セキュリティ
情報処理推進機構、Webサイトの脆弱性対策に関する注意喚起
情報処理推進機構は5月9日、Webサイトへの攻撃事件・およびその被害が目立っていることを受け、Webサイト運営者に対策の徹底を呼びかけるための注意喚起を発した。
近ごろ、Webサイトを用いたサービスが増加、多様化しており、企業活動の中核として位置づけられているものも少なくない。こうしたサービスでは、製品やサービス提供の決済機能を有するものが多く、氏名や住所などの個人情報のほか、クレジットカード情報など重要な情報が取り扱われている。他方、これらのサービスに対する妨害行為や、企業が保有する重要情報の奪取を意図した悪質な行為が目立ってきている。これらの事件の中には、Webサイトの脆弱性を狙った攻撃によって情報が漏えいし、事業の継続に多大な影響を及ぼす結果となったものも複数存在する。例えば、2010年に起こったアウトドア用品のサイトにおける1万件以上の情報漏えい、オンラインゲームのサイトにおける18万件以上の個人情報の漏えいなどだ。
Webサイト運営者に対し、顧客情報の保護および事業継続の観点から、Webサイトにおける脆弱性対策の今一度の確認と、徹底を図るよう呼びかけている。具体的には、
1.サーバーにおける脆弱性対策:定期的にWebサイトで使用しているOSやサーバーソフトウェアの脆弱性対策を、ベンダー情報や脆弱性対策データベース「JVN iPedia」などを活用して実施する。
2.Webアプリケーションの脆弱性対策
脆弱性診断を実施するなど、Webアプリケーションの脆弱性を再確認する。脆弱性が見つかった場合は脆弱性を修正する。ウェブアプリケーションファイアウォール(WAF)などの活用も検討する。
3.ネットワーク利用における対策
ファイアウォール、ネットワーク監視、アンチウイルスなどの対策を実施するとともに、ネットワーク上でやり取りされる情報の暗号化による保護などで、リスクを低減する。
4.重要な情報の保護
万一、ウイルス感染や不正アクセスをされた場合でも、情報へのアクセス制御の実施や、重要な情報の暗号化などで多段の防御をする。
5.日常的な運用監視と事後対応
日々、アクセスログの分析や、データベースへのアクセス監視で、攻撃をいち早く検知できる仕掛けや体制を整備する。万が一事件・事故が発覚した場合は、それに対応するマニュアルや体制を事前に確立しておくことで、二次被害を最小限に留めるように備える。
(川原 龍人/びぎねっと)
[関連リンク]
プレスリリース(pdf)