スイーツパラダイス、クレカ情報漏洩と遅れた公表 なぜ防げなかったのか：不正アクセス誘う中小企業の弱み（2/4 ページ）

[高橋睦美，ITmedia]

ベンダー任せに資金不足……中小企業が抱える構造的な問題

　井上商事は、「弊社としてもできる限りのセキュリティ対策を施しておりましたが、システムの比較的手薄な部分を狙われ、不正アクセスを許すこととなりました」と述べています。ただ、会社概要によると、同社の社員数は230人。この規模で、Webアプリケーションやセキュリティに詳しい知見を持つ担当者を持ち、定期的に脆弱性診断を受けられたかというと、難しいところではないでしょうか。

　ここからはまったくの推測になりますが、一般に、オンラインショッピングサービスを提供している中小企業のほとんどは、それほど潤沢に予算があるとは思えません。また、ITに詳しいスタッフに恵まれるのは幸運な一部の企業に過ぎないでしょう。

画像はイメージ（ゲッティイメージズ）

　となると、外部のベンダー、システムインテグレーターに依頼してECサイトを構築してもらい、あとの運用は担当者任せ。コンテンツは更新しても、ECサイトで利用しているパッケージの脆弱性情報対応まではとても手が回らず、「どっちが対応するの」「その費用はどうなるの」といった議論の中で対応が宙ぶらりんになってしまった、という状況は十分にあり得ると思われます。

　ここで連想されるのが、国内の医療機関などで発生したランサムウェア被害です。一連の侵入経路として、VPNアプライアンスに存在していた既知の脆弱性が指摘されています。この場合も、脆弱性情報は以前から公表されていたものの、そのアプライアンスを納入したベンダーと利用していた医療機関との間で同じように、誰が責任を持って対応するのという議論がまとまらず、あるいはその議論すらないままに、攻撃者に悪用されてしまったケースのように思います。

　20年前、10年前とは違い、ITシステムはどんな企業にとっても業務に不可欠な柱になっています。しかも一度導入して終わりではなく、継続的なメンテナンスが必要な、ある意味「生き物」に近い性質があります。

　にもかかわらず、ベンダー任せでとりあえず動いてはいるもののお金もそんなにない、IT担当者も十分にいない、という日本企業、特に中小企業のITシステムが抱える構造的な問題が、形は違えどもあちこちでくすぶり始めている、そんな思いがします。単刀直入に言ってしまえば、かけるべきところ（と人）にちゃんとお金を投資しよう、ベンダーも「ワンストップサービス」を謳うならばしっかり情報を伝え、対処を促そう、というところに尽きるのです。