Googleハッキングに対する企業の防衛策とは!?：Googleハッキング【第2回】

Googleハッキングは、必ずしも洗練されたテクニックを必要としない。あなたの会社がGoogleハッキングの餌食になれば、大きなリスクを背負うことになる。餌食になった企業の数を推測するのは不可能だが、潜在的には驚くような数に上るはずだ。

[Michael S. Mimoso，TechTarget]

嵐を越えて

　米Google検索で「weather」と入力すると、最初に表示される結果はウェザーチャンネルのサイトである。同社でネットワークアーキテクチャを担当するディレクター、ジョン・ペンロッド氏は、マーケティングという観点では、同社のサイト（www.weather.com）が最上位にランクされるのを喜ばしく思っている。しかしセキュリティという面では、同サイトに対する悪意のあるクエリーがもたらす危険性の大きさを同氏は認識している。

　ペンロッド氏によると、同氏が率いるグループはこれまで、ハッカーの攻撃をことごとくはねのけてきたという。これは、効率的なQA（品質保証）プロセスに加え、ウェザーチャンネルでのWeb開発に対して適用している厳格なセキュリティ／コード審査によるところが大きい。専門家によると、これらはGoogleハッキングに対する企業の防衛策として最善の手段だという。

「われわれにとって最も重要なことは、ブランドの保護である。起こり得る最悪の事態とは、われわれのサイトが攻撃されたり、ダウンさせられたりすることだ」とペンロッド氏は話す。

　リスク評価の内容としては、情報流出の責任とリスクを調査し、あなたの会社が一般に公開してもよいのはどんな情報であり、失っても構わないと考えているのは何であるのかを確認することなどがある。どの情報資産がWebとつながっており、それらがセキュアであるのかどうかを把握することは不可欠である。Web上でのプレゼンスが急速に拡大している企業にとって、これは容易に解決できない課題である。厳格な社内ポリシーによって、Web上でアプリケーションを運用する場合の要件を明確化しなければならず、また、マネジャー、管理者、開発者の全員がこれらの規定に署名しなければならない。プロセスを定期的にポリシー化する必要もある。

　The Weather Channelサイトの新バージョンがQA段階に入ると、確立したセキュリティプロセスに従っているかどうか社内チームによる審査を受けた上で、本番用として立ち上げられる。バックエンドの管理部門はインターネットから切り離されている。これは強固な戦略である。検索エンジンの検索対象は無差別であり、保護されていないファイルや多くの機密情報が含まれたファイルがWeb上で見つかる可能性があるからだ。

「QAチームは、一般の人々がアクセスできるあらゆるファイル、あらゆるディレクトリをチェックする。ブラウザで見えないからといって、発見されないと思い込んではならない」とペンロッド氏は話す。

「OSがセキュアであり、Webサーバアプリケーションがセキュアであり、ダイナミックコンテンツ作成プロセスが最初からセキュアであることを確認することが重要なのである」（同氏）

　防御メカニズムとしては、「robot.txt」（ロボットを排除するための標準的ファイル）などのテキストファイルをルートディレクトリに含めるといった単純な方法もある。robot.txtは、Googleのスパイダーがディレクトリをキャッシングするのを防止する。「NOARCHIVE」や「NOSNIPPET」といったメタタグを使用することによって、Googleが特定のページをキャッシングするのを防ぐという方法もある。また、アプリケーションをパスワードで保護することによってGoogleを排除することもできる。

　米コンサルティング会社、ビジラーでソリューション技術マネジャーを務めるデイブ・シャックルフォード氏は、「われわれがGoogleハッキングの結果を見せると、誰もが信じられないというような反応を示す」と話している。

「彼らは毎日、Googleを利用している。Googleは、悪意がないクエリーで利用する分には客観的なツールだ。だが、企業が公開したくない情報を見つけるのにも利用されるのだ。彼らはそのことを知ってびっくりする」（同氏）

　企業は、Googleハッキング対策にスタッフを投入する必要もある。自社に対してクエリーを実行することにより、ハッカーに先を越される前に、危険にさらされている貴重な情報を見つけ出さねばならない。センシティブなページがオンライン上で見つかった場合、それらのページをディレクトリから削除するか、パスワードで保護すべきである。また、オンラインフォームを通じて、これらのページを検索結果およびそのキャッシュから削除するようGoogleに要求することも忘れてはならない。

　Google検索で上位にランクされることを望むThe Weather Channelのようなサイトにとってのジレンマは、排除テクニックを使用すれば、検索エンジンでの自社サイトのランキングに悪影響が及ぶ恐れがあることだ。

「われわれはもちろん、Googleが当社のサイトを見つけることを望んでいる。ビジネスにとってプラスになるからだ。だがセキュリティという観点から言えば、当社のサイトがGoogleで見つからないことが望ましい。われわれはすべてをはかりに掛けて、リスクを比較評価しなければならない」とペンロッド氏は話す。