セキュリティー事故が後を絶たない昨今、企業としての対策が求められるポイントの一つがWebアプリケーションだ。脆弱性を攻撃されれば、顧客情報の漏えいやWebサイトの改ざんといった深刻な事態が生じる恐れがある。そんな状況に陥る前に、動的セキュリティー診断によって脆弱性を自ら発見し、修正することが必要だ。日本IBMではその作業を正確かつ効率的に実現する「IBM Security AppScan」を提供している。
標的型攻撃やランサムウェアなど、サイバー・セキュリティーを巡る話題は尽きることがない。境界防御やインシデント・レスポンス体制の整備といった種々の対策が議論されているが、中でも忘れてはならないのがWebアプリケーションの脆弱性対策だ。
日本アイ・ビー・エム株式会社
セキュリティー・システムズ事業部 シニアITスペシャリスト
平山 勝之氏
もしWebアプリケーションの脆弱性を攻撃されてしまうと、顧客情報などを格納したデータベースにアクセスされ、個人情報の流出といった深刻な事態につながる恐れがある。加えて、Webサイト自体を改ざんされ、利用者がそれと知らないうちにマルウェアに感染してしまう可能性もある。
日本アイ・ビー・エム セキュリティー・システムズ事業部 シニアITスペシャリスト 平山勝之氏は、「クロスサイト・スクリプティングやSQLインジェクションといったWebアプリケーションの脆弱性は最近急に増えたものではなく、古くから存在するが、事態は改善されているとは言い難い」と警鐘を鳴らす。事実、IBM X-Forceの調査によると、公表された脆弱性の33%はWebアプリケーションの脆弱性だという。
リスクと支出
※クリックすると拡大画像が見られます
※クリックすると拡大画像が見られます
平山氏は「不健康なコードを守るためにWebアプリケーション・ファイアウォール(WAF)のような対策を後から追加することもできるが、根本的な対策とは言えない。初めからできる限り自社のコードを健康にしておくことが、本質的でより良い方法だ」という。では、Webアプリケーションのコードを健康に保つためには何が必要だろうか?
この後のダイジェスト
- 深刻な脆弱性を開発段階で見つけて修正する動的セキュリティー診断の重要性
- 動的セキュリティー診断の次のステップとして考えたい診断カバレッジの拡大
- 修正コストに大きな違いTCO最適化につながる設計段階からのセキュリティー対策