吉政忠志 
こんにちは。プライム・ストラテジー代表の吉政でございます。
アサヒビールのランサムウェアによる基幹システム停止のニュースが出ています。情報漏洩ではなく、基幹システム停止なので大変大きな事案となりました。
私は関係者ではないので、明確なことは言えませんが、単純に考えてアサヒビールのセキュリティが甘かったとは考えにくく、しっかりした会社が支援して、第三者チェックも行なっていたはずです。それにもかかわらず、情報漏洩にとどまらず基幹システム停止まで追い込まれたのは、複数箇所にハッキングされた可能性があるからではないかと考えています。
最近のハッキングの傾向としては、ハッキングしたことがバレないように巧妙にハッキングする傾向があります。その場合は発見に時間がかかるケースが多いです。
また、バックドアを開けるウイルスはもちろんのこと、不正ユーザーを作り続けたり、なんらかの動きをするプログラムを作り続けるものもあります。この場合、1箇所のハッキングから複数にハッキングされていくので同時多発的に被害が起こる可能性があります。
皆さんのWebサイトはいかがでしょうか?
完璧に近い形で運用できているお客様は多いのではないでしょうか。
重要なWebサイトはしっかり守れていても部門サーバーは最初の導入時のみ厳しくチェックして、あとは1年間チェックしないようなお客様は割と多いです。導入後はチェック無しというお客様のお話を聞いたこともございます。
費用と手間を考えなければ、リアルタイムで行うのが一番ですが、非現実的な話に聞こえてしまうと思います。ちなみに、当社はKUSANAGI Security EditionでWordPressサイトの実行環境部分(KUSANAGIの部分)の完全自動化保守を目指しています。現在、nginxで無停止メジャーバージョンアップと巻き戻しを実現しており、次はPHPの無停止メジャーバージョンアップと巻き戻しを実装しようとしています。
KUSANAGI Security Editionについては評価版を提供していますので、興味がある方は以下のページよりお申し込みください。 https://kusanagi.tokyo/edition_and_upgrade/kusanagi-security-edition/
さて、ウェブセキュリティの本題の話です。一般的に公開されてるような、ここまではやってほしいセキュリティチェック項目は対応されていますでしょうか?ここまでは対応してほしいリストについては以下に記載しますのでご確認ください。
https://kusanagi.biz/download/#useful
※上記のセキュリティ資料がそれに該当します。
また、当社では加工可能なウェブガバナンスガイドラインを公開しています。どなたでもお申し込みできるので興味がある方は以下よりお申し込みください。
皆様のWeb運営基準の参考になるはずです。
https://kusanagi.biz/download/#web-gov
それでは今日はこの辺で。
執筆者/吉政 忠志 (プライム・ストラテジー株式会社 代表取締役)
100歳までの現役労働を目指す男。プライム・ストラテジー(TYO5250)代表、Python/PHP/Webセキュリティ/Rails/IPv6試験の主催者。ロードバイク、釣り、食器集めが趣味。
プライム・ストラテジーでは、Web担当者様、IT担当者様などの
お役立ち資料やYouTube動画を公開しています。ご興味ある方はぜひご覧ください。