今こそ必須!「セキュリティ診断」のススメ

この記事をtweetする このエントリーをはてなブックマークに追加


製品購入ウラづけガイド
これさえ読めば基本はカンペキ!「セキュリティ診断サービス 掲載日:2007/07/30

セキュリティ診断サービス



1:基礎講座 2:選び方講座 3:脆弱性・最新事情
1
セキュリティ診断のススメ
2
セキュリティ診断サービスの最新事情
1
セキュリティ診断サービスの選び方
2
サービスカタログ
1
脆弱性の最新事情
 
INDEX


基礎講座
これさえ読めば基本はカンペキ!
基礎講座

 システム管理者は情報セキュリティを継続的にマネジメントしながら、あらゆる脅威に打ち勝つセキュリティレベルを常に維持しなければならない。しかし自社の情報セキュリティへの対策状況を自らの手で客観的に評価・分析することは、そう簡単なことではない。こうした事態を受け、数年前からWebをはじめとする企業システムの脆弱性などを診断するサービスが提供されるようになり、最近ではそのサービスメニューも充実度を増してきた。そこで今回は、選択肢が豊富になりつつある「セキュリティ診断サービス」、中でもWebアプリケーションの診断サービスにスポットを当て、その最新事情をお届けする。 セキュリティ診断サービス

1 

セキュリティ診断のススメ



1-1

まだまだ甘い!? 企業のセキュリティ対策


 最初に、現在企業が運営しているWebサイトがどんな状態で運営されているか、その衝撃的な事実から紹介しよう。まず、図1を見ていただきたい。これはNRIセキュアテクノロジーズが発表した「Webサイトのセキュリティ診断:傾向分析レポート2007」からの抜粋だ。これを見ると、2006年度に同社が実施した146のWebサイトのセキュリティ診断のうち、42%のWebサイトで、他の利用者の個人情報をはじめとする重要情報に不正にアクセスできることが確認された。また、35%のWebサイトでは、重要情報に不正にアクセスできることは確認できなかったものの、情報漏洩に繋がる可能性がある問題が発見された。これらの割合は、2005年度に比べるとその数は減少してはいるものの、過去3年間を通じて大幅な改善は見られないという。
 なお、ここで言う「重要情報」とは、そのWebサイトの特性を考慮したうえで、特定の正規利用者のみにアクセスが制限されるべき情報を指す。例えば、パスワード、個人情報、金融サイトであれば口座残高、ショッピングサイトであれば注文履歴などがこれに該当する。


図1 年度別 Webサイトのセキュリティ診断結果
図1 年度別 Webサイトのセキュリティ診断結果
企業におけるセキュリティ意識は高まってきているにも関わらず、リスクは減少していない。
資料提供:NRIセキュアテクノロジーズ

 多くの不正アクセス事件や個人情報漏洩などのセキュリティ問題が報道されているにも関わらず、これほど危険な状態で多くのWebサイトが運営されているのはなぜだろうか。同レポートでは次のように指摘している。「これはWebサイトのセキュリティ対策が進む一方、不正アクセスの手法も日々進歩しているため、それらが均衡してこのような結果になったと考えられる。」
 また、その他の脆弱性発生要因として、Webアプリケーションのケースでは、たとえファイアウォールで外部からのWebサーバへの攻撃を防ごうとしても、「ポート80」を使うWebアプリケーションは、既存のセキュリティツールが未対応なためアクセスされてしまう恐れがある(図2参照)。また、システム的な要因意外でも、サイト作成からかなり時間が経過していたり、アプリケーション作成やセキュリティ対策を外部に委託することにより、責任の所在が(社内・社外含めて)不明確になっていたりすると、脆弱性が発生する原因となり得る。 


図2 一般的なセキュリティ対策だけでは不十分な理由
図2 一般的なセキュリティ対策だけでは不十分な理由
資料提供:NTTデータ・セキュリティ

…この記事の続きは、会員限定です。  会員登録はこちら(無料)

続きを読むには…
会員登録いただくと自動的にこの記事に戻り、続きが読めます。

会員登録(無料)・ログイン

このページの先頭へ

セキュリティ診断サービス/今こそ必須!「セキュリティ診断」のススメ」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「セキュリティ診断サービス」関連情報をランダムに表示しています。

セキュリティ診断サービス」関連の製品

WAF/DDoS対策サービス TrustShelter/WAF 【NTTソフトウェア】
WAF
簡単かつ低コストに、Webサイトセキュリティを強化できる、WAF/DDoS対策サービス。クラウド型WAFなら運用も導入企業側で行わずにすむ。オンプレミス型WAFの提供も可能。

セキュリティ診断サービス」関連の特集


モバイルデバイスの普及に伴い、柔軟なIT利用が可能になる一方で考慮しなければならないのが情報セキュリ…



企業へのサイバー攻撃は、日増しに巧妙化している…。セキュリティ対策不足は情報漏洩等、大きなリスクにつ…



情報漏洩は他人事ではない。不正アクセスやウイルス感染が原因となり、損害賠償の支払いや企業イメージが傷…


「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

セキュリティ診断サービス/今こそ必須!「セキュリティ診断」のススメ」の記事を一部ご紹介しました。
会員登録を行い、ログインすると、「セキュリティ診断サービス/今こそ必須!「セキュリティ診断」のススメ」の記事の続きがお読みいただけます。


Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2


30002257


IT・IT製品TOP > ネットワークセキュリティ > セキュリティ診断 > セキュリティ診断のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ