DL-market-6月28日で正式終了へ……大きくなければセキュリティ投資継続は難しい。

4眼で光学ズーム付きのHuawei P30が発表されたが、表を作る余裕がないので、違う記事である。
PC WatchやITmediaが伝えているニュースだ。当該のサイトサービスはデジタルコンテンツの販売を行っていたのだが、昨年末に約7700件のユーザー情報(カード情報など)が漏洩したことで、システムを停止していた。

しかし、改修が困難として断念されたようだ。まあ、今はこの手のサービスは他にもあり、何よりDL-marketの知名度はそれほど高い訳でも無い。停止期間が3ヶ月以上になる中で、知名度がそれほど高くない事業者だと、他に流れていくケースが多く、利益見通しに対して、設備投資(セキュリティへの投資)が合わないと判断されたと思われる。
https://forest.watch.impress.co.jp/docs/news/1176537.html
https://nlab.itmedia.co.jp/nl/articles/1903/26/news080.html

これは、はっきり言って、それほど大きくないが利益が何とか出ている事業者にとって怖い話である。
何せ、当初導入したセキュリティに対して、毎年どこまで改善を掛けていけば良いのか?また、攻撃が多様に変化するなかで、小規模な更新だけで守ることが出来るのか?それとも、定期的に大きな刷新が必要なのか?

それらは、簡単には判断出来ないからだ。設備投資を高めれば、安全性は上がるが、価格競争力は下がる。しかし、安全を謳ったからと言って、知名度が増し成長する訳でも無い。既に、安全な(と言われる)サービスは世の中に沢山あるからだ。


<ネットワーク、コンピューティングのセキュリティは目に見えない>

オンラインにおける安全性対策で難しいのは、目に見えないことであると、書いてきた。
例えば、ウィルス対策ソフトが警告をしてくれるから、駆除してくれるから安全という発想は、本当にそうなのか検証する術は、あなたにはあるだろうか?

Windows Defenderが標準だから機能が少なく質が低めとか、そういう話ではなく、あなた自身がセキュリティツールやハードウェアに対して、何らかのテストパターンを実行して、守られていることを明確に判断出来るかと言われたときに、出来ると答えられる人は世の中には少ない。

多くの人は、それを入れていることやログなどの結果を見て、不審な点がなければ安全であろうと思っている。これは、攻撃パターンを解析する専門の人間だって、常時守られているかを自分で確認している人はいない。職場でそれが仕事なら別だが、自宅の周りに知られていないコンピュータまでやっている人は少ないだろう。

これは、自宅の防犯(セキュリティ)など目に見えるセキュリティとは形が違うことを意味している。
自宅なら、部屋の鍵、窓の鍵などを掛けたかどうかで、分かる。もし、それを破って入られたとしたら、荒らされているかどうかでも分かるだろう。家の周りにカメラなどがあれば、それらが不審者を撮していれば、そこから分かる事もある。

オレオレ詐欺など特殊犯罪にしても、多くは騙されないように、電話機を特殊犯罪向けの録音機能付きにしたりすること(安い物なら1万円ぐらい購入できるので、1万円以上余裕のある資産があるならこれを入れるのが効果的である)だけで、対策は終わるかも知れない。

即ち、騙されるか騙されないかというのはあるが、現実のセキュリティはソフト(自分の意識)にしても、ハード(対策グッズ)にしても、やればやっただけ形として見えるものだ。


しかし、コンピューティングにおけるセキュリティはそうもいかない。
通信している内容が、どのサーバーからどのサーバーにホップ(跳ぶ/hop)しているかなど、ルートをコマンドで逆算しないと分からない。その間に、DNSキャッシュなどの不正な書き換えがあれば、攻撃者の待ち受けるサーバーに情報を与えるかもしれない。

自分のコンピュータの中だって、いつのまにか何らかのマルウェアが侵攻している可能性はある。セキュリティソフトがあるから安全だと思っていても、それらがちゃんとマルウェアですと警告してくれないなら、よほど動きがおかしくなるか、外から指摘が無い限り、分かる術はない。使っていて身近にあってもそのレベルなのだ。


そのため、セキュリティ投資は下手に抑えることは出来ないが、投資すれば投資するだけ、良いとも言い難い。例えば、Intelのプロセッサー脆弱性を使った攻撃に対する対策を、Intelやそのセキュリティ提携関係にある企業が出す前に、自分達でやって守ろうなんて人はいないだろう。

これは、投資コストに対して失うお金が大きい上に、他の事業者や攻撃者だって同じ問題を抱えている恐れがあり、しかも、対策をすると今使っているプログラム実行に影響する恐れがある。だから、積極的に自らが対策を講じる理由はない。


<大規模とは違う中規模や小規模の苦悩>

あくまで、上記は極論であるが、使わないサービスや投資に見合わないほど今の運用では軽微であろう問題は、投資から除外されていく。これは、利用者から得る利益や投資家(出資者)から得たお金の中で、出せる範囲のセキュリティ対策を講じるためでもある。要は、予算にも限界があるのだ。

AmazonやGoogle、Microsoft、楽天などのようにECサービスやクラウドサービスでの収入が相当程度あるなら、セキュリティ投資は比較的軽微になるが、小さな事業者になるほど、サーバーの数に対して、セキュリティ投資のコストは上がるものだ。

これは、100台同じサーバーを分散制御で運用しているなら、1つの共通モジュールで全体に対処が出来るからだ。利用者が1000万人いて、1台に10万人のアクセスが常時ある場合は、100台のサーバーのうち半分が、Aシステム、半分がBシステムだとしても、セキュリティモジュールは2つで済む、それを支えるユーザーから得られるお金は、2種で均等に分散した場合、500万人で割ることになる。100円/人としたらAシステムに5億円、Bシステムに5億円である。これだと多くの担当者がいて日夜開発が続くはずだ。

一方で、1万人のサービスでサーバーが2台(2つのシステム)なら、セキュリティに100円集めても50万円ずつしかない。だから、対応人員は1人か2人になるだろう。大規模化によるシステム効率の改善はこういうセキュリティなどの投資にも大きな差を与えるが、信頼性は失うわけにはいかないから、小規模でも必死で頭を悩ませ、取捨選択して、システムのセキュリティを維持しようと試みているはずだ。


しかし、今はそれを上回る速さで、攻撃が行われている。そして、今、攻撃者はこういう弱いサービスを日本でも探している。昔は英語圏だったが、今は言語の問題が薄れ、日本も標的になってしまっている。その時に、守るお金がどれだけでているかも重要だが、取捨選択していく中に、重要な新しい攻撃手法に対抗できる手段が抜けていたりすると、こういう自体になるのだろう。


そして、これは今から増える問題でもある。

<ネットサービスは見えないから良い面もあるが、見えないから1度失敗すると……>

DL-marketでは終わらないということだ。実際に今年に入り「宅ふぁいる便」でも漏洩問題が起きている。平文パスワード保存など問題が見つかった当該のサービスだが、暗号化していたとしても、サービスは停止していた可能性が高い。暗号化済みでもパスワードが漏れたことが発覚すれば、漏れない仕組みを作らないとサービスは続けられないからだ。

暗号が何らかの方法で解読されればたちまち、サービスは止まることになるだろうから。

ここがサービス再開に苦しんでいるのも、結局は基幹の大きな変更が必要になるからと思われる。後は、再開時期がいつ確定できるかと、その投資に見合った分だけ、ユーザーが戻ってくるかどうかを検討することになるだろう。もし、多くの人が既に別のサービスで順調に仕事やデータ共有を出来る状況を作り出してしまっていれば、再開は困難になり、だいたい3ヶ月~半年を超えると利益見通しは困難になる。規模の縮小などで対応することになるかもしれない。

ただ、ネットでサービスを使う人々は、そこまで思ってサービスを使っていない人が多い。ネットでは競合を検索することが出来る。同じようなサービスがあれば、それで代替するのも容易だ。慣れの差でしかないのだ。だから、今行われているサービスは、セキュリティが高いものと思いこんでいる人も多い。

しかし、現実はそう簡単では無い。確かに、大手で沢山のお金を投じている企業のECサービスを利用しているなら、それなりに大きく安全性も高いだろうが、自分でシステムを開発してホームページを作っている場合は、その利益や予算に合わせてシステムのセキュリティ優先度も変わっている。

そういった事業者は今後、標的にされるリスクが増していくだろう。そうなる前に大手ECサービスの定型システムに移行するなどの対応が必要になるかもしれない。まあ、ネットは既に自由にそして多様に何かを作る形から、決まった自動保守のある定型システムに依存し、それに添わないなら淘汰される時代に入りつつある。



スマホや携帯も既に持っていて当たり前の社会で、多くの人は決まったサービス以外は使わなくなっていく。そうすると、特定の古くからあるサービスが急に大きく成長することは減って行き、大きなサービスへと集約されていくのが、流れだ。元々、ネットは圧倒的多数の意見を検索上位に出すのが前提で作られているからだ。

それを加速させるのに、不正攻撃も加担しているというのは、本当に嫌なものだ。もっと、不正攻撃に対して、世界的に取り締まりの強化しないと、ネット市場ではネット大企業以外から新しい芽は生えにくくなっていくだろう。



ESET ファミリー セキュリティ | 5台3年版 | カード版 | Win/Mac/Android対応
キヤノンITソリューションズ
2017-04-01

amazon.co.jpで買う
Amazonアソシエイト




【送料無料】McAfee マカフィー リブセーフ 3年版 MLS00JNRMR3YM
A-PRICE楽天市場店
【送料無料】商品説明★ お得な3年版。マルチOS対応&マルチデバイス対応でご家族を守ります。


楽天市場



"DL-market-6月28日で正式終了へ……大きくなければセキュリティ投資継続は難しい。" へのコメントを書く

お名前[必須入力]
メールアドレス
ホームページアドレス
コメント[必須入力]
認証コード:[必須入力]

※画像の中の文字を半角で入力してください。