“人も技術もないWebセキュリティ診断サービス”を容易に選んではいけない理由Webサイトのセキュリティ診断サービス選びを再考する

Webサイトの脆弱性を突く不正アクセスを受け、情報流出を招く例は後を絶たない。既にWebセキュリティ対策の必要性が指摘され、診断ツールやサービスも普及しているにもかかわらずだ。問題はどこにあるのか。

2016年03月30日 10時00分 公開
[TechTargetジャパン]

 標的型攻撃に備えたエンドポイントセキュリティ対策やインシデントレスポンス体制の整備、内部犯行対策など、サイバーセキュリティの確保に向けた課題は多い。もう1つ、忘れてはならない分野がある。WebサイトやWebアプリケーションの脆弱(ぜいじゃく)性対策だ。

 情報提供や通信販売、会員向けサービスといったさまざまな目的に合わせ、複数のWebサイトを運用している企業は少なくないだろう。もしこれらのWebサイトに脆弱性が存在すると、外部からの不正アクセスを許し、最悪の場合は顧客の個人情報流出や改ざんによるマルウェア配布につながる恐れがある。事実、2016年に入ってからだけでも、食品メーカーやゴルフ情報提供サイトなど複数の企業がWebアプリケーションの脆弱性を突かれて不正アクセスを受け、顧客の個人情報が流出してしまったと報じられている。

 「SQLインジェクション」「クロスサイトスクリプティング」(XSS)といったWebアプリケーションの脆弱性自体は、数年前から知られていた問題であり、対策の必要性も繰り返し指摘されてきた。中には「今さらそんな問題に悩ませられるなんて」と驚く技術者もいるかもしれない。しかし残念ながら、多くのWebアプリケーションにとって脆弱性は「現在進行形」の問題だ。日本のセキュリティ企業大手として知られるラックによると、Webアプリケーション診断の結果、全体の74%のサイトで、修正が必要な脆弱性が発見されているという。うち35%には情報漏えいや不正侵入につながる深刻な問題が存在していた。

 Webアプリケーションのセキュリティの必要性が知られ、脆弱性を見つけ出すツールやサービスが多数登場しているにもかかわらず、なぜこのような事態になっているのだろうか。


提供:株式会社ラック
アイティメディア営業企画/制作:TechTargetジャパン編集部