VINXニューリテール・コラム
【想像以上のリスクが!】今や必須のWebサイト脆弱性診断とは
セキュリティ対策の重要性がますます高まっているなかで、Webサイトの脆弱性診断を実施する企業が近年増えています。Webサイトに潜在するリスクを明らかにしてサイバー攻撃への対策を可能にする脆弱性診断について、この記事ではご紹介します。
Webサイト脆弱性診断とは
Webアプリケーションのシステムやプログラムに脆弱性が発見されると、開発ベンダーなどがその情報を公開し、修正プログラム(パッチ)を提供します。一方で、その情報を悪用し、脆弱性への対応を行っていないWebサイトを狙うサイバー攻撃が増えています。
Webサイトの脆弱性を突かれてサイバー攻撃を受けると、社内に蓄積されているデータの漏洩などにつながり、顧客の個人情報が流出してしまうこともあります。自社の社会的な信用力を大きく損なってしまうだけでなく、お客様にも多大なご迷惑をおかけしてしまうのです。
例えば、脆弱性を突かれたサイバー攻撃の事例としては、以下のようなものがあります。
ヴィンクスで脆弱性診断を行ったお客様のWebサイトでは、100以上のリスクが見つかったり、即急に対応が必要となる重大なリスクが発見されたりするケースもあります。
「まさかうちのWebサイトには脆弱性はないだろう」と油断していると、自社のWebサイトのリスクが高まっていることが多々あります。
Webサイト脆弱性診断の方法
脆弱性診断では、専用の自動スキャンツールや専門家による調査によってセキュリティ上の問題を検出します。診断方法としては、以下の3つの手法があります。
《方法①》 自動スキャンツールでの調査
脆弱性を自動検出するツールを使用します。多様な攻撃に対する脆弱性を高確率で検出でき、最新の攻撃手法へのセキュリティ上の問題も確認できます。
《方法②》 専門家による調査
専門家が手動でWebサイトを調査し、自動スキャンツールよりも高度な脆弱性やセキュリティ上の問題を特定します。また、自動スキャンツールを使用すると不都合が生じるWebサイト※でも、手動であれば安全に調査を実施できます。
※商品のお問い合わせフォームや注文情報、メールと連携しているWebサイトでは、自動スキャンツールを使用すると、メールの送受信が大量に発生する可能性があります。
《方法③》 ペネトレーションテスト
攻撃者の視点からWebサイトを調査。専門家がWeb サイトに疑似攻撃を実施し、脆弱性やセキュリティの欠陥を特定します。実際の攻撃からWebサイトを守るための対策を高い精度で明らかにできます。
脆弱性診断の流れ
ヴィンクスでのWebサイト脆弱性診断は、以下のプロセスで実施しています。
① ヒアリング/調査手法の検討
お打ち合わせを通して、診断を行うWebサイトの状況やお客様のご要望をヒアリングし、適切な調査手法を検討します。診断の対象となるWebサイトの範囲や検証環境なども漏れなく洗い出しておくことが重要です。
② Webサイトの脆弱性診断
対象となるWebサイトを診断します。診断の際は、メールの自動送信や商品の発注処理が実施される可能性もあるので、事前に関係者への周知やダミー注文の設定を行っておきます。
また、診断によって即急な対応が必要な脆弱性が発見された場合には、すぐにお客様へご報告します。
③ 診断レポートの提出
診断の結果をまとめたレポートを提出します。レポートには検出されたリスクの詳細、それらが影響を及ぼす範囲、改善を要する箇所、改善のための推奨事項などを記載しています。
④ Webサイトの改善(お客様またはWebサイト制作会社)
診断レポートにもとづき、お客様やWebサイト制作会社様に改善を行っていただきます。速やかに改善を行うことで、サイバー攻撃のリスクを低減できます。
⑤ 再診断/再診断レポートの提出
改善後に再診断を実施し、脆弱性を解消できたかを調査します。
また、日々新たな脆弱性情報が発表されているので、定期的に診断を実施することが重要です。ヴィンクスのお客様の多くは、年に1回の診断を行っています。
おわりに
ヴィンクスでは、お客様のWebサイトの脆弱性診断を実施し、情報漏えいリスクの可視化をお手伝いしています。想定よりも多くの脆弱性を検出し、各種リスクを軽減できたことにお客様から感謝いただいています。
ぜひ貴社でもWebサイトの脆弱性診断の実施をご検討ください。
関連コラム「【キャッシュレス決済の課題】 カードの不正利用を防ぐ生体認証とは?」を読む
関連コラム「【カギは仕組み化】社員が主体的に取り組み続けるセキュリティ対策!」を読む