こんにちは。「クロジカサーバー管理」 IT/テックライターのkait78です。
企業のホームページやWebサイトを動かしているサーバーには、企業の機密情報が保持されている場合や多数のお客様がサービスを利用している場合があります。このサーバーが故障・乗っ取り被害に遭った場合、どのようなリスクがあるのでしょうか。今回はサーバー障害・乗っ取り被害に遭った他社事例からサーバー管理の重要性をご紹介します。
サーバー管理を怠ることによるリスク
はじめに、サーバー管理を怠ることによるリスクについて説明します。
経済産業省「中小企業のサイバーセキュリティ対策」によると業種や事業規模を問わず中小企業がサイバー攻撃の被害に遭った場合、数千万円の損害が発生する恐れや、自社のみならず取引先も含めて操業が停止する可能性があります。
それでは、サーバー管理を怠ることによる具体的なリスクを見ていきましょう。
企業のブランド・信頼性などの損害
サーバーの停止により、企業ホームページやサービス提供が停止されてしまった場合、企業のブランド・信頼性などの損害が発生します。これは「無形損害」と呼ばれ、直接的な金銭的損害はありませんが顧客離れや株価の下落に繋がります。これらの損害は長期化することがあり、イメージの回復には時間を要する傾向があります。
金銭的な損害
サーバーが停止することにより、金銭的な損害も発生します。具体的には、システム停止に伴う機会損失や、個人情報が漏えいした場合には、お客様への損害賠償や被害者サポートの窓口コールセンターの開設、弁護士費用等が必要です。また、行政的な罰則による損害等も発生します。
▼セキュリティ事故が起きた際の損害についての詳細記事はコチラ
【システム・Web担当者向け】セキュリティ事故が起きると生じる6つの損害
システム障害の原因
サーバー管理を怠ると企業のブランドや金銭的な損害が発生することが分かりました。それでは、なぜサーバーが故障したりセキュリティ事故が発生してしまうのでしょうか。システム障害の原因について見ていきましょう。
ハードウェア障害
一つ目の障害の原因としてハードウェア障害が挙げられます。サーバーは精密機器であり、ファンやバッテリー、CPU、ハードディスクなどで構成されています。機器の寿命によりサーバーが故障した場合にシステム障害となります。
ハードウェア障害は避けることはできませんが、設置環境(温度・湿度・ホコリなど)により寿命を延ばすことが可能です。また、システムの冗長構成を組むなどしてハードウェア障害に強いシステムを組むことも重要です。
設定・作業ミス
設定・作業ミスによってシステム障害が発生する場合があります。人間は間違える(ミスをする)動物です。設定コマンド手順を飛ばす場合や見誤る場合などヒューマンエラーが必ず発生します。ヒューマンエラーをできる限り防止するため、ダブルチェックや手順書の整備など十分な準備が重要です。
プログラムの不具合
プログラムの不具合によってシステムが正常動作しない場合もあります。新規機能追加や新システム開発時などによく見られます。これは新機能について十分な検証・テストができていないためです。プログラムの不具合をバグと呼び、バグによって特定の条件下では機能が正常に動作しなくなってしまいます。バグの発見後は速やかに原因を特定しプログラムの修正が必要です。
セキュリティ対策不足
セキュリティの不備はサーバーを脅威にさらす可能性があります。プラグインやソフトウェアの脆弱性を放置していたり、認証システムが弱い場合、サイバー攻撃者の標的になってしまいます。定期的にセキュリティ対策を実施することが重要です。
▼セキュリティ対策について詳しい解説記事はコチラ
・WordPressのセキュリティ対策とは?知っておきたい対策方法を解説
・【Web担当者編】経済産業省のECサイトセキュリティガイドライン|注目ポイントなど要約解説
システム障害の他社事例
ここまでシステム障害が起こる要因についてご紹介しました。次に、企業が起こしてしまった実際のシステム障害事例についてご紹介します。
参考:IPA「情報システムの事故データ 情報システムの障害状況2017年後半データ」
長期間にわたるシステム不具合
通信会社A社(仮名)では、約2週間に渡りシステムの不具合が続き、情報発信ができない状況となっていました。原因調査の結果、メール配信ソフトの不具合であることが判明しシステムの修正により復旧したとのことです。このように、システム不具合の原因特定が長引いたり、不具合の改修に時間を要した際は数週間単位でお客様影響が出てしまう場合があります。
他にも、通信会社B社(仮名)では約24時間、日本の広い範囲でインターネットが繋がりにくくなる事象が発生しました。この障害の影響利用者数は5万人と試算されています。原因はDNSサーバーの設定不備とされています。この場合も部署間のコミュニケーションエラー(ヒューマンエラー)が起因となっており、原因の特定に時間を要したそうです。
大規模な個人情報流出
フリマサイトを運営するC社(仮名)では、約5万人という大規模な個人情報流出の可能性があったとして問題となりました。流出した情報は銀行口座やクレジットカード番号下4桁、個人を特定される情報もあったとされています。このように、ECサイトなど決済機能のあるシステムの個人情報流出は非常に危険であることが分かります。
本流出事故は、サーバー切替作業時の設定ミスでユーザーが利用したデータのキャッシュを別ユーザーへ配信してしまっていたことが原因でした。(キャッシュとは、一度閲覧したページの情報を、サーバーやブラウザに一時的に保存しておく仕組みのことです。)近年の技術進歩によりシステムやプログラムは複雑化しており、セキュリティの想定外事象が起きやすくなっています。システム作業の危険性を把握することや作業者の専門スキルが非常に重要という事が分かります。
プログラム不具合による過請求
交通インフラ企業であるD社(仮名)は、料金システムプログラムの不具合により、通常よりも多い料金を徴収してしまっていたという事例があります。昨今のIT技術の進展により、このような非IT企業でもシステムの利用は必要不可欠です。非IT企業の場合はシステム開発や保守を外部委託している場合が多くあります。外部委託企業の選定は金額だけでなく、実績や専門性などを重視して選びましょう。
ランサムウェアによる被害
経済産業省サイバーセキュリティ課の「主なインシデント事例」によると、E病院(仮名)では、病院システムがランサムウェア攻撃の被害を受け、電子カルテが閲覧不可になったほか、診療報酬計算や基幹システムが使用不能になったという事故がありました。
これにより、被害当時は新規患者の受け入れを停止せざるを得なくなりました。サーバーを復旧させて通常診療ができるようになったのは約2ヵ月後だったそうです。セキュリティの脆弱性から不正アクセスやウイルスの侵入を許してしまうと、悪意のある第3者がシステムを自由に操作できるようになってしまいます。このように、基幹システムの障害が発生すると企業活動が満足にできず、収益等に大きな被害をもたらします。
サーバー管理は専門会社へ
サーバー管理を怠ると、ハードウェア障害やセキュリティ事故、プログラムの不具合から多額の損害や企業ブランドの失墜に繋がるという事を企業事例と共にご紹介しました。しかし、サーバー管理は非常に奥が深く、長い時間と専門的なスキルが必要です。
部署内で数人だけで対応しているサーバー担当者の方の場合はサーバーの全てを管理することは難しいかもしれません。そこで、自社のホームページやシステムを守るためのサーバー管理については、専門会社へ委託することをお勧めします。
「クロジカサーバー管理」では、お客様から任されたサーバーを24時間365日監視・保守するサービスを提供しています。セキュリティ対策やサーバー障害時も迅速な対応が可能です。
また、事業会社様のウェブサイトをデザインされるWeb制作会社様でクライアント様から「サーバー管理まで対応してほしい」というお声がある場合、Web制作会社様向けのパートナープログラムもご用意しておりますので、詳細のご質問などについてお気軽にお問い合わせください。
パートナープログラムについてはこちら
ライター:kait78
元大手通信事業者のインフラエンジニア。ネットワーク・サーバー・AWS領域でIT/テック記事に特化した記事を執筆。Webサーバーにまつわる課題や悩みに対して実務経験を基にした、現場社員目線の課題解決となるアイデアを提供します。
コーポレートサイトをクラウドでセキュアに
無料ではじめるサーバー管理
クロジカガイドブック
- コーポレートサイト構築・運用の課題を解決
- クロジカサーバー管理の主な機能
- 導入事例
- 導入までの流れ
