NRIセキュアでは、2008年度(2008年4月1日~2009年3月31日)に217のWebサイトのセキュリティ診断サービス(Webアプリケーション診断)を実施。
この診断結果によると、34%のWebサイトで、他の利用者の個人情報をはじめとする重要情報に不正にアクセスできたという。また、42%のWebサイトでは、重要情報に不正にアクセスできることは確認できなかったものの、情報漏洩に繋がる可能性がある問題が確認できたという。昨年と比例して、致命的な欠陥が発見されたWebサイトの割合が昨年度より7%減少した一方で、情報漏洩の可能性があるWebサイトの比率は増加しており、逆に安全だと確認されたWebサイトの割合は減少しているという。
注目すべきは、業務システムにおいては、会員制サイトやお問い合わせサイトといった他の形態と比較して、危険度の高い問題の発見割合が高くなっているとの調査報告だ。
業務システムの特徴として、一般消費者向けのサイトとは異なり、アクセス元ネットワークが制限されている場合や、インターネットに公開されていない場合があり、多くのシステムが不特定多数からアクセスが制限されていることが挙げられるという。
NRIセキュアでは、業務システムについて「自社の社員や関係者等限られたユーザのみがアクセスできるよう制限されていることが多いため、不正アクセスを受ける機会が少ないとの思いから、十分なセキュリティ対策が検討されていない」「機密性の高い情報を扱っている場合が多く、不正アクセスを受けた場合には、業務に大きな影響を与える危険性がある」と分析。業務システムにおける徹底した権限管理を呼び掛けている。
調査では、その他、「クレジットカードを取り扱うWebサイトの問題」「投資対効果の高いセキュリティ対策」「Webサイトのセキュリティ対策におけるマネジメントサイクル」「開発工程別に分類した脆弱性発見割合」などについても取り上げている。
詳細は下記URLを参照。
【関連URL】
・NRIセキュア 「Webサイトのセキュリティ診断:傾向分析レポート2009」
http://www.nri-secure.co.jp/news/2009/0727_report.html
この記事は参考になりましたか?
- この記事の著者
-
EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)
「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
