残念なことに、「悪意を持ったハッカー」つまりクラッカーからの攻撃を完全に防御できるセキュリティはありません。

当然ですが、多額の費用をかければセキュリティは向上します。

しかしセキュリティを破られたときの損失と比較して大きすぎるコストは経済合理性を欠きます。

よって費用対効果をよく見極めた上でセキュリティを考えなくてはなりません。

なぜクラッカーに勝てないのか

クラッカーは幾つかの種類に分かれます。

単に目立ちたいだけ、という者もいれば、政治的なメッセージを持った者もいますし、最終的に乗っ取ったサーバーを基点に大量の個人情報を盗み出したり、金融機関をクラックする者もいます。

また、欧米ではそうした人材を高額で雇うセキュリティ会社もあるため「就職活動」の意味合いを持つ場合もあります。

さて、単に目立ちたい者の場合、いわば腕自慢ですからここに経済合理性はありません。

つまりいくら時間というコストをかけても、そのセキュリティを破ることで注目を集めることが出来ればよいのであり、Webサイトやシステムを運用している企業が経済合理性に欠ける決定が出来ないことを考えるとこの時点で相手のほうが有利です。

また政治的なメッセージを発信したがるものについても同様です。

次に大量の個人情報を盗み出す、また金融機関等へのクラックを行うものについて言えば、これは彼らにとって大きな利益をもたらすものとなりますからかける時間もコストも大きくなります。

「彼らにとってそれをやる価値」があるからですが、企業がそれに対抗しうるセキュリティを構築することは予算的に不可能です。

また「就職活動」となっているものについても同様です。

欧米では年収が億を超えるハッカーも多くあり、得られる利益は大変大きいものです。

「経済合理性」に縛られている企業はこうしたクラッカーたちに勝利することは非常に難しいと言えます。

「破られる前提のセキュリティ」

こうした現実を知ることは大変重要です。

こんなジョークがあります。

「攻撃を受けても、セキュリティが動作し最終的に情報漏えいがなければ、欧米では「ラッキーだった、セキュリティを動かしていて良かった」となる。

しかし日本では、経営幹部が「なぜ攻撃されたんだ！セキュリティは何の意味もないじゃないか！」と担当者を叱り飛ばす」

大切なのは、情報漏えいなどの経営事故が起こらないようにすることです。

極端に言えば、そのためならサーバーを落とそうがメールが一時的に不通になろうが構いません（もちろん動作が正常であることに越したことはないのですが）。

そして、攻撃を受けてトラブルが起きても、「早急に復旧できる仕組み」を持つことが重要です。

地震を起こさないようにすることは出来ませんが、地震からの復旧を早くすることは備えによって可能ですね。

これと全く同じです。

こうした考え方は近年だいぶ広まっていますが、Webma!でも同様です。

過去30日分のバックアップを常に保有し、すぐに復旧できるようにしてあります。

大手企業も含め、たいてい復旧には数日から数週間、長ければ数ヶ月かかることもあります。

Webma!では24時間以内の復旧が可能です。

また侵入経路調査も管理画面内ログを取得していますからすぐに分かるようになっています。

ECサイト（通販）を運用されている方もおられますが、Webma!ではサーバー内にクレジットカード情報をおくような決済システムは一切利用していません。

これも、「最悪サーバー内データが漏出してもエンドユーザーに経済的な被害を与えないため」です。