Googleハッキングは、必ずしも洗練されたテクニックを必要としない。あなたの会社がGoogleハッキングの餌食になれば、大きなリスクを背負うことになる。餌食になった企業の数を推測するのは不可能だが、潜在的には驚くような数に上るはずだ。
米Google検索で「weather」と入力すると、最初に表示される結果はウェザーチャンネルのサイトである。同社でネットワークアーキテクチャを担当するディレクター、ジョン・ペンロッド氏は、マーケティングという観点では、同社のサイト(www.weather.com)が最上位にランクされるのを喜ばしく思っている。しかしセキュリティという面では、同サイトに対する悪意のあるクエリーがもたらす危険性の大きさを同氏は認識している。
ペンロッド氏によると、同氏が率いるグループはこれまで、ハッカーの攻撃をことごとくはねのけてきたという。これは、効率的なQA(品質保証)プロセスに加え、ウェザーチャンネルでのWeb開発に対して適用している厳格なセキュリティ/コード審査によるところが大きい。専門家によると、これらはGoogleハッキングに対する企業の防衛策として最善の手段だという。
「われわれにとって最も重要なことは、ブランドの保護である。起こり得る最悪の事態とは、われわれのサイトが攻撃されたり、ダウンさせられたりすることだ」とペンロッド氏は話す。
リスク評価の内容としては、情報流出の責任とリスクを調査し、あなたの会社が一般に公開してもよいのはどんな情報であり、失っても構わないと考えているのは何であるのかを確認することなどがある。どの情報資産がWebとつながっており、それらがセキュアであるのかどうかを把握することは不可欠である。Web上でのプレゼンスが急速に拡大している企業にとって、これは容易に解決できない課題である。厳格な社内ポリシーによって、Web上でアプリケーションを運用する場合の要件を明確化しなければならず、また、マネジャー、管理者、開発者の全員がこれらの規定に署名しなければならない。プロセスを定期的にポリシー化する必要もある。
The Weather Channelサイトの新バージョンがQA段階に入ると、確立したセキュリティプロセスに従っているかどうか社内チームによる審査を受けた上で、本番用として立ち上げられる。バックエンドの管理部門はインターネットから切り離されている。これは強固な戦略である。検索エンジンの検索対象は無差別であり、保護されていないファイルや多くの機密情報が含まれたファイルがWeb上で見つかる可能性があるからだ。
「QAチームは、一般の人々がアクセスできるあらゆるファイル、あらゆるディレクトリをチェックする。ブラウザで見えないからといって、発見されないと思い込んではならない」とペンロッド氏は話す。
「OSがセキュアであり、Webサーバアプリケーションがセキュアであり、ダイナミックコンテンツ作成プロセスが最初からセキュアであることを確認することが重要なのである」(同氏)
防御メカニズムとしては、「robot.txt」(ロボットを排除するための標準的ファイル)などのテキストファイルをルートディレクトリに含めるといった単純な方法もある。robot.txtは、Googleのスパイダーがディレクトリをキャッシングするのを防止する。「NOARCHIVE」や「NOSNIPPET」といったメタタグを使用することによって、Googleが特定のページをキャッシングするのを防ぐという方法もある。また、アプリケーションをパスワードで保護することによってGoogleを排除することもできる。
米コンサルティング会社、ビジラーでソリューション技術マネジャーを務めるデイブ・シャックルフォード氏は、「われわれがGoogleハッキングの結果を見せると、誰もが信じられないというような反応を示す」と話している。
「彼らは毎日、Googleを利用している。Googleは、悪意がないクエリーで利用する分には客観的なツールだ。だが、企業が公開したくない情報を見つけるのにも利用されるのだ。彼らはそのことを知ってびっくりする」(同氏)
企業は、Googleハッキング対策にスタッフを投入する必要もある。自社に対してクエリーを実行することにより、ハッカーに先を越される前に、危険にさらされている貴重な情報を見つけ出さねばならない。センシティブなページがオンライン上で見つかった場合、それらのページをディレクトリから削除するか、パスワードで保護すべきである。また、オンラインフォームを通じて、これらのページを検索結果およびそのキャッシュから削除するようGoogleに要求することも忘れてはならない。
Google検索で上位にランクされることを望むThe Weather Channelのようなサイトにとってのジレンマは、排除テクニックを使用すれば、検索エンジンでの自社サイトのランキングに悪影響が及ぶ恐れがあることだ。
「われわれはもちろん、Googleが当社のサイトを見つけることを望んでいる。ビジネスにとってプラスになるからだ。だがセキュリティという観点から言えば、当社のサイトがGoogleで見つからないことが望ましい。われわれはすべてをはかりに掛けて、リスクを比較評価しなければならない」とペンロッド氏は話す。
Copyright © ITmedia, Inc. All Rights Reserved.
クラウドセキュリティ運用の大きな課題になっているのが、増え続けるセキュリティアラートに優先度を設定することだ。各環境によって最重要課題は異なるため、環境に合わせて優先度を設定することが必要になる。その実現方法とは?
サイバーセキュリティではまず、攻撃サーフェスへの対策が重要だが、近年はリモートワークやクラウドの普及により、攻撃サーフェスも拡大している。しかも、サプライチェーン攻撃の増加により、中小企業でも対策は待ったなしの状況だ。
中小企業は、予算や人材の問題からセキュリティが脆弱になっているケースが多い。そのためサイバー攻撃者から“侵入しやすい標的”と認識されている。このような状況を改善するためには、インシデント対応を強化することが重要だ。
サイバー脅威の高度化に伴い、セキュリティ対策の必要性が高まっているが、具体的に何から着手すればよいのか迷う企業も多い。そこで本資料では、サイバーセキュリティの体制を整備するに当たって重要となる点を解説する。
サービスアカウントによる特権アクセスの管理に頭を悩ませるセキュリティ担当者は少なくないだろう。重要なシステムやデータを守るには、こうした特権アクセスを適切に管理し、アカウントを保護することが求められる。
数分でデータを人質に 進化するランサムウェアに有効な「第2世代EDR」とは (2025/3/4)
クラウドサービスの脆弱性をどう解消する? 安全な開発環境を構築するヒント (2025/3/4)
「複雑、高額、難しい」を変える中堅・中小向けSASEのメリットを解説 (2025/2/10)
「Box」に移行してもなくならない「お守り仕事」を根本から効率化するには? (2025/1/23)
これからのセキュリティ対策に必要な「防御側の優位性」、AIはどう実現する? (2025/1/22)
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年4月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
