<iframe src="https://www.googletagmanager.com/ns.html?id=GTM-MZLZR25" height="0" width="0" style="display:none;visibility:hidden"></iframe>

もしIPAからWebサイト改善依頼がきたら 脆弱性の実態と検証事例を合わせてご紹介

もしIPAからWebサイト改善依頼がきたら 脆弱性の実態と検証事例を合わせてご紹介

JBサービス お役立ち情報

平素よりお世話になっております。JBサービス メルマガ事務局です。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

突然、IPAから自社ウェブサイトの改善指示が来たら・・・

ウェブサイトの脆弱性の実態と対応について

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

先月「情報セキュリティ早期警戒パートナーシップガイドライン」の2019年版が公開されました。今回はウェブサイトの脆弱性に焦点を置き、これまで報告された脆弱性に関する調査結果と想定される被害状況や、脆弱性をついたサイバー攻撃を防ぐための対処法をご紹介いたします。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■報告の7割がウェブサイトの脆弱性 脆弱性をついた攻撃の想定被害内容

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

2004年7月8日の受付開始から2018年12月末までのIPAへの脆弱性関連情報の届出件数は計14,092件でした。そのうちウェブサイトの脆弱性に関するもの9,866件と7割も占めており、ウェブサイト脆弱性に関する報告の多さがわかります。


【脆弱性の種類】

1位:クロスサイト・スクリプティング (55%)
2位:DNS情報の設定不備 (14%)
3位:SQLインジェクション (11%)


【届出のあった脆弱性から想定される影響】

1位:本物サイト上への偽情報の表示 (54%)
2位:ドメイン情報の挿入 (14%)
3位:データの改ざん、消去 (12%)


もし、ウェブサイトの脆弱性を利用したサイバー攻撃を受けた場合、不正アクセスの踏み台、フィッシング詐欺、個人情報の漏洩など様々なセキュリティ被害が考えられます。さらに、ウェブサイトの復旧に向けた原因調査・修正作業、場合によっては損害賠償や社会的信用の失墜による売上高の減少といった金銭的な被害も発生してしまうのです。


━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■もし自社ウェブサイトの脆弱性が見つかったら

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


自社では気づかない脆弱性を第三者(発見者)が発見した場合、発見者がウェブサイト運営者に直接連絡するケースと、発見者がIPAに報告し、その内容をもとにIPAからウェブサイト運営者へ連絡をいれるケースが考えられます。

ウェブサイトの運営・開発担当者の退職や、ウェブサイト開発事業者の倒産等により、実態の把握が困難になってしまうケースがあるかもしれません。

有事に備え、システムに関する構成情報や留意点など重要な情報をドキュメント化して適切に管理することも大切です。また、予めセキュリティ対応部署等連絡窓口を設けておくのも良いでしょう。

IPAからの通知は主に電子メール(vuln-contact@ipa.go.jp)を利用しての連絡となりますので、迷惑メールに分類されぬよう設定したり、見逃さないようにしましょう。そのほか詳細については、下記IPAウェブサイトをご覧ください。

★情報セキュリティ早期警戒パートナーシップガイドライン

https://www.ipa.go.jp/security/ciadr/partnership_guide.html


━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■ウェブサイトの脆弱性被害を防ぐ対策は?

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

弊社は、Webサイトをサイバー攻撃から防御するクラウド型Webセキュリティサービスを<業界最安値>でご提供いたします。


★Barracuda WAF as a Service SMAC Edition おすすめポイント

  • 煩雑な設定作業や運用作業は全て弊社セキュリティ専門家にお任せください。
  • エンタープライズレベルの防御機能をお手頃価格でご利用可能です。
  • 常時SSL/TSL化もこれで1つで対応でき、Chromeでの警告もなくせます。


★注目のクラウドWAF as a Service SMAC Editionを実際に使ってみた

  • 導入までの流れを実際に検証いただいた方のブログをご紹介いたします。

https://qiita.com/yotan/items/2ace832eda3b6ec1c07d

★サービス詳細はこちらから

https://www.jbsvc.co.jp/products/optisecure/web/barracuda/waf.html

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■エンドポイントセキュリティ対策はJBサービスにお任せください

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

エンドポイントセキュリティ対策に特化したポータルサイトをオープンしました。

ここでは用語解説などの基礎情報や市場動向、セキュリティ重要情報、お客様の課題ごとのおすすめ製品サービスなど、セキュリティ対策に関するお役立ち情報を集約しております。ぜひ貴社のセキュリティ対策の見直しなどにご活用下さい。

★エンドポイントセキュリティ対策ポータルはこちらから

https://www.jbsvc.co.jp/products/optisecure/top.html

★お問い合わせはこちらから
https://www.jbsvc.co.jp/contactus.html

 

一覧にもどる

関連サービス
〔クラウド型WAF〕Barracuda WAF-as-a-Service SMAC Edition|Webセキュリティ対策

〔クラウド型WAF〕Barracuda WAF-as-a-Service SMAC Edition|Webセキュリティ対策

Barracuda WAF as a Serviceは、Webサイトをサイバー攻撃から防御するクラウド型Webセキュリティサービスです。JBサービス株式会社は、企業の情報セキュリティ対策や最適なIT運用のためのご支援・ソリューションをご提供いたします。

詳しく »