実は皆さんの身の回りでもひっそりと起きている?
ここ数年、情報流出に関するニュースは珍しいことではなくなってきましたが、とくに第三者からの攻撃による情報流出に絞ってみると、実は皆さんの身の回りでもひっそりと起きていませんか?
私自身この1年のあいだ、何件かのショップさんから「実は・・・」という攻撃被害のお話をお聞きしています。被害にあった事例の中で気になったところとしては、かなり腕利きのエンジニアを抱えていたり、有名SIer会社と契約したりしている大企業のショップも多かったことです。
もちろん大企業のショップはそもそも攻撃者から狙われやすいという点もあると思うのですが、よくよく聞いてみると自社構築ならではの問題もあるようです。いわゆるOSやソフトウェア等のバージョンアップができておらず、脆弱性への対応が追い付かないという点です。
例:シャープ公式オンラインストア(https://corporate.jp.sharp/info/notices/240729-a.html)
例:全漁連サイト(https://www.zengyoren.or.jp/news/press_20240819/)
脆弱性への対応に手が回らない理由は各企業それぞれ異なると思いますが、私がヒアリングした限り「脆弱性が潜在することは知っていたが対応できない」や「サポート切れの状態であることは把握しているが今は対応できない」というセリフは頻繁にお聞きします。
企業によっては「毎年脆弱性診断で同じ箇所を指摘されるが、そこは手が入れられないのだ」というお話も珍しくありません(せっかく高いお金を出して診断を受ける意味がない気もしますが)。このような「自覚はあるが対応できない」または「新OS/ソフトウェアへの移行は困難」と判断するに至っている理由はいくつかあるようです。
1.既存システムやアプリケーションの互換性
互換性の問題: 古いOS上で動作しているシステムやアプリケーションは新しいOSでそのまま動作しない可能性が高く、特に、カスタム開発されたアプリケーションや、特定のバージョンのOSやライブラリに依存しているソフトウェアが多い場合、互換性の問題が発生します。これにより、アプリケーションの修正や再構築が必要になることがあります。
動作検証: 新しいOS上でシステムが正常に動作することを確認するためには徹底したテストが必要です。特にECサイトの場合、サービス停止や障害が直接的に顧客へ影響を与えるため、慎重な検証が求められます。どういったテストをすればいいのかというテスト項目を考えること自体にも専門的な知識が必要になります。
2.データ移行の複雑さ
データの整合性: 大量のデータが蓄積されている場合、データの移行時に整合性を保つことが容易ではありません。特に、新しいソフトウェアとの互換性に問題がある場合、データの変換にも手間がかかります。
営業休止のリスク: データ移行中にデータの書き換えが起こらないよう、移行期間中は一時的に営業を休止しなければならない可能性があります。ECサイトにおける営業休止(いわゆるメンテナンス表示)は、売上や顧客信頼に直接影響しやすいところです。
3.運用フローの変更
新しいOSやソフトウェアは、コマンドや操作方法が異なる場合があります。そのため、移行後の運用フェーズに向けた運用手順の作り直しが必要になります。また新しいセキュリティポリシーの設定や新たな管理ツールの作成など、運用後のことも考える必要があります。
4.コストとリソースの問題
上記1~3を見ただだけでもわかると思いますが、1~3の課題をクリアし、新しいOSやソフトウェアに移行するには膨大なコスト(金額・人的・時間的)が発生する可能性は低くありません。
とくにITに詳しくない上層部が忘れがちな点は「人的コスト」だといわれます。移行準備期間や移行作業中も既存の業務は続きますから、移行作業のための追加人員やリソースの確保は必須であるはずなのですが、そこを配慮しないプロジェクトでは、通常の人員だけで移行作業も実施せねばならず、日常業務にも多大な負荷がかかり、トラブルが発生している状況をときどき見聞きします。
2024年6月は、ECやWEB関連業務で大きな山だったという方も多かったのではないでしょうか。日本国内でエンタープライズ寄りに利用されていたLinuxOSのCentOSが完全にサポート終了を迎えたからです。
ECカート会社のカート機能を使っている方でも、フロントのWEBサイトは自社で作っているというケースも多いと思いますが、そのWEBサイトの稼働するOSについても、ちゃんとサポート期限やバージョンが最新であるか確認されていますか?
ECサイト事業者がサポート期限の切れたOSやソフトウェアでサイトを運用することは、セキュリティ面でいくつか重大な問題を引き起こす可能性があります。
1.脆弱性の深刻化
当然ながらサポートが終了していると、セキュリティパッチやアップデートが提供されなくなります。そのため、新たに発見された脆弱性や既知の脆弱性に対する修正が行われず、攻撃者にとって標的になりやすくなります。特にECサイトは金銭や個人情報を取り扱うため、攻撃のリスクがさらに高くなります。
2.コンプライアンス違反の可能性
個人情報保護や金融取引に関わる規制(例えば、PCI DSSなど)の多くは、最新のセキュリティ対策を講じることを求めています。サポート切れのOSを使用していることは、これらの規制に違反する可能性があります。
3.ソフトウェアやライブラリの互換性問題
新しいソフトウェアやライブラリは、最新OSを前提に開発されるため、サポート切れの状態では動作しない場合や、逆に脆弱性を引き起こす可能性があります。
4.サポートを受けられないことによるリスク
なにか問題やトラブルが発生した場合に、サポート切れの状態ではベンダーからの技術サポートを受けることができません。これにより問題の解決が遅れたり、コストが増大する可能性があります。
上記1~4の理由から、ECサイト事業者にとってサポート期限が切れたOSやソフトウェアを使い続けることは非常にリスクが高いと言えます。もちろん「自覚はあるが対応できない」として挙げられる理由も理解できますが、可能な限り最新のサポートが提供されているバージョンにアップグレードし続けることが、顧客満足度の向上、そして売り上げアップのために重要だといえるのではないでしょうか。
EC運営の命題として、顧客の詳細な住所情報や誕生日だけでなくクレジットカード情報の取り扱いもある以上、だれにでもリスクは存在するということは確かです。
自社構築だから危険/外部ツールを使っているから安心、というわけではありません。各種CMSや自動入力フォームなどの何かしらのツールを使っていれば、常にそれら最新である状態にするなどして防御の体制をとる必要があることは確かでしょう。