毎月100件超のウェブ改ざん、委託状況含めてチェックを
ウェブアプリケーションのセキュリティ診断は、1年に1回や機能の追加などを行ったタイミングで実行することを挙げ、くわえてサイトの管理に用いるログインIDやパスワードの適切な管理や、DDoS攻撃対策などあわせて呼びかけている。
さらにこうしたチェックにあたっては、ウェブサーバが稼働するインフラ、OS、フレームワーク、ウェブアプリケーションなどにおいて、脆弱性対策を実施すべき管理者が誰であるのか、把握しておくことが重要だ。
もし、委託先の保守対象部分がインフラ部分のみであるのに、インフラ上で稼働するOSやフレームワーク、ウェブアプリケーションまで対象となっていると勘違いしていれば、脆弱性が放置されてしまうことになる。また運用を委託している場合も、ウェブサイトのホスティングのみで、ソフトウェアの管理が含まれていない場合などにも注意が必要だ。
委託内容の範囲を確認し、委託先が不正アクセスや脆弱性への対策などを管理することになっているのであれば、委託先において点検、対策が適切に実施されているか確認することが推奨されている。
また同センターでは、ウェブサイトの改ざんなどを発見したり、被害に遭った場合、被害の対応依頼を希望する場合など、インシデント対応依頼を受け付ける窓口について案内している。
(Security NEXT - 2018/07/19 )
ツイート
PR
関連記事
2024年1Q、フィッシングサイトが増加 - サイト改ざんやスキャン行為は減少
まもなくGW - 長期休暇に備えてセキュリティ対策の再確認を
警察庁、サイバー被害のオンライン通報窓口を設置 - 相談なども対応
2023年の不正アクセス認知件数、前年比2.9倍に急増
インシデント件数が約1割増 - 「スキャン」報告が倍増
3Qの脆弱性届け出、ウェブサイト関連が増加
3Qのインシデント、前期四半期比25%減 - 「サイト改ざん」が大幅減少
クラウド利用に約6割が不安、アクセス権限の誤設定を2割弱が経験
Pマーク事業者の個人情報関連事故報告、前年度の約2.3倍に
2Qの脆弱性届け出、ソフトとウェブともに減少
