ウェブサイトの脆弱性対策に関しIPAが注意喚起
IPA(独立行政法人情報処理推進機構)は、ウェブサイトに対する攻撃事件が目立っているため、サイト運営者に注意喚起を発した。近年、ウェブサイトを用いたサービスが増加、多様化し、企業活動の中核として位置付けられているものも多い。こうしたサービスでは、製品やサービス提供の決済機能を有するものが多く、氏名や住所、電話番号等の個人情報のほか、クレジットカード情報など重要な情報が取り扱われている。
他方、これらのサービスに対する妨害行為や、企業が保有する重要情報の奪取を意図した悪質な行為が目立ってきた。これらの事件の中には、ウェブサイトの脆弱性を狙った攻撃によって情報が漏えいし、事業の継続に多大な影響を及ぼす結果となったものも複数存在する。例えば、2010年には、アウトドア用品のサイトにおいて1万件以上、オンラインゲームのサイトにおいて18万件以上の個人情報の漏えいがあった。
ウェブサイト運営者が行うべき主な対策・対応は、まずサーバーにおける脆弱性対策として、定期的に、ウェブサイトで使用しているOSやサーバーソフトウェアの脆弱性対策を、ベンダー情報や脆弱性対策データベースなどを活用して実施することが挙げられる。また、ウェブアプリケーションの脆弱性対策として、脆弱性診断を実施するなど、ウェブアプリケーションの脆弱性を再確認する。
ネットワーク利用における対策では、ネットワークの入口において、ファイアウォール、ネットワーク監視、アンチウイルスなどの対策を実施するとともに、ネットワーク上でやり取りされる情報の暗号化による保護などで、リスクを低減する。さらに、万一、ウイルス感染や不正アクセスをされた場合でも、情報を保護するため、情報へのアクセス制御の実施や、重要な情報の暗号化などで多段の防御を行うよう呼び掛けている。
この件の詳細は↓
http://www.ipa.go.jp/about/press/pdf/110509_3press.pdf