「常時SSL」の疑問に答えよう、どうすればできるか：萩原栄幸の情報セキュリティ相談室（3/3 ページ）

[萩原栄幸，ITmedia]

われわれはどう動くべきか？

　私たち企業サイドの人間や官公庁、大学のWeb管理者はどうすべきなのだろうか。そのヒントをご紹介したい。

その1：企業にとってWebサイトは極めて重要なコンテンツとなり、一部のネット専業事業者においてはまさしく死活問題になる。その認識を新入社員から社長まで共有する。まず、これが大前提である。

その2：「また経費が増す」「また人手がかかる」という意識を捨て、「常時SSL」化という事象を正面から受け止める。そして「対応コストの数百倍の利益を得る」という意識でHTTPS化に先手を打つ。業種業態によって手法は違うだろうが、官公庁ではセキュリティ強化を最優先でスケジュール化すべきであり、理系大学なら学生を交えるような方法もありだろう。

その3：管理を外部に丸投げしているなら、この機会に再考する。本業から見るとWebは片手間という意識の企業もあるが、例えば、新人に自社サイトの構造やHTML5などの技術を学んでもらい、彼らの手に運営を委ねてみるのもいい。濃淡はあっても、今の時代はビジネスとWebが密接につながっている。クラウドやビッグデータやスマホなどをどう組み合わせ、どう活用していくのかといった積極的に議論していくチャンスだ。もし本業が停滞しているなら、Webがその状況を覆す原動力になるかもしれない。

その4：「周りがやり始めてからでいいだろう」と考える企業に未来はない。その危機感を持ってほしい。世の中が常時SSLになることはもはや自明であり、時間の経過に自社の身を委ねるのは、あまりにも愚かだ。友人の医者は極端ではあるがと前置きしつつこう話していた。

「ごく一部を除き、『様子をみましょう』という医者は三流。判断できないので、他に行ってほしいということだ。もし自分の子どもなら何としてでも対応するものだよ」と。

　さて、いつ行動すべきか。「今でしょ！」。　よもや「様子をみましょう」と言う経営者はいないはず……と思いたい。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。