サイバーセキュリティクラウド　無料でできるWeb脆弱性診断

【サイバーセキュリティ白書】2019年12月の脆弱性情報まとめ Web-vulnerability-diagnosis

Webサイトの脆弱性はシステムを開発・運営する上で、日常的且つ重要な問題です。
近年では、Webサイトに対するサイバー攻撃数が16.6億→45億※1と急増しており、個人情報漏洩、サービス停止、売上機会の損失、ブランドイメージの棄損など甚大な被害をもたらすことも増えてきています。

日々新たな脆弱性が発見される中で、開発・運用しているWebサイトの脆弱性をゼロにすることは、簡単なことではありません。そのため定期的なWeb脆弱性診断を行った上で、システムの改修やセキュリティ製品の導入など適切な対策を行うことが重要です。本稿では、脆弱性診断の解説と共に、弊社が行っている無料脆弱性診断のご案内をいたします。

※１出典：NICTER観測レポート2016,2017

1.Webセキュリティに対する誤認

最初に脆弱性診断の必要性をする前に企業のWebセキュリティ対策の現状について触れておきます。
冒頭で記載した通り、サイバー攻撃や個人情報漏洩の増加により、企業も既にそのリスクを十分に理解して対策しているのでは？と思うかもしれません。

しかし、市場でのアンケート調査を行ったところ、興味深い結果となりました。
Webセキュリティ対策を実施していると答えた経営層のうち、約8割※2は不正アクセスの侵入口となるWebアプリケーション層への対策が実施できていない状況だったのです。

さらに、対策を実施している残りの2割に関しても、一部のWebサイトにしかセキュリティ対策を実施できていないという結果となりました。Webサイトの改ざんや個人情報の漏洩をニュースなどで把握はしていても、実際に自分たちには関係がないと思っている方が実は多いです。理由は、制作会社等の外部に任せていることが多く、委託先でセキュリティ対策はできていると思い込んでいるケースが圧倒的に多い結果となっています。

限られた社内リソースで、目に見えない脅威に対して、優先順位を上げて対策しようと声を上げることが難しい。社内セキュリティや目に見えるメール対策等の法が指摘されることも多いですが、実際にインシデントが発生したら責任を負う可能性もあるのです。

悪意を持って御社のWebサイトに対して攻撃をするということは、情報を盗み取ることができる状態であることも誰も教えてはくれないため、気づいた時には既に手遅れというケースが少なくありません。

※2 出典：株式会社マーケティング・アンド・アソシエイツ「セキュリティソフト浸透度調査」

2.Web脆弱性診断とは

Web脆弱性診断とは、攻撃者の視点から多種多様な疑似攻撃を試行することで、Webアプリケーションの安全性を診断するサービスです。Web脆弱性診断の結果に基づいてその後の対策を行うことにより、SQLインジェクション、クロスサイトスクリプティング、セッションハイジャックなどの攻撃による被害の発生を未然に防ぐことができます。一般的には①診断ツールを利用した診断、②手動で行うもの③二つを併用する診断があります。

3.無料脆弱性診断のご案内

一般的に、攻撃者はWebサイトに対して、脆弱性がないかどうかの確認や既知の攻撃を無差別に仕掛けてきます。そこで、万が一お客様のWebサイトが脆弱性を持っていたとしたら、攻撃者に弱点を発見され攻撃の対象となったり、無差別攻撃の餌食になってしまいます。
これらの一連の動作を、ツールを用いて弊社が実行します。（疑似攻撃）
その結果をお客様にお伝えすることによって、事前に対策すべき状況であるかどうかを確認することができます。

・診断ツールは外部のサービスを利用します。（https://walti.io/）
・上記ツールはお客様でも利用することは可能ですが（有料）、無償にて診断いたします。
・CSCがお客様に代わって、ツールを実行し、結果をわかりやすくレポートいたします。
・万が一脆弱性が見つかった場合、対策方法についてもアドバイスいたします。

弊社の企業理念である“世界中の人々が安心・安全に使えるサイバー空間を創造する”の実現のため、まずは『Webセキュリティを当たり前にする』ことを目標としており、その一環としてWebセキュリティの重要性を一人でも多くの方に知っていただくための取り組みです。
是非、この機会に一度お試しいただいてはいかがでしょうか？

お問い合わせはこちら