【リスク別】WEBアプリケーション脆弱性診断後の対策

こちらでは、リスク別のWEBアプリケーション診断後の対策について紹介しています。WEBアプリケーション診断に興味がある人は、ぜひ参考にしてみてください。

脆弱性の7割はWEBアプリケーション

社内ネットワークやアプリケーションなどに関する脆弱性を放置すると、経営活動が停止することによる売上ストップ、コンプライアンス違反によって起こる消費者・取引先・株主からの信頼性低下、原因追求やトラブル対応にかかる人員・時間・コストの発生、情報漏えいによって取引先や顧客からの侵害賠償請求など、大きな損失につながる恐れがあり、非常に危険です。
また、IPA（情報処理推進機構）の行った2022年の調査によると、届出のあった脆弱性のおよそ7割はWEBアプリケーション（ウェブサイト）^※だったとの事。この届出件数は年々ゆるやかな上昇傾向にあり、社内ネットワークやクラウドへ侵入されたり、データを盗聴・改ざん・破壊されたり、マルウェア感染してしまったりといった被害を回避するために、セキュリティ強化をしていく必要があります。

脆弱性ランキング

2021年に発生した、特に社会的に影響が大きかったと考えられる情報セキュリティにおける事案より、IPAが脅威候補を選出。情報セキュリティ分野の研究者、企業の実務担当者など、約150名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い決定したのが「情報セキュリティ10大脅威 2022」です。

よく見られる脆弱性

ネットワークへの侵入

VPNに脆弱性があれば社内ネットワークに不正アクセスすることができ、データの改ざんや盗聴などが行われる可能性が高まります。ログイン情報の管理などのセキュリティ対策を日頃から講じておく必要があります。

ネットワーク侵入の対策法を見る

データの盗聴

脆弱性を放置していると、データを盗聴されるリスクも高まります。自社のネットワークに侵入されてしまうと、知らない間に情報を改ざんされる危険がありますので、早急な対策する必要があります。

データ盗聴の対策法を見る

マルウェア感染

ソフトウェアを古いバージョンのまま使い続けていると、脆弱性対策がなされていないままとなり、サイバー攻撃の的となってしまいます。一次情報を確認するなど、トレンドを把握した適切な対策を取ることが重要です。

マルウェア感染の対策法を見る

データ改ざん

FTPアカウントが盗まれ、外部から内部ネットワークに侵入されると、内部からファイルやコードを改ざんされてしまう恐れがあります。情報収集を行い、脆弱性の特徴などを確認するようにしましょう。

データ改ざんの対策法を見る

脆弱性の改修手段

自社内で対処する場合のメリデメ

脆弱性の改修を自社で対応する場合は、コストやスケジュールに縛られづらいということがメリットとして挙げられます。

ただし、専門知識がないと正確に診断できず、抜けや漏れだらけの診断になってしまう恐れがあります。

他社に依頼する場合のメリデメ

クオリティの高い診断に加えて、適切な改善方法を提示してもらえるのが他社に依頼する場合のメリットです。ただし、診断のみの会社もありますので、注意が必要です。

システム自体に改修がなくても、使用しているソフトウェアやOSに新たな脆弱性が見つかることがあります。そのため、定期的に第三者によるWEBセキュリティ診断を行うことをおすすめしますが、コストがかかるというデメリットもあります。

他社に依頼する方が良い理由

他社に依頼して定期的に潜在的なリスクを洗い出すことで、脆弱性対策の要・不要を判断することができます。また、計画的にセキュリティリスクをコントロールすることもできるようになりますので、結果的に運用コストを削減することにつながります。

本サイトでは、WEBアプリケーションの脆弱性診断をしてくれる会社の中で、OWASPの基準を満たした診断項目を設けていたり、IPAの認定を受けていたりする特に信頼のおける会社を２社、状況・課題別に紹介しています。

専門家に依頼して脆弱性診断をしたい場合、それぞれ会社ごとに特徴があるので、よく確認してみましょう。

［状況・課題別］でおすすめの
WEBアプリケーション
脆弱性診断会社
2選をみる