そのタグ大丈夫? Webサイトにタグを貼る前にチェックしたい2つのこと
今日は、Webサイトで使う「タグ」について。広告・解析・ソーシャル・ウィジェットなど、さまざまなタグがありますが、そのタグをサイトに貼って大丈夫なのか、事前にちゃんと確認していますか?
あなたは、Webサイトやブログに「タグ」を貼り付けるときに、「このタグ、サイトに貼り付けて大丈夫かな」と気にしたことがありますか?
ソーシャルメディアのボタン、アクセス解析、広告、表示ウィジェットなど、さまざまなタグがありますが、この記事では、「タグをWebサイトに貼る前にチェックしたい2つのこと」を解説します。
その2つとは、次のものです。
そのタグのシステム運営者は、セキュリティをどの程度ちゃんと確保しているのか
そのタグのシステムは、稼働率や応答時間がどの程度か
それぞれ解説します。
そのタグのシステム運営者は、セキュリティをどの程度ちゃんと確保しているのか
タグを貼り付けると、もうそのタグはそのページをどうにでもできます。サーバー側のシステムには(そのままでは)入り込めませんが、タグは、ユーザーに表示されるページを、ほぼどのようにでも変更できるのです。
つまり、ちょっとステキなデザインのソーシャルボタンを付けるために張り付けたタグが原因で、そのページが訪れる人のパソコンにウイルスを送り込むページになってしまったり、ページにグロ画像が表示されるようになってしまったりする可能性があるのです。
どれだけWebサイトを運営しているサーバーがセキュリティを確保していても、ページに貼り付けたタグの運営システムがセキュリティ的に問題のある状態であれば、そういうことが発生し得ます。
タグで問題が発生するのは、たとえば次のような場合です。
- タグの内容を配信しているシステムに悪意のある人間が侵入し、タグから配信する内容を変更する。
- タグを出しているシステムのドメイン名のDNSシステムを悪意のある人間が乗っ取り、本来のサーバーとは異なるサーバーからタグの内容を配信する。
- タグを貼るサイトが増えた時点で、タグを出しているシステムの運営者が、悪意をもってタグから配信する内容を変更する。
- タグを通じて配信される内容として、悪意のある人間が不正な内容を登録する(広告サービスなどの場合)
では、どうすればこうしたことを防げるのでしょうか。
まずは、そのタグのシステムの運営者を信頼できない場合は、タグを貼り付けない。これが一番です。
業務で使う場合などは、運営者に対して、次のように確認することです。
御社ではどういったセキュリティ基準でシステムを構築・運営しているのか?
そのシステムは、どの程度の頻度でどういったセキュリティ監査(チェック)を受けているのか?
これに対する回答が次のようなものでは、信用できません。
セキュリティはちゃんとしてます
業界トップクラスのセキュリティです
期待するのは、たとえば次のような第三者が策定した基準に則っており、可能ならばそれを証明できることです。
IPAの安全なウェブサイトの作り方に準じています
クラウドセキュリティアライアンスのガイダンスやCCMに準じています
OWASPのソフトウエアセキュリティ保証成熟度モデルに準じています
政府機関の情報セキュリティ対策のための統一基準群に準じています
ISO 15408認証を取得しています
ISMSをとっています
米国国防省 国防情報システム局のセキュリティ評価基準に準じています
セキュリティの監査に関しては、まずは定期的に行っていることが大切ですが、さらに第三者が定期的に行っていることが望ましいです。
監査に関する回答としては、前述のようなセキュリティ基準に則っているか、クラウドセキュリティ推進協議会の「クラウド情報セキュリティ監査制度」に則っているか、大手のセキュリティ企業の提供する監査サービスを利用しているといったものであれば、安心できそうです。
そのタグのシステムは、稼働率や応答時間がどの程度か
タグの実装方法にもよりますが、タグの内容を配信しているシステムが止まっていたり反応が遅かったりすると、サイト訪問者にとっては、ページの表示が遅くなっているように見えます。
タグを貼り付ける前に、次のようなことを確認したいところです。
そのタグの動作にかかわるシステムの可用性(稼働率)はどの程度なのか?
そのタグの動作にかかる時間の平均値や中央値はどの程度なのか?
この場合、「うちのシステムは99.9%の稼働率です」といわれても、数字が大きいからといって感心してはいけません。障害が0.1%あるということは、年間で8.76時間も止まっているということなのですから。
ちなみに、本来は「稼働率」ではなく「可用性」を確認します。つまり、「システムが稼働しているか」ではなく、「最終的にサイト訪問者が問題なくタグの内容を利用できるか」で判断することが大切なのです。
また、「SLA(サービスレベル合意書)」があるかどうかも確認しましょう。SLAとは、可用性や応答速度がどういった品質で提供されるかを明示したもので、その品質を満たせなかった場合にサービス提供側が顧客に対して何をするか(返金など)を契約として明示するものです。
SLAを用意するということは、そのサービス品質を守るための仕組み作りをしていることの現れですから、それだけでも価値があります。
現状ではまだまだ、でも利用者が意識しておくことが大切
ちなみに、私の経験からいうと、上記のような質問に対して、「それなら安心だ」という回答をできるサービス提供者は、Webサイトで使うタグの類では、ほとんどありません。
まぁ、無料サービスなら当然かもしれませんが、費用のかかるサービスでも、ちゃんと回答できるところは多くないようです。
もちろん、セキュリティの確保やサービス品質の確保にはコストがかかるのは事実です。だから、サービスによっては後回しにしてしまうのも、ある意味では仕方のないことかもしれません。
でも、利用側がこうしたことをサービス提供者に問い掛け続けることは、業界全体としてセキュリティへの意識を高めるために大切なのではないかと思います。
御社のWebサイトに貼り付けているタグ、大丈夫ですか?
ソーシャルもやってます!