事故が発生してから発見するまでの時間が長くなれば、それだけ被害は大きくなる可能性が高いと言えます。それはその分、ホームページにアクセスする人が増え、その人達に被害を与えたり、改ざんされた事業者に損害を当たる可能性が高くなるためです。
改ざんされてから修復までが被害が生じる期間
図では、同じ時期にホームページの改ざんが発覚した4社の被害の可能性について比較しています。同じ時期に改ざんが発覚しても、実際には改ざんされた日付けも違えば、修復された期間も違います。
ここではD社がもっとも被害に遭う(利用者に被害を与える)期間が長いとわかります。ただしどの程度のアクセスがあったかはわからないので、これが具体的な被害にはつながりません。
被害を正しく判断するには、改ざんされた日から修復するまでの期間、その間のアクセス数などを明確にする必要があります。
被害を最小限にするために、改ざんされたことにいち早く気がつけばいい点は同様です。もちろん、誰もアクセスしてこないうちに元の状態に戻すことができれば、実際の被害はなかったと考えられます。
つまり、「ホームページの改ざん」より、「改ざんされたホームページにアクセスされること」がインシデントであると考えられます。ホームページの改ざんはイベントなので、この段階で対応ができれば被害は発生しないことになります。
ホームページの改ざんにいち早く気がつくために必要なのはバックアップとの比較です。攻撃者がバックアップと公開ページの両方を同時に攻撃することが難しいためです。
ホームページの改ざん対策は、ウェブサーバやアプリケーションのぜい弱性に依存することが多く、ウェブ管理者が自らコントロールすることが難しいことがうかがえます。しかし、ホームページの改ざんにいち早く気付き、バックアップからもとに戻すことが利点です。
もちろん、それは誰かがアクセスしてくる前にというのが大きな課題ですが、それでもウェブサーバやアプリケーションのバグを直すよりは簡単かつ迅速に、自らが調整可能です。
情報セキュリティ対策においてポイントなのは「自らが管理できるかどうか」です。コストの問題もありますが、他人任せにするよりは被害を少なくすることが可能です。
ここまで、「自ら管理するためにすべてを把握する」という点で、すべての情報セキュリティに通じる考え方を解説しました。モノのインターネットに関するセキュリティにおいても、重要な考え方は「すべての把握」です。
自らが管理できるようにすべての把握をすることをガバナンスと呼び、情報セキュリティにおけるガバナンスを情報セキュリティガバナンスと呼んでいます。