毎月100件超のウェブ改ざん、委託状況含めてチェックを

ウェブアプリケーションのセキュリティ診断は、1年に1回や機能の追加などを行ったタイミングで実行することを挙げ、くわえてサイトの管理に用いるログインIDやパスワードの適切な管理や、DDoS攻撃対策などあわせて呼びかけている。

さらにこうしたチェックにあたっては、ウェブサーバが稼働するインフラ、OS、フレームワーク、ウェブアプリケーションなどにおいて、脆弱性対策を実施すべき管理者が誰であるのか、把握しておくことが重要だ。

もし、委託先の保守対象部分がインフラ部分のみであるのに、インフラ上で稼働するOSやフレームワーク、ウェブアプリケーションまで対象となっていると勘違いしていれば、脆弱性が放置されてしまうことになる。また運用を委託している場合も、ウェブサイトのホスティングのみで、ソフトウェアの管理が含まれていない場合などにも注意が必要だ。

委託内容の範囲を確認し、委託先が不正アクセスや脆弱性への対策などを管理することになっているのであれば、委託先において点検、対策が適切に実施されているか確認することが推奨されている。

また同センターでは、ウェブサイトの改ざんなどを発見したり、被害に遭った場合、被害の対応依頼を希望する場合など、インシデント対応依頼を受け付ける窓口について案内している。

（Security NEXT - 2018/07/19 ） ツイート

PR

関連記事

国内インシデント、前四半期比9.4％増 - サイト改ざんが1.8倍
1Qの脆弱性届出は99件 - ウェブサイト関連が低水準
まもなくGWの長期休暇 - セキュリティ対策の確認を
先週注目された記事（2025年3月23日〜2025年3月29日）
2024年の不正アクセス届出166件 - 脆弱性や設定不備が標的に
中小企業4社に1社でインシデント被害 - 約7割で「取引先に影響」
2024年4Qのインシデントは約8％増 - 「FortiManager」脆弱性の侵害事例も
先週注目された記事（2024年10月27日〜2024年11月2日）
3Qの脆弱性届出は116件 - 前四半期から4.5％増
3Qのインシデントは2割減 - ただし「サイト改ざん」は倍増