「セキュリティ効果」と「ユーザー利便性」のバランス

　企業のWebサイトは、当然ながらビジネスを推進することがミッションである。セキュリティ対策によりビジネスを停滞させることは避けなければならない。そのため、セキュリティ対策の必要性は認識していても、二の足を踏んでしまう。その結果、自社は狙われないだろう、または攻撃された後に対策を検討するしかない、といった受身な思考に陥っている担当者の方にお会いすることもある。

　ただし、実際にインシデントが発生した場合には、サイト停止による直接的な損害はもとより、個人情報の漏えい・金銭被害などによるレピュテーションの低下、顧客離れやマスコミ対応など、さまざまな代償を払う結果も覚悟しなければならない。

　こうした条件のもとで、公開Webサイトのセキュリティ強化を考えるポイントは、「セキュリティ効果」と「ユーザー利便性」のバランスにある。では、どうしたらバランスの取れたセキュリティ対策を実現できるのか、また、それを経営層やユーザーに説明できるようになるのか。そのためには、適切なアプローチを採ることが重要で、筆者の考えるアプローチは次の図のとおりである。


　攻撃パターンをどこまで想定して備えるかによって、採るべきセキュリティ対策のレベルは変わってくる。そのためフェーズを分けてきっちり検討を進めることが重要である。

　Webサイトの重要度や保有する情報の価値によっても採るべき対策レベルは変わってくる。金融機関と同レベルのセキュリティ対策をすべてのサイトが実施することは難しい。銀行などのサイトではユーザー自身のお金に関する情報を守る意識があるため、セキュリティ対策によるユーザー利便性低下を受け入れやすいと考えられるが、マーケティングや販売などが目的の公開Webサイトでは同じように受け入れらないかもしれない。

　これらのサイトにとってユーザー利便性は生命線であり、単純なセキュリティ強化はユーザー利便性を低下させ、サイトからの離脱率を高めることにつながる可能性がある。

　そこで、サイトの特性に応じて、先ほども述べた「セキュリティ効果」と「ユーザー利便性」のバランスを検討し、防御と監視の両面からセキュリティ対策を組み合わせ、総合力を高めるアプローチが重要となる。

　上図では大きく4つのフェーズに分けて紹介したが、今回は筆者の経験上、最も検討が停滞しがちな予測フェーズ（攻撃パターンの想定）について概説したいと思う。

【次ページ】攻撃パターンを想定する