必要ですね。

近年では損害保険の一つとして
セキュリティ事故に対する補償を行う
保険も登場していて、
診断サービスが付帯しているものもありますので
そういうものを利用するのも良いでしょう。



関連記事

プロマネの右腕

クロスイデアでは、新サービス・新ビジネスの 立上げや計画を中心に
プロジェクトマネジメントの支援を行っています。

新サービスの企画を任されたけど どう進めていいか悩んでいる担当者、
部下に新しい企画を任せたけど このままで大丈夫か不安な管理職の方、
以下のサイトをご参照ください。
https://www.crossidea.co.jp/services/right-hand-pmo.html

YouTubeにて動画配信中!

プロジェクトマネジメントのノウハウを
YouTubeで配信しています。
ブログと併せてご活用ください。

Comments are closed.