─ 企業側がなかなか本気になれないのは、やはり被害実態が分かりにくいからなんでしょうか？

新井●Webの運営側として、そこまでなかなか手が回らないということもありますが、直接の被害者にはならないということも、その辺に意識が向かない要因です。

本当の被害者は、改ざんされた企業のWebにアクセスしたユーザなのです。自社のお客さん、あるいは将来お客さんになる可能性のある人たちが被害者になるのです。企業としては、こういったユーザをどう守っていくか、という視点を持つことが重要です。

セキュリティといえば、従来は社内の個人情報の漏洩が大きな問題でしたが、今ではウイルス、あるいはウイルスへのリンクを埋め込まれてしまうことで、そのウイルスに感染したエンドユーザの情報が漏れるということに変わってきています。企業が持っている個人情報の直接の流出ではない分だけ、話が複雑になったわけです。

老若男女、不特定多数の多くの人のパソコン環境を完全にセキュアにするのは不可能です。サーバ側で守るしかないのですが、このあたりの危機感はいまひとつ盛り上がっていないように感じます。やはり、被害実体が自分たちではないということで、企業のモチベーションが上がらないのだと思います。

─ そうなると、なかなか対策が進まないようにも思えますけれど、どのように働きかけているのでしょうか？

新井●企業のWebを介して、その企業のお客さんが被害者になるわけですから、カスタマーリレーションという意識でしっかりとした対策をするべきだと思います。とはいえ、企業ユーザに直接働きかけるだけではなくて、Webサイトを作る立場、運営する立場、SIerなどへの訴求も不可欠と思っています。

しかし辛いのは、やはり目先のコストを問題にされてしまうところですね。「安く、早く、高品質に」は、企業側の理想ではあっても、現実的には無理でしょう。

─ 最近はWebサイトの構築コストが安くなりすぎているかも知れませんね。ブログベースで作る場合などは30万円を切るような場合もあったりして、そんなことではセキュアなサイトなど作れないんじゃないでしょうか。

新井●見積もりと、そこで想定しているリスクの明確化が不可欠ですね。セキュリティの事故は、回復に時間とコストがかかりますし、サーバダウンは機会損失です。例えば通販サイトを考えると、セキュリティ問題でダウンしている間はモノが売れません。こういうことを冷静に評価すれば、リスクとして認識できると思うのです。しかし困ったことに、サイトが問題なく正常に回っていることしかイメージしていない例が多いので、なかなかリスク対応まで考えていただけないのですね。

そこでラックでは「セキュリティソリューションサービス」を標榜し、サイト構築時のコンサルティングからシステム構築、稼働後の運用監視まで一貫したサービスを提供しているのです。我々には研究所で蓄積したデータやノウハウがあり、こういったサービスを通じて企業へ提供しています。

• 次のページ　P04：国の施策になったマルウェア対策