Webサイトがハッカーによって不正アクセスされ、サービス妨害や改ざんや情報漏洩する事件が毎日のように発生しています。ソフトウェアに脆弱性が見つかると比較的にすぐに対策版が公開されますが、IT業者に運用を委託していても、なかなか能動的にソフトウェアのアップデートを行ってくれず(契約にもよりますが)、脆弱性が放置され、結果的に一般的に知られた攻撃手法でサービス被害を受けることあります。

ソフトウェア開発を委託してそのまま運用に移行した場合や、レンタルサーバの契約をした場合、依頼者側の心理としては、セキュリティ対策を「やってくれているんじゃないの?」「これだけ不正アクセスが多いんだからやってくれて当然でしょ?」と期待してしまうようです。

しかし、リアルの世界で考えると、例えばマンションの鍵や防犯設備について、管理会社がピッキングを始めとする最新のセキュリティ対策を適宜採ってくれて、万が一の際には保障してくれる、などと期待することはまずありませんよね?もし防犯や防災を強化したければ専門の業者に自己負担で依頼し、万が一の損害を担保するのは保険会社の領域という社会的コンセンサスがあります。

したがって、ITソリューションに対してだけセキュリティ対策を「やってくれている」と期待するのは早計だと思います(契約にもよりますが)。また「注意喚起くらいしてくれてもいいじゃないか」と期待したいところですが、個々の企業のホスピタリティのレベルであって前提とするには危険です。

セキュリティ対策については契約書や約款に謳われている場合も多いのですが、基本的に不確定要素の多いセキュリティやハードウェア故障に伴う損害については、逆にありとあらゆる可能性が免責事項として記載されています。セキュリティに関しては、いかなる大手IT業者でもテロ攻撃や暴動などと同様に、無限のリスクがある責任を保証することは不可能なので、具体的に明示されていない場合すらあります。

ここまで主に依頼者側の意識の整理をしましたが、次にIT業者がソフトウェアのアップデートを積極的にワークできないと思われる理由を挙げてみます。

  1. セキュリティ対策の責任とコストについて顧客と業者間でコンセンサスが取れていない。
  2. サーバソフトウェアのバージョンアップを行うとWebサービスに不具合が生じる可能性がある。
  3. サーバソフトウェアのバージョンアップに伴う作業が非常にデリケートでサービス停止のリスクがある。
  4. サーバ運用を担当している業者とWebサービスを開発している業者が異なり責任を負えない。
  5. サーバソフトウェアのバージョンアップを実施する前にWebサービスの十分な動作検証が必要。
  6. そもそも脆弱性の発端は不正アクセス手法を考え出した犯罪者なので、そのコスト負担に疑問がある。
  7. 常時告知されるセキュリティ喚起情報を収集し、脆弱性がWebサービスに及ぼす影響を調査するコストが高い。
  8. "敵"の概念が希薄で性善説を前提とする民族的な習性がハッキング行為をイメージできない。

サーバ運用担当者は常日頃からサービスの永続性の確保について大変なプレッシャーの中で仕事をしています。したがって、安定稼働しているシステムに手を加えることを嫌がりますし、そのように教育を受けている場合もあります。良く言えばお客様のサービスが停止することを懸念して積極的なアップデートを推奨しません。悪く言えばリスクにコミットするのが面倒ということでしょうか。

ちなみに最大手のG社においてもセキュリティ情報の喚起は行いますが、アップデートを「やってくれる」ということは無いようです。

もしかしたら、依頼者様の立場からすると「そんなのお前らプロの責任だろ!」「契約をちゃんと守れ!」の一言で片付けられていまう事かもしれませんが、過去にサーバ運用ビジネスをしていたことがある私の経験から、身勝手ながらこの様な心理状況があることがある、ということを包括的なITリスク管理を担当する方などに参考程度にしていただければ幸いです。