NRIセキュア、Webサイトのセキュリティ診断結果の傾向を分析
約5割のWebサイトに情報漏えいにつながる致命的な欠陥が存在
~Webサイトのセキュリティ診断結果の傾向を分析~
NRIセキュアテクノロジーズ株式会社(本社:東京都千代田区、社長:増谷 洋、以下「NRIセキュア」)は、2005年度に企業・官公庁の計167のWebサイトを対象に実施した診断サービスの結果の傾向を分析し、個人情報などの重要情報への不正アクセスが可能と確認されたWebサイトは全診断数の約5割に達していることが判明しました。
【Webサイトセキュリティ診断結果の傾向】
・ 診断を実施したWebサイトの約5割で、個人情報を含む重要情報に不正にアクセスできる致命的な欠陥を確認(図1(*添付資料参照))。
・ 重要情報への不正アクセスが可能となる問題の種類(なりすまし※1、権限昇格※2、SQLインジェクション※3)別の発生割合を見ると、2005年から事件が多発しているSQLインジェクションの割合が最も高く、診断総数の35%で確認されている(図2(*添付資料参照))。
昨今、Webサイトへの不正アクセスや情報漏えい事件が急増している背景には、この傾向からも分かるように、多くのWebサイトがセキュリティ上の問題を抱えたまま運営されている実態があると考えられます。
この状況を解決するためには、NRIセキュアでは、専門家による定期的なセキュリティ診断に加え、データベースのセキュリティ強化、Webサイトの構築・運用体制の強化などのセキュリティ対策が急務であると考えています。
NRIセキュアでは、これまでに多くの企業や官公庁のWebサイトを対象に、セキュリティ診断サービスを提供してきました。その診断結果の傾向を分析してレポートにまとめ、昨年から公開しています。
「Webサイトのセキュリティ診断:傾向分析レポート2006」公開ページ
http://www.nri-secure.co.jp/service/assessment/report2006.html
NRIセキュアの診断を受け、問題が発見されたWebサイトについては、当社から診断結果と共に対策案を提示し、対策の実施を促しています。また、診断の実施後、一ヶ月以内であれば、発見された問題への対策を確認するための再診断を無料で実施しています。
NRIセキュアでは、今後も、セキュリティ診断サービスを拡充し、企業のセキュリティ向上に貢献していきます。
※1: なりすまし: ログインに成功したユーザが、何らかの手段により別のユーザになりすまし、そのユーザの重要情報にアクセスすること。
※2: 権限昇格: 管理者としてログインしていないにも係わらず、不正に管理者機能などの特権操作を行うこと。
※3: SQLインジェクション: データベースに蓄積されている情報を不正に取得したり、サーバ上で任意のコマンドを実行したりすること。
【ご参考】(*添付資料参照)
図1.Webサイトのセキュリティ診断結果
図2.重要情報に不正にアクセスできたケースにおける主要な問題の発生割合