自社サイトは大丈夫？ セキュリティチェックできる新サービス

セキュリティ対策は万全ですか？
IoT機器から社内インフラに侵入するサイバー攻撃、ランサムウェアを使った不正アクセス、あるいはソフトウェアから感染して機密情報が洩れる被害など、ITを取り巻く脅威を数え上げたら枚挙にいとまがありません。テクノロジーの進化に並行するよう、待ったなしに攻撃は高度化、多様化しています。

ウェブサイトも脅威にさらされています

サイバー攻撃は社内PCやイントラ環境、アプリを標的にしたものだけではありません。ウェブサイトも狙われています。例えばウェブサイトの改ざんであれば目に見える場所だけに、自社のサイト運用のあまさが注目を浴びてしまうことにも。そうなると取引先や見込み顧客からの信頼失墜にもつながります。

ビー・オー・スタジオは、かねてより弊社クライアントからセキュリティチェックの要望が多かったことを機に、ウェブサイトに特化したセキュリティ診断サービスを立ち上げました。サーバーの種類、OS、サイトの規模や組み込まれているモジュール、CMSを精査できる専門家をそろえ、自動と手動による診断を実施します。ニーズにあわせてオプションが追加できる診断プランと、明快な料金体系を展開。オンライン (インターネット経由) で診断を行います。

企業の「顔」でもあるウェブサイトが狙われています

総務省の公開する平成27年から令和元年までの都道府県警察から警視庁に報告のあった不正アクセスの推移をみると、「ウェブサイトの改ざん・消去」は全体の割合からみれば少ないものの、ここ数年は企業サイトが「踏み台」に悪用される手口が横行、新たな脅威となっています。

総務省「不正アクセス行為の発生状況」報告資料をもとにビー・オー・スタジオで制作

ウェブサイト改ざんの手口にはどのようなものがあるのでしょう。

• Ⓐ 組織外のウェブサイト運営者、あるいはシステム管理者のPCに侵入し、アカウント情報を取得。組織内のシステムに不正ログインをする。
• Ⓑ ウェブサイトで使用するソフトウェア、プラグインの脆弱性を突いた攻撃を仕掛ける。
• Ⓒ システムで使用しているウェブアプリケーションの脆弱性を突いて攻撃を仕掛ける。
• Ⓓ アクセス制御の不備を突くケース。組織内のユーザーになりすまし、管理用ポートからウェブサイトに侵入。

これ以外にもサイトを構築するモジュール、システムのセキュリティホールを突いたさまざまなパターンが考えられます

ウェブサイト改ざんの手口（IPA「ウェブサイト改ざんの脅威と対策」をもとにビー・オー・スタジオで制作）

ビー・オー・スタジオではこれまでに培ったウェブサイト運用、管理の経験に基づき、コーポレートサイトのウィークポイントを洗い出します。

脆弱性診断とペネトレーションテストの2ステップ

基本サービスには「攻撃者」の視点に立ってウェブの脆弱性診断を実施する「ウェブ脆弱性診断」を用意しています。独自の診断ツールに基づいてプラットフォームであるOS、ネットワーク、ミドルウェアを調査。ドメインやSSL、ソフトウェアのバージョンなどフロントエンドの情報収集に加え、アプリケーション、データベース、SQL、インジェクションなどの検証も行います。たとえばアプリケーションに対しては、クエリパラメータやPOSTデータなどの入力ポイントの確認から、アクションに反応するレスポンスのチェックも行います。

攻撃への耐性を確かめる「ペネトレーション (侵入) テスト」

自社サイトがサイバー攻撃に対してどれくらい耐性があるかテストする「ペネトレーション (侵入) テスト」では、お客様の承認を得た上で、実際にハッキング技術やツールを使ってウェブサイトに攻撃をしかけます。

ウェブ脆弱性診断を受けた上で申し込みが可能なテストになります。診断の結果後は、対策案もいっしょに報告書にまとめて提出します。

ウェブサイトは24時間、365日休みなく脅威にさらされています。ウェブサイトが攻撃されることで受けるダメージは、事業活動の継続にも影響を与えます。「まさか」に備えた対策を講じてみてはいかがでしょう。