脆弱性対策、できていますか？

Webアプリケーションに対する外部からの攻撃により、個人情報や企業機密の漏洩 、Webサイトの改ざんなどといったセキュリティー事故が近年多発しています。例えば、お客様情報(IDやパスワードなど)やクレジットカード関連の情報といったものは、攻撃者に狙われやすい情報の一つです。このような情報が一度でも外部に漏洩すると、企業としての信頼が失墜し、場合によっては今後の経営に支障をきたすこともあり得ます。Webアプリケーションへの外部からの攻撃を防ぐにはどうしたらいいでしょうか。

1. Webアプリケーションへの攻撃の種類

2. 悪意を持った攻撃者は、Webアプリケーションに存在する脆弱性(セキュリティー上の弱点)を狙います。Webアプリケーションの脆弱性を狙った攻撃は、例えば以下のようなものが存在します。
3.  

• ●SQLインジェクション攻撃：データベースの参照や更新を行う文字列を不正に入力する

●総当たり攻撃：ログイン情報（IDやパスワード）を総当たりで試行することでログイン情報を不正に割り出す
●バッファーオーバーフロー攻撃：Webアプリケーションの処理に関するプログラム上の仕様を利用し、アプリケーションの停止やプログラムの不正実行を狙う

これらの攻撃を受けると、お客様情報の漏洩やWebアプリケーションの停止、改ざんといった被害があります。しかしながら、これらの攻撃に対して、脆弱性診断により必要な対策を明らかにし、適切に対応することでそのリスクを大幅に減らすことが可能です。

脆弱性診断とは

システム上の脆弱性やセキュリティーの弱点を網羅的に検査することが脆弱性診断です。脆弱性診断ではプラットフォーム診断とWebアプリケーション診断の２つの異なる側面から総合的に診断すると、よりリスク低減につながります。
プラットフォーム診断では、OS・ミドルウエア等のプラットフォームに対し、既知の脆弱性の有無を確認します。
Webアプリケーション診断ではユーザーが利用するWebアプリケーションに対し、様々な攻撃を試行して安全性を確認します。
また、アプリケーションの用途や特性に沿った診断を行うことも考慮に入れる必要があります。例えば、クレジットカード情報を扱うWebアプリケーションでは通常のWebアプリケーションと異なり、PCI DSS という基準に従う必要があるので、考慮するべきです。。

脆弱性診断のタイミング

ではどのようなタイミングで脆弱性診断を行うとよいでしょうか？
開発およびリリース後も安全なWebアプリケーションを提供するには、以下の手順とタイミングで脆弱性診断を行うとよいでしょう。

●Webアプリケーションをリリースする前
既知の脆弱性に対して対策を行わずにWebアプリケーションをリリースしてしまうと、攻撃者の格好の標的となってしまいます。脆弱性診断を行い、既知の脆弱性をなくしておきましょう。

●Webアプリケーション公開後にも定期的に
企業に勤める人は最低年１回健康診断を受診しますが、セキュリティーに関しても同様です。WebアプリケーションやOS・ミドルウエアなどのプラットフォームに関する脆弱性は日々世界中で発見されています。定期的な診断で脆弱性に対するリスクを減らしましょう。

脆弱性診断サービスを利用して安全なWebアプリケーションの公開を

適切な脆弱性診断には、高い専門性が必要になるため、脆弱性診断に特化したサービス提供企業やコンサルタントに依頼するのが一般的です。

脆弱性診断サービスでは、脆弱性が見つけるだけでなく、見つかった場合の暫定的な対応、恒久的な対応について助言が得られる場合があります。そのため、複雑かつ巧妙なサイバー攻撃に対して出来る限りリスクを減らし、安全なWebアプリケーションを提供するために脆弱性診断サービスを利用する企業が増えています。万が一、セキュリティー事故を起こしてしまったら損害は計り知れません。起きる前にしっかりと対策をしておきましょう。

　※記載されている会社名、製品名、サービス名は各社の商標または登録商標です。

　※記載されている情報は、記載日時点のものです。現時点と異なる場合がありますので、あらかじめご了承ください。