セキュリティ事故に関するニュースが後を絶たない。米ヤフーのユーザー情報流出、JTBが標的型攻撃によってウィルス感染したことが記憶に新しいが、コンピュータセキュリティの情報収集・発信およびサイバー攻撃対応支援を行うJPCERT/CCが発表したレポートでは、2015年に起きたセキュリティ事故は年間で1万7,342件あったと報告されている(参照:JPCERT/CCインシデント報告対応レポート)。
「JPCERT/CCインシデント報告対応レポート」。毎月1,000件以上のセキュリティ事故が起きていることがわかる |
これらのセキュリティ事故はさまざまな要因から発生しているが、Webサイト・Webサービスを経由しての被害も少なくなく、個人情報が流出し、企業が信用も損なう二次被害を招く結果となっている。さらに悪いことに、セキュリティ事故は増加の一途をたどっている。
この背景を受け、年間600プロジェクト以上の検証実績を持つソフトウェアテストの専門会社・バルテスは、提供サービスである「Webセキュリティ診断」の実施結果から、最新の傾向を資料にまとめている。
サイトの脆弱性が見つからなかったのはわずか6%
資料のなかでバルテスは、2015年7月~2016年6月までに自社でセキュリティ診断を行ったBtoB・BtoC企業、公的機関など50サイトを抜粋し、各サイトの危険度を評価している。
結果は、顧客に重大な被害が及ぶ可能性があると検出されたのが全体で64%、反面、サイトの脆弱性が見つからなかったのはわずか6%であった。また、バルテスが危険度の度合いから再診断の必要があると評価したサイトは全体の84%と、いかにセキュリティリスクを抱えたWebサイトが多いかを露呈する結果となった。
危険度をA~Eランクで評価。顧客に重大な被害が及ぶサイトは全体の64%という結果となった |
資料ではこのほかにも、検出された脆弱性の種類と傾向、1サイトで検出される脆弱性の数なども紹介している。⇒結果の詳細はこちら
ベストな脆弱性の検出方法とは?
では、これらの脆弱性を見つけるにはどのような手段がよいのか。バルテスは、有効なセキュリティ診断として、機械的に脆弱性を検証するスキャナを利用した「ツール診断」と診断員がツールの特性を理解したうえで実施する「手動診断」の組み合わせが大切であると述べている。
その「ツール診断」と「手動診断」を組み合わせたものとして、資料では、バルテスの「webセキュリティ診断」サービスが紹介されている。本サービスは、ツールだけでは検出できない脆弱性を発見でき、さらに対処方法を明記した報告書の提出、無償での再診断(1回のみ)も実施しているという。
Web担当者で、まだセキュリティ診断を実施したことがない、これまでのセキュリティ診断では不安に思うという方は本資料をぜひご覧いただきたい。
(マイナビニュース広告企画:提供 バルテス)
[PR]提供:ホワイトペーパー