編集部からのお知らせ
令和時代のCIOとは?
「ニューノーマルとIT」新着記事一覧

Webサイトに潜む脆弱性、気づいてないのは自社だけ? 無償診断で現状を把握する

IDS/IPSやUTM だけでは安心できないWebサイトの脆弱性

 Webサイトで公開しているサービスを保護するために、ファイアウォールやIDS/IPS、UTM(統合脅威対策)といったネットワークセキュリティが広く利用されている。しかし、それらのセキュリティを導入していても、Webサイトそのものに脆弱性があれば攻撃者はそこを狙ってくる。


バラクーダネットワークスジャパン
セールスエンジニア
加藤 路陽氏

 「UTMを導入しているから大丈夫だとは言い切れません。少なからぬサイトにSQLインジェクションやクロスサイトスクリプティングなどの脆弱性が存在しており、その脆弱性を攻撃者が悪用すれば、不正にログインできてしまうのです。こうした問題に対応するためには、まず、どのような脆弱性がどれだけあるかという現状を把握する必要があります」と話すのは、バラクーダネットワークスジャパン(以下、バラクーダ)のセールスエンジニアの加藤 路陽氏だ。

 Webサイトの脆弱性の中にはサイト上に組み込まれた独自スクリプトの不備などといったものもあるが、特に重視されるのがOSやWebサーバ、Webアプリケーションサーバ、データベースなど、利用しているシステム自体に存在しているものだ。広く使われているシステムで深刻な脆弱性が発見されれば、迅速に修正パッチがリリースされるか回避策が紹介されるのが一般的だが、その情報に管理者が気付かず、未修正の脆弱性が公開された状態になっているサイトも少なくない。そこで最近は、ある程度の頻度で脆弱性診断を行うことが推奨されるようになってきた。

 「とはいえ脆弱性診断は有償サービスが多く、費用負担に二の足を踏む企業も多いようです。こうした状況をふまえバラクーダでは、『ウェブ脆弱性診断キャンペーン』を無償で提供しています」(加藤氏)

 では、バラクーダの脆弱性診断がどのようなものか紹介していこう。

診断結果を分かりやすいレポートで提供

 診断には、同社がクラウドベースで展開しているWebアプリ脆弱性自動診断ツール「Barracuda Vulnerability Manager」を利用している。本ツールはWebサイトやWebアプリケーションをスキャンすることで脆弱性を検知するものだが、脆弱性診断サービスではその診断結果を分かりやすいレポートにまとめて、ユーザーに提供している。

脆弱性診断で提供されるレポートの一部 脆弱性診断で提供されるレポートの一部
※クリックすると拡大画像が見られます

 「レポートでは、標準的なセキュリティスタンダードを基準として、どのスタンダードに対応できる水準にあるかといった指標を示すことで、自社のサイトがどのくらいのレベルかを容易に把握できます。さらに、重要度の高い脆弱性については、それぞれの脆弱性がどのようなものかを一つずつ説明し、対策を講じるための材料に使えるようにしています」(加藤氏)

 では、診断の結果、重要度の高い脆弱性が発見されたら、どのような対策を講じればよいのだろうか。

続きを読むには、以下のボタンを押してログイン、または会員登録してご覧ください。

提供:バラクーダネットワークスジャパン株式会社
[PR]企画・制作 朝日インタラクティブ株式会社 営業部  掲載内容有効期限:2016年11月30日
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]