ECサイトで診断の義務化も!?増加するサイバー攻撃からビジネスを守る
年々、サイバー攻撃が増加しており、その内容も巧妙化しています。中でも、システムの脆弱性を狙ったランサムウェアを含むサイバー攻撃が多数発生し、多くの経済的損失を生み出しました。今後もサイバー攻撃は続くとみられており、被害を防ぐためのセキュリティ対策のニーズがより一層高まっています。
本コラムでは、脆弱性診断とその活用方法について解説していきます。
目次
1.情報セキュリティにおけるリスク
システムの脆弱性をはじめとする、セキュリティ対策の不備によって発生するインシデントは、組織に甚大な被害をもたらします。多くの組織が対策の必要性を理解していながらも、本来すべき対策が疎かになっていることも、被害を拡大させる要因となっています。
情報セキュリティリスクとは、組織が保有する情報をおびやかす脅威や危険性のことを指します。例えば、サイバー攻撃などの外部要因や内部の従業員によって引き起こされる情報漏えいなどがあげられます。これらのリスクは、「システム・業務停止」「ウイルス拡散の発信源となる被害の拡大」「顧客の信用低下、顧客離れ」「風評被害」「金銭的被害(不正送金・対応費用など)」といった長期にわたる深刻な被害につながりかねません。
リスクへの理解を深め、いつ被害に遭ってもおかしくないという認識のもと、日ごろからセキュリティ対策の実施を強化していく必要があります。
-
情報セキュリティリスク例
- 不正アクセス
- ウイルス感染、ランサムウェア感染
- データの改ざん
- 内部者の不正や設定ミスによる情報漏えい
- サイバー攻撃
- ネットワーク攻撃
- 情報漏えい(機密情報・個人情報・クレジットカードなど)
2.重要性を増す脆弱性対策
セキュリティ対策の一つとして、サーバーやネットワークの脆弱性対策を適切に行うことは非常に重要です。脆弱性とは、OSやソフトウェア上でのプログラムの不具合や欠陥のことで、そのままにしておくと外部からの不正アクセスやウイルスに感染する可能性があるため危険な状態となります。そのため、OSやプログラムのアップデートを適切に行うことや、セキュリティソフトの活用、最新の脆弱性情報の収集や診断などの対策を講じる必要があります。
2-1.不正アクセス数は過去最多に
トレンドマイクロ社が2024年に行った調査によると、国内の法人組織のうち過去3年間で70.9%がサイバー攻撃を経験しており、2023年時点の被害額は平均1億2千5百万円と、大幅に増加しているそうです。ランサムウェア攻撃を受けた組織のうち、フィッシングメールに次いで、ネットワークやシステムの脆弱性を狙った攻撃が多いことも見えてきました。
また、令和5年に警視庁に報告された不正アクセス行為の認知件数は6,312件であり、前年の2,200件から4,000件以上も(約186.9%)増加しました。不正アクセス行為の手口として、ID・パスワードなどを窃盗した行為が多く見られることからも、パスワードの適切な設定・管理、フィッシング対策、セキュリティ・ホール攻撃対策などの措置を講じる必要があります。組織・個人ともに被害に遭わないためのセキュリティ対策が急務とされています。
引用元:
トレンドマイクロ社 「~セキュリティ成熟度と被害の実態調査 2024~」
経済産業省 「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」
2-2.ECサイトにおける脆弱性診断義務化の見通し
経済産業省では、ECサイトへのサイバー攻撃によって個人情報やクレジットカード情報を含む重大な情報漏えいが相次いでいることから、2023年3月に、「ECサイト構築・運用セキュリティガイドライン」をまとめ、ECサイトを運営する中小企業向けのセキュリティ対策要件を公表しました。この中で、ECサイトの構築時とECサイト運用時の「脆弱性診断」を必須としており、現時点では罰則はないものの、2024年度末を目途に脆弱性診断が義務化となる見通しです。
クレジットカード業界では、既に業界独自のセキュリティ基準「PCI DSS」が運用されており、認定取得の際には規模や形態によって四半期に1回以上の脆弱性診断の実施が義務付けられています。セキュリティ対策を義務化することで、業界全体のセキュリティ対策をより強固なものにすることにつながります。今後、企業はセキュリティ対策において、より厳しい対応を迫られることになりそうです。
引用元:
3.脆弱性診断とは
ここで改めて、脆弱性診断について触れていきます。脆弱性診断は、OS、ネットワーク、アプリケーションなどの脆弱性を特定し、評価するプロセスです。診断対象や内容、方法(ツール/手動)、実施期間をあらかじめ設定して検査します。診断結果はリスクレベル・攻撃難易度レベルに分けて評価し、その内容に基づいたセキュリティ対策の計画を立て実行します。リスクレベルが高く、脆弱性が危険な状態と判断された場合は、対策を行った上でのサイト公開が求められています。
サイバー攻撃の手口が常に進化していることからも、新機能の開発・追加時、システム改修時の他にも、定期的な脆弱性診断を実施することで早期の脆弱性発見につながります。
3-1.脆弱性診断とペネトレーションテスト
システムの脆弱性を検証する方法として、脆弱性診断の他に「ペネトレーションテスト」があります。「脆弱性診断」は、特定の基準をもとに脆弱性を発見することが目的ですが、「ペネトレーションテスト」は、攻撃者の視点からシステムに侵入してシステムの脆弱性を検証するという点において、より実践的な手法を用いるテストといえます。調査する対象、目的、方法によって、どちらの手法が適しているかを検討します。
判断の目安として、OSやソフトウェアを新しくしたりアップデートした場合、定期的なチェックをする場合のように広範囲での検証は「脆弱性診断」が向いており、特定の対象機器に対して、サイバー攻撃などのリスク対策をする場合やセキュリティ強化をしたい場合には「ペネトレーションテスト」が適していると言えます。
3-2.脆弱性診断の主な種類
脆弱性診断では、調査目的を決定した後、診断を実施する対象(Webサーバー、Webアプリケーションなど)の特徴に合わせて診断内容や項目を選択します。そのため、似たようなプラットフォームでも、ID・パスワード認証を扱うサイトと情報検索中心のサイトでは検査内容が異なり、個々のサイトに合わせた対応が必要となります。
- プラットフォーム診断
対象:Webサーバー、ネットワーク機器のOS、ミドルウェア
内容:インターネット経由のリモート診断、内部ネットワークを検証するオンサイト診断によりネットワークに接続する機器の脆弱性を判断します。
診断項目:内部・外部のネットワーク設定、認証メカニズムなど
- Webアプリケーション診断
対象:WebアプリケーションやWebサイト
内容:不正な入力データを送り、レスポンスから脆弱性を判断します。
診断項目:SQLインジェクション、クロスサイトスクリプティング、認証・認可、サーバー設定など
- スマートフォンアプリケーション診断
対象:モバイルアプリケーション、API
内容:疑似攻撃を行い、情報漏えいやリスクを診断します。
診断項目:アプリサーバーとの通信、端末内データのテスト、アプリとの連携など
- クラウドセキュリティ診断
対象:クラウドプラットフォーム(Amazon Web Services、Google Cloud Platform、Microsoft 365、Salesforce、Slackなど)
内容:疑似攻撃・侵入を行い、設定上の不備がないか確認します。
診断項目:クラウドサービスの認証、セキュリティ設定など
- ソースコード診断
対象:Webやアプリケーションのプログラム
内容:開発中や運用後にソースコードを解析し脆弱性を検出します。
診断項目:SQLインジェクション、クロスサイトスクリプティング、バッファオーバーフロー、コーディングなど
3-3.脆弱性診断の方法
脆弱性診断は、「手動診断」「ツール診断」の2種類の方法があります。それぞれの違いについて説明していきます。
- 手動診断
セキュリティの専門家が知見を活かし、手動で診断します。診断の精度が高く、複雑なシステムやシステム固有のリスクでも対応できる点がメリットです。システム特有のリスクに合わせて柔軟に診断できるため、機密性が高いデータを扱うような高度なセキュリティが求められる場合に向いています。また、ツール診断で見落としてしまうような複雑な脆弱性を見つけだすこともできます。
デメリットは手動でおこなうため、時間とコストがかかる点です。他にも、診断する専門家のスキルによって、精度にばらつきがでることもあります。
- ツール診断
専用ツールを用いて診断をします。短時間で広範囲を診断できるため、低コストで手軽に利用できます。ただし、システムが複雑であったり、新しいリスクには対応できないため、脆弱性を見落とす可能性があります。
手動診断、ツール診断ともにメリット・デメリットがあり、どちらを選択するかは、診断範囲、診断項目、予算や期間、セキュリティ要件によって異なります。2つを組み合わせたハイブリッド型では、より強固なセキュリティが期待できます。
4.セキュリティ状況の調査結果
IPA(独立行政法人 情報処理推進機構)は2023年に中小企業のECサイトのセキュリティ状況を調査し、中小企業50社に対して行った脆弱性診断(Web アプリケーション診断、プラットフォーム診断)の状況を公開しました。診断で検出された脆弱性に関わる危険度を「高」「中」「低」に分けて集計した結果、50 社のうち、ECサイトの危険度が「高」の事業者は、全体の52%にものぼっており、いつサイバー被害に遭ってもおかしくない状況にあったということです。診断結果で多くを占めた項目は、セキュリティ設定の不備やOS・ミドルウェアのバージョンが古いことが挙げられています。脆弱性診断をすることで、自己診断だけでは気がつきにくい弱点を外部の診断事業者から発見してもらい、問題に対処できるというメリットがあります。
サイバーセキュリティに関する情報の収集も重要です。JVN(Japan Vulnerability Notes)は、JPCERT コーディネーションセンターとIPAが共同で運営している脆弱性対策情報ポータルサイトで、日本で使用されているソフトウェアなどの脆弱性情報の共有や対策が公開されています。このような情報も活用して自社の脆弱性対策をしていくことができます。
引用元:
5.脆弱性診断の活用例
脆弱性診断を活用した、サイバーセキュリティ対策方法を紹介します。脆弱性診断を実施することで、脆弱性の種類、原因、起こりうるリスクを発見することができます。診断結果に基づき、具体的な改善案やセキュリティ対策の強化を実施します。
- 不正アクセス対策
不正アクセスとは、他人のIDやパスワードを不正に入手してコンピューターやシステムにアクセスし、個人情報の搾取や詐欺行為を行う犯罪です。流出した個人情報がフィッシングに悪用されたり、ホームページの改ざんにつながるなど、さらに被害が拡大する恐れがあります。
脆弱性診断では、目的に応じてWebアプリケーション、モバイルアプリケーション、ネットワーク機器、クラウドプラットフォーム、Webサーバーなどを診断し、対策を行うことでシステムを安全な状態に保ちます。
- 個人情報の漏えい対策
ホームページで登録された個人情報の漏えいは近年頻繁に発生していますが、その多くはWebサーバーの基本的な設定ミスや脆弱性対策の不備が原因ということも少なくありません。
脆弱性診断では、ネットワーク、OS、ミドルウェア、Webアプリケーションを診断して、対応策や優先度を決定します。対策としては、適切なセキュリティパッチを適用すること、Web Application Firewallの導入も有効です。
- ホームページ改ざんの対策
不正アクセスによるアカウント情報の流出などで、ホームページが悪意のある第三者によって書き換えられてしまうと、そこからさらに個人情報が搾取されたり、ウイルス感染を広げてしまうなどの被害が発生します。
脆弱性診断では、Webアプリケーション診断、ソースコード診断などを実施することで、SQLインジェクションやクロスサイトスクリプティング(XSS)などの脆弱性を見つけます。管理者アカウントの適切な管理、ウイルスソフトの導入など基本的な対策も実施します。引用元:
警察庁 サイバー警察局
6.まとめ
ここまで、脆弱性診断の重要性についてご紹介してきました。
年々巧妙化するサイバー攻撃に対応するためには、常に情報をアップデートして、システムを最新の状態に保ち続ける必要があります。また、専門家による定期的な脆弱性診断も有効に活用してみてはいかがでしょうか。
クロス・コミュニケーションでは、豊富なサービスメニューからお客様の課題とご予算に応じた診断ソリューションをご提案することが可能です。是非、お気軽にお問い合わせください。
執筆者
