johnnytherockです。
vuls Advent Calenderの19日目です。
今日も飛び入りでエントリ書いてます。
今日もポエムをばら撒きますよ!
タイトルについて
なんとなく衝撃的なタイトルにしたくて付けました。
おそらく、システム管理者で脆弱性の対処にコストをかけられずに困っている人はこう思うのでは、という所から書いています。
システムの費用は、サービスインするまでは開発費、サービスインした後は保守・運用費になるかと思います。
開発費は開発にかかる費用なので、初期投資として見られます。運用に入るとなるべくお金を出したくないので、保守・運用費は最低限必要な分にして、早く初期投資の開発費の回収をしたくなります。
おそらく、初期投資は長くても*年くらいで回収して〜という計算で考えているハズでしょう。
そんな感じなので、保守・運用は「システムが止まらない程度」で、投資を回収して当初予定の利益を出すまで、そしてずっと費用をかけずに動いて欲しいと考えるでしょう。
さて、そんなところで脆弱性が出た場合なんてのは考えていないので、脆弱性が出たらパッチを当てて試験をして、動かなくなった場合はそこを修正して動くように直す、なんてことにコストがかかるなんてことは最初から眼中にありません。そうです。アウトオブ眼中(死語)です。
また、構築したシステムも壊れるまであるいはサービスか会社が無くなるまで利益を出し続けてくれればいいので、未来永劫そのままで使えるものだと考えてしまいがちです。
(たまにまだそんなの使っているの!?とかありますね。WindowsXPもサポート切れても使うとか)
状況の変化
インターネットにサーバを公開して、攻撃されないのどかな時代であればそれでよかったのかもしれません。
今はそこら中にクラッキングツールがばらまかれ、常に脆弱性がないかとスキャンされ、脆弱性が見つかって攻撃コードができるとすぐに攻撃されてサーバが停止するか、乗っ取られて個人情報が抜かれるという時代になっています。
(そして警察ががんばって捕まえているのに、未だに自分は見つからないと思う中学生とか高校生とかむしゃくしゃしてやった、今はむしゃむしゃしている、という人も無くならないので面倒ですね。)
管理者としては事故が起こると真っ先に「何をしていたんだ!」と怒られるのも嫌なので、早くシステムを止めてパッチを当てて問題がないことを確認して復帰させたいところです。
でも上記のように保守・運用にお金をかけるという意識がないところでは、コストがかかることの理解は得難いです。
被害を数値化してみる
そんなときは被害にあったらいくらかかるか、という見える化をしてみましょう。
お詫びにかかる費用
今の個人情報1,000人分。1人500円の保証で50万円。
今後得られない売り上げ
・1,000人の顧客のうち80%の顧客が離れる -> 800人の顧客が減る
・1人の1回の単価が2,000円として1年で3回の利用と考える
800x2,000x3円、1年で480万円の売り上げ減の見込み。
もし今何もせずに攻撃を受けて3年後はどうなるか。
50万円+480万円X3年で1,490万円の損。
ということで、1,490万円損するのと、脆弱性の対策するのとどちらが得ですか?という天秤にまでかけて、ようやく判断してくれるところにまで進むかと思います。
もし、経営層が重要な指標として売り上げではなく、ページビューのような数値を気にしているのであれば、同じように計算して見せれば良いです。
経営層が気にしている数値、見ている数値にどの程度悪影響があるかを具体的に示せば良いのです。
そしてvulsは無料ですよ!ということで、バージョンアップすべきかどうかのチェックが無料でできるvulsは「脆弱性対策にお金がかかるのか?」という問いに対しては「無料のチェックツールを使うので、その分は抑えられます。その分**に〜」という回答で本当にコストをかける部分を提案しましょう。
実際、こういった思考実験や訓練は経営者が普段からやっておき、いざとなったらとりあえずシステムを止めて安全を確認する、という判断ができるようになって、システム管理者としてはルールや手順に従って安全が確認できるまでサービスを停止、安全を確認後に再開、その間の機会損失は被害額よりはるかに小さい、となることが今できるあるべき姿ではないでしょうか。
まとめ
・最初からコストがかかることを考えていないから、拒否反応がおきます
・これからシステムを構築するなら、将来の脆弱性の対策にかかる費用やシステムの更改まで*年とか先を読んで費用を確保しよう
・もうシステムが動き始めているなら、攻撃を受けた場合にどのくらい損をするのか、見える化してみよう
・vulsは無料で脆弱性があるかどうかチェックできるよ!
お後がよろしいようで。