Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

自社のWEBサイトで脆弱性が見つかった!?脆弱性の指摘を受けた場合に注意すべきポイント

  2015/09/09 06:00

 クラウドサービスなどの普及により、比較的容易に自社のWEBサイトやECサイトなどをインターネットに公開することができるようになりました。インターネットで事業を展開することで、世界中の顧客がアクセスできるため、ビジネスのチャンスが大きく膨らんだのです。その反面、WEBサイトに対するセキュリティ上のリスクも増大しています。前回はWEBサイトの開発を行う際と脆弱性検査を実施する際に押さえておきたいポイントについてご紹介しました。今回は、自社で運用中のWEBサイトで問題が見つかってしまった際に押さえておきたいポイントについて紹介します。

運用中のWEBサイトで脆弱性が見つかった!?まずどうすべき?

 外部からの脆弱性に関する連絡は、大きく2つに分けることができます。1つは、発見した人から直接連絡が届く場合です。もう1つは、独立行政法人 情報処理推進機構(IPA)から連絡がくる場合があります。

脆弱性に関する情報を受け取った企業は、事実を確認し、どんな対応をとるか検討する必要があります

脆弱性に関する情報を受け取った企業は、事実を確認し、
どんな対応をとるか検討する必要があります

 WEBサイトの課題を教えてくれる人には、WEBサイト利用者の一人として心配してくれる人や、善意で連絡をくれる人が多く存在しています。他にも、社外の関係者や取引先から教えてもらう場合などもあります。

 脆弱性に関する情報を受け取った企業は、事実を確認し、どんな対応をとるか検討する必要があります。さらに、情報を教えてくれた人に対しては、情報を受け取った旨を連絡すべきです。

 しかし過去には、なにも対応せずに連絡を放置し続けてしまった企業もありました。その結果、無視され続けた発見者は脆弱性に関する情報をインターネットに公開してしまった、ということもありました。

 脆弱性に関する情報を適切に関係者へ届けるため、IPAでは一般の人が発見した脆弱性に関する情報を受け付ける窓口が用意されています。この窓口が利用された場合、発見者からの情報はIPAを介して企業へ伝えられることになります。

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • 鈴木 勇気(スズキ ユウキ)

    株式会社ラック サイバーセキュリティ本部 MSS統括部  JSOC WEBアプリ検査業務を経て、昨年までは客先に常駐し、サイバーセキュリティ対策を支援する業務に従事。現在はラックが誇るセキュリティ監視センターJSOCに所属し、ネットワークフォレンジックの業務に従事。現在も客先での経験を忘れず、...

バックナンバー

連載:ITマネージャーのためのWebセキュリティ入門

関連記事

All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5