その業者は本当にプロですか?痛い目に合わないために知っておいて欲しい事
昨今、デザインやエンターテイメント系など、それも、あまり規模の大きくない会社が運営するサイトがハッキングの被害に遭い、顧客情報が流出する。といった報道を目にすることが増えてきたように思います。
攻撃者目線で考えれば、これも当然と言えば当然で、規模の大きくない会社で、且つ、ITに詳しい技術者などいないような会社であれば、自社のサイト構築と運営は外部の業者に任せざるを得ません。
しかしながら、こうした会社の担当者はセキュリティに関する知識など当然、豊富に持っているわけではないので、業者がセキュリティに詳しいかどうかなど見極めようがありません。
業者側がセキュリティに詳しければ、依頼する側がセキュリティに関する知識を持っていなくても業者がカバーしてくれそうなものですが、あいにく、業者側もセキュリティに関する知識を全く持っていない。ということも少なくないので、お互いにセキュリティに関する考慮など全く持たないままサイトを構築してしまう。ということは起こりがちです。
大手の会社であれば、こうしたことは起こりにくい(と言っても全く無いわけではありません)のですが、小さな会社同士だと、こうしたことが起こりやすく、さらに悪いことに、小さな会社は大手のようにサイト運用に回せる金額は多くないので、脆弱性対策や運用監視などやっていないということも、また、ありがちです。
つまり、攻撃者から見れば、カモがネギを背負ってサイトを運営しているような状態、また、目の前にお金が落ちているような状態なので、据え膳食わぬは何とやらで、狙わないほうが損だ。というわけです。
だからこそ、B to CのWebサイトを運営しているような会社は、会社の規模に関係なく、セキュリティ対策についてそれなりの知識を持たないといけないと思うのですが、セキュリティに関する情報に触れる機会の少ない業種や環境になればなるほど、こうしたことを他人事として捉えてしまう方は多いので、こうした意識が変わっていかない限りは、今後も、顧客情報が流出する。といった類の事件を目にすることは増えていくのだろうと思います。
このページを読まれているあなたは、セキュリティに関する意識が高いからこそ、このページを目にしているのだと思いますが、あなた自身はセキュリティに関する意識が高かったとしても、あなたの周りにいる方は、果たしてどうでしょうか?
あなた自身はセキュリティ意識が高くても、あなたの会社のWebサイトを構築・運営している担当者はセキュリティに関しては全くの素人で、何の知識も持っていなかったとしたら、外注先がセキュリティについて詳しいかどうか全く確認しておらず、セキュリティに関する観点が全く抜け落ちてしまっているサイトを運営してしまっているかもしれません。
また、あなたが業務を委託している業者は、セキュリティに関する意識は高いと言えるでしょうか?
セキュリティに関する情報・知識は、技術の進歩と共に日進月歩でアップデートが繰り返されています。ひと昔前は正しかったことが、今では正しくなくなってしまっていたり、適切でなくなっている。ということは往々にしてあります。
こうしたことを知って、常に自分の知識をアップデートするよう心掛けている業者は、セキュリティに関する意識が高いと言えますが、これをきっちりやっている業者(担当者)というのは、残念ながら少数派になってしまう。というのが実際でしょう。
だからこそ、あなたの会社が業者に何かを委託する時は、その道のプロなんだから、当然任せて大丈夫なはず。などとは思わずに、本当にプロと言えるだけの知識を持っているのか?また、プロとしての誇りを持ち、プロとして持つべき知識や情報を最新のものとするよう、常に研鑽を積んでいるのか?といったことを確かめることをお奨めします。
業者を信用するのも良いですが、任せたばっかりに痛い目を見るのは、結局「あなた」なのですから。
→次の記事へ( 自社内製で標的型メール訓練を実施すべき5つの理由 )