プライバシーマークで求められているWebサイトのセキュリティ対策

プライバシーマークは主に個人情報を適切に保護するための制度ですが、Webサイトでも個人情報を収集することが多いため、Webサイトにおける実施すべきセキュリティ対策についても説明されています。JIPDECから発行されている「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン　－第2版－」にも、ウェブアプリケーションのセキュリティ対策が望ましい対策手法として掲載されています。

その一つの「個人情報の移送・通信時の対策」では、「盗聴される可能性のあるネットワーク（例えばインターネットや無線LAN等）で個人情報を送信する際に、個人情報の暗号化又はパスワードロック等の秘匿化の措置を講じていること」 の具体例の一つとして、「ウェブサイトで本人に個人情報を入力させる場合、SSL、SQLインジェクション、クロスサイトスクリプティング対策等の措置を実施している」 ことが挙げられています。

上記で対策中に書かれている「SSL」ですが、最近のWebサイトの常時SSL化がSEO（Search Engine Optimization：検索エンジン最適化）に影響するなどの情報から、全ページにSSL通信を適用しよう（常時SSL化）という動きがあります。

SSL通信とは、Webサーバとクライアントの間で行われるHTTP通信を暗号化技術です。最新のHTTP通信暗号化技術はTLS1.2というバージョンですが、「SSL」という名称が広く普及したことから現在でもSSL通信として認識されることことが多くなっています。

HTTP通信を暗号化（HTTPS化）することで第三者は通信内容を容易に盗聴できず、また、SSL通信ではWebサイト運営者の情報や暗号化に必要な鍵、SSL証明書発行者の署名データが確認でき、正規ユーザへの成りすましなど、リスクを低減することができます。これによりユーザはWebサイト上でSSL通信の有無を確認できるとともにWebサイト運営者情報も知ることができるので、Webサイトの信頼性が向上するというわけです。

しかし、SSL通信を導入しているから全く危険性が無いわけではなく、思わぬところから情報漏えいが発生することもあります。HTTP通信をSSL通信によって暗号化していると、Webサイトに対して実行された「不正な通信も暗号化」されてしまうことになります。導入しているセキュリティソリューションがSSL通信の解読に対応していなければ、SSL通信内に含まれた攻撃者からの不正通信を認識することがでず、社内に侵入したマルウェアが外部のC&Cサーバと行う通信をSSL通信で暗号化するケースも増えています。

このようにSSLを隠れ蓑にして巧妙に侵入してくるマルウェア等に対しては、SSL暗号化を解いて、復号した通信内容を読み取りマルウェア等の危険性を排除したのちに、再び暗号化してネットワークに送り出すという処理を行う必要があります。しかし、そのような環境を準備するためには高額な費用やネットワークへの負荷が掛かることになり、そう簡単に取り入れられるものではありません。

この課題を解決するためには最近はEDR（Endpoint Detection and Response）と呼ばれる技術をベースに、PCやサーバの端末上で不審な動作をするソフトウェアがないかをAI技術を応用して常時監視するセキュリティソリューションが登場しています。セキュリティ管理者としてはまた新しい製品の導入を検討することを求められ、心配の種は尽きないという状況が続きます。