19日、NRIセキュアテクノロジーズは、2006年度に受託した146のWebサイトへのセキュリティ診断サービスの結果を分析、公開した。個人情報を含む重要情報に不正にアクセスできるサイトは全体の42%を占め、診断を実施した時点では多くのサイトがセキュリティ上の問題を抱えていたことが分かった。
診断を実施した全サイトの42%でパスワードや個人情報、注文履歴など特定の正規の利用者のみにアクセスが制限されるべき重要事項に対して、不正にアクセスできる致命的な欠陥を見つかった。また、35%のサイトで情報漏えいに繋がる可能性がある問題が発見された。これらの割合は、2005年度に比べると減少しているが、過去3年間では大幅な変化は見られていない。
年度別セキュリティ診断結果
ここ数年、不正アクセスや個人情報漏洩などのセキュリティ問題が報道され、企業のセキュリティ意識は高まっているが、セキュリティ診断で発見した危険な問題は減少していない。これはサイトのセキュリティ対策が進む一方で、不正アクセスの手法も日々進歩しているためとNRIセキュアテクノロジーズは分析している。
主要な問題別の発見割合
重要情報への不正アクセスの手段は関連チェック不足によるなりすまし、権限昇格による管理機能へのアクセス、SQLインジェクションによるデータベースの不正操作の3つが比較的多く発見されているが、2005年の結果と比較するといずれも減少。1つのサイトで複数の致命的な問題が発見されることも減った。
一方、クロスサイトスクリプティング攻撃による問題発生は、06年も例年同様50%以上の割合で発見された。まったく対策されていないサイトは減ったが、サイトを運営する過程で画面の追加や更新が頻繁に行われると対策漏れが発生するケースがあるようだ。
提供形態別セキュリティ診断結果
提供形態別では、診断を実施した業務システムの74%で致命的な欠陥が発見された。業務システムは不特定多数からの不正アクセスを受ける機会が少ないと考えられがちであるため、十分にセキュリティ対策が行われないことが多いとされている。企業内ネットワークで利用していたシステムを業務拡大に伴いインターネットに公開した際、リスクやセキュリティ要件の見直しが十分に行われないまま移行されたケースもあったという。
また、接続元のIPアドレスの制限や、デジタル証明書による認証などを行っているケースでは、不特定多数のインターネット利用者がシステムにアクセスするのを防ぐ効果はあるが、内部関係者による不正アクセスを防ぐのは難しく、十分な対策が行われていない傾向があると考えられている。
業種別では、金融機関のWebサイトの53%で致命的な欠陥が発見されたが、公開前に診断を受ける傾向が他業種に比べて高いため、運用時には安全な状態でのサービスが提供されているケースが多かった。
業種別セキュリティ診断結果
診断されたサイトはいずれもその後セキュリティ対策が施されている。しかし、利用者はWebサイトの安全性を知る手段がないため、安全性の低いサイトを利用したのが原因で情報漏えいの被害を受けてしまう危険は常につきまとう。NRIセキュアテクノロジーズはこのようなWebサイトの安全性の差を「セキュリティ格差」と呼び、その差は今後さらに広がっていくとみている。