インターネットに接続されているファイヤーウォールや、外部に公開しているWebサイトなどは、常に不正アクセスや攻撃の脅威にさらされています。
発見された脆弱性を狙って攻撃方法も変わってきており、定期的なセキュリティの確認が必要です。
JIPDECとITRが発表した「企業IT利活用動向調査2019」では、Webサイトへの不正アクセスとなりすましメールによる不正アクセスが増加しているという調査結果が出ました。
出典: JIPDECとITRが「企業IT利活用動向調査2019」の速報結果を発表
WEBサイトは24時間365日、不正アクセスと改ざんの脅威にさらされています。
不正アクセスにより何が起きるか
被害だけでなく信用喪失
SQLインジェクション攻撃を用いた複数回にわたる不正アクセスがあり、サイト利用者のメールアドレスとパスワードの組み合わせ約24万件、メールアドレスのみ約3万件が流出しました。
サイトの訪問者にも被害
第三者からの不正アクセスにより、Webサイトの閲覧者を悪意あるサイトへ自動的に誘導するよう、Webサイトが改ざんされていたことが判明しました。
他サイトに不正アクセスの踏み台
不正ログインによって、攻撃者は被害者のアカウントを使って、外部の組織に対して大規模なDDoS攻撃を行ったり、スパムメールを送信の攻撃に利用されました。
以下のリンクから、セキュリティ診断のサンプルをダウンロードすることができます。
WEBセキュリティ診断サンプル(PDF)ネットワークセキュリティ診断サンプル(PDF)
ネットワークセキュリティ診断サンプル(PDF)
ファーストタッチ・アプローチ
セキュリティ診断では「ファーストタッチ・アプローチ」という流れで診断を実施しています。
「ファーストタッチ」は、検査対象となるサイトへ ツールを使用して全体的な簡易検査を実施します。
この簡易検査の結果から、重点的に調査する項目を洗い出して、より詳細なセキュリティ診断を実施します。
もし、ファーストタッチの時点で重大な脆弱性や問題が発見された場合には、診断を中止しお客様の対応完了後に再検査を実施します。
セキュリティ診断の費用を無駄にすることがありません。
セキュリティ診断の例
あるWebサイトのリリース前のテストで、セキュリティ診断をかけたときの例をご紹介します。
セキュリティ診断
リリースを控えたWebサイトは、Apache Tomcatを使用したJavaアプリケーションとMySQLのデータベース、そしてApache httpdサーバーとPHPで構成されるWebサイトでした。
「セキュリティ診断」で使用しているセキュリティ診断ツールを使用して、Webサイトの脆弱性を確認したところ、次のような結果になりました。
緊急対応が必要
0件
対策が必要
2件
- Apache Tomcat 初期ファイルが残留している
- WordPress ユーザー情報が表示されている
対策を検討
0件
問題ないか確認
8件
- オープンポート 25,80,443
- Apache httpd サーバーバージョンの検出
- CGIインジェクション可能なパラメータな検出
- HTTPSでのHSTSの不整合
- Apache Tomcat情報の検出
- Webアプリケーション サイトマップの検出
このシステムでは、開発時点の設定が残ったままだったことと、セキュリティ対策が不十分だったため、設定の見直しとセキュリティ対策を追加することでリリースできました。
低予算・短期間ではじめる「セキュリティ診断」
本格的なセキュリティ診断の場合、動作しているWebアプリケーションを操作し、アプリケーションの挙動を調査。
その中から既存の脆弱性データベースにある情報と検証をおこない、脆弱性の確認をするため多くの期間と費用がかかります。
その期間と費用が負担となり「脆弱性がないか確認したいが予算的に厳しい」などで対応が遅れる原因となります。
「セキュリティ診断」では、いままで人が調査していた処理の多くを、自動化技術(RPA)とセキュリティ・ツール群により自動化し、期間と費用をおさえた脆弱性診断ができます。
1度実施したサイトに対して、3ヶ月以内であれば半額でセキュリティ診断を実施いたします。
プライバシーポリシー
お客様にご提供頂いた情報はお客様の承諾なくお問い合わせ内容に関わる業務以外には利用することはありません。同意を得た場合は、同意を得た範囲内でご利用させていただくことがあります。
お客様に関する情報は、お客様の承諾なく、マーケティングまたは勧誘等の目的外使用を目的として第三者に対して提供され。または、売却されることはありません。
収集した大切な個人情報は厳正なる管理下で保管いたします。