NRIセキュアでは、2008年度(2008年4月1日~2009年3月31日)に217のWebサイトのセキュリティ診断サービス(Webアプリケーション診断)を実施。
この診断結果によると、34%のWebサイトで、他の利用者の個人情報をはじめとする重要情報に不正にアクセスできたという。また、42%のWebサイトでは、重要情報に不正にアクセスできることは確認できなかったものの、情報漏洩に繋がる可能性がある問題が確認できたという。昨年と比例して、致命的な欠陥が発見されたWebサイトの割合が昨年度より7%減少した一方で、情報漏洩の可能性があるWebサイトの比率は増加しており、逆に安全だと確認されたWebサイトの割合は減少しているという。
注目すべきは、業務システムにおいては、会員制サイトやお問い合わせサイトといった他の形態と比較して、危険度の高い問題の発見割合が高くなっているとの調査報告だ。
業務システムの特徴として、一般消費者向けのサイトとは異なり、アクセス元ネットワークが制限されている場合や、インターネットに公開されていない場合があり、多くのシステムが不特定多数からアクセスが制限されていることが挙げられるという。
NRIセキュアでは、業務システムについて「自社の社員や関係者等限られたユーザのみがアクセスできるよう制限されていることが多いため、不正アクセスを受ける機会が少ないとの思いから、十分なセキュリティ対策が検討されていない」「機密性の高い情報を扱っている場合が多く、不正アクセスを受けた場合には、業務に大きな影響を与える危険性がある」と分析。業務システムにおける徹底した権限管理を呼び掛けている。
調査では、その他、「クレジットカードを取り扱うWebサイトの問題」「投資対効果の高いセキュリティ対策」「Webサイトのセキュリティ対策におけるマネジメントサイクル」「開発工程別に分類した脆弱性発見割合」などについても取り上げている。
詳細は下記URLを参照。
【関連URL】
・NRIセキュア 「Webサイトのセキュリティ診断:傾向分析レポート2009」
http://www.nri-secure.co.jp/news/2009/0727_report.html
