Webの脆弱性対策は教育と定期検査が重要、MBSDが分析
三井物産セキュアディレクションは、2008年度に実施したWebアプリケーションの脆弱性検査の動向をまとめたリポートを発表した。
三井物産セキュアディレクション(MBSD)は7月21日、2008年度に実施したWebアプリケーションの脆弱性検査の動向をまとめたリポートを発表した。脆弱性の解消には、開発者への教育と定期検査の実施が重要になるとしている。
検査で脆弱性が見つかったのは全体の80%。評価別では、脆弱性が確認されなかった「S」が20%、危険度が低い脆弱性のみの「A」が20%、危険度が中程度の「B」が33%だった。特に情報漏えいや不正アクセスにつながる危険度の高い脆弱性が見つかった「C」は18%、危険度の高い脆弱性が多数見つかった「D」は9%だった。
2007年に比べてSとCおよびDの割合が増えている。同社では、安全性の高いWebアプリケーションが増加した一方、深刻な脆弱性を抱えるWebアプリケーションも増えており、二極化が進んだと分析する。
評価別割合の推移脆弱性の種類別ではクロスサイトスクリプティング(XSS)が55%で最多を占め、以下、パラメータ操作(35%)、クロスサイトリクエストフォージェリ(33%)、エラーコード(22%)の順だった。近年の攻撃対象にされることの多いSQLインジェクションは19%だった。同社によれば、JavaScriptの動的生成が原因となるXSSや、パラメータ操作が適切に行われないことでのユーザー権限の悪用といった事件があった。
アプリケーション開発者に対してセキュアコーディングの教育を実施している場合では、脆弱性件数が平均4.6件だった。教育を受けていない開発者によるWebアプリケーションでは同18.6件と多く、特に危険度の高い脆弱性は3倍近くも多かった。
脆弱性検査の経験がある企業での脆弱性件数は同8.3件で、経験のない企業(同30.1件)に比べて少なく、危険度の高い脆弱性件数は4分の1程度となった。
脆弱性検査の未実施企業と実施企業での発見された脆弱性件数脆弱性対策やセキュリティレベルの向上には、アプリケーション開発者への教育と、定期的な検査の実施が有効になると、同社ではアドバイスする。実際にはコストなどの面で実施するのが難しい場合もあるが、プロジェクトの閑散期や新入社員研修といったタイミングに実施するだけも、一定以上の効果を期待できると解説している。
関連記事
- 必要なときにいつでもWebアプリの脆弱性チェック、MBSDがASP形式で提供
三井物産セキュアディレクションは4月16日より、ASP形式でWebアプリケーションの脆弱性を検査する「WebSec ASPサービス」を開発者向けに提供する。 - MBSD、誤送信対策機能を搭載した暗号メールソリューションの新バージョンを販売開始
脆弱なWebアプリケーションから脱却する5つのコツ
ショッピングサイトのように多くの個人情報を扱うWebサイトを運営しているのであれば、Webアプリケーションの脆弱性について早急に対策を取るべきだ。Webアプリケーションの安全性を高めるために考えられる対策として5つの方法を提案したい。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- SharePointのダウンロードイベントログを回避する2つの手法が見つかる
- Rustの標準ライブラリにCVSS 10.0の脆弱性 任意のシェルコマンドを実行されるリスク
- AI導入はカンタン? 調査からセキュリティ専門家たちがナメている可能性があると判明
- キヤノンがグローバル330社の経営管理基盤を構築 連結決算を合理化した方法は?
- 「テクノロジー乱立問題」に立ち向かう 自社標準を決める“とってもシンプルな方法”とは?
- Copilot for Securityはどう使えばいい? マイクロソフトがプロンプトの例を公開
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
- そのインシデントは“重大”か? 判断の指標となる定量的/定性的な要素
- 日清食品はなぜ「生成AIを20日で導入」できたか? セキュリティ視点で考える
ITmediaはアイティメディア株式会社の登録商標です。