Webサイトのセキュリティ意識は「まだ低い」:開発や運用での定期検査を
IPAがWebサイト運営者に行ったアンケートから、Webサイトに対するセキュリティ意識が十分に浸透していない状況が分かった。
Webサイト開発時にセキュリティを意識した運営者は50%――情報処理推進機構(IPA)とJPCERT コーディネーションセンター(JPCERT/CC)が1月26日に発表した2008年10〜12月期の「脆弱性関連情報に関する届出状況」で、Webサイト運営者のセキュリティ意識が十分に浸透していない状況が明るみになった。
IPAでは、脆弱性対策を実施したWebサイト運営者にセキュリティ意識などをアンケートし、2008年7月から210件の回答を得た。その結果、Webサイトの開発段階でセキュリティを意識したという回答は50%だった。2006年の30%程度に比べて増加したものの、半数近くが意識していないことが判明した。
Webサイト開発時にセキュリティ対策を実施した割合は、上場企業や地方公共団体、政府機関で70%以上になったものの、非上場企業では54%、団体では25%にとどまった。個人は67%だった。なお、上場企業や地方公共団体、政府機関では対策したものの、脆弱性が発見される割合が高かった。
IPAでは、Webサイトに対するセキュリティ意識がまだ低い状況であるとし、「開発時にセキュリティを意識した適切な実装が必要で、運用後も定期的な検査を実施すべき」と結論付けている。
期間中の届出状況では、ソフトウェア製品関連が60件、Webサイト関連が1430件で、2004年7月以降の累計ではWebサイト関連が全体の5分の4を占めた。特に2008年7〜12月期は、WebサイトにおけるSQLインジェクションやDNSキャッシュ汚染、クロスサイトスクリプティングの届出が急増した。脆弱性対策が完了したのは201件で、累計では1334件となった。
ソフトウェア製品関連では、修正が完了したものが22件で、累計では321件となった。JPCERT/CC では海外CSIRTと連携して17件の情報をJVN(Japan Vender Note)で公表した。
関連記事
Webサイトにまつわるセキュリティ:正規サイトの「弱み」でマルウェアに感染する時代
2008年は正規サイトを閲覧しただけでマルウェアに感染する報告が急増。今やインターネットの脅威の起点が正規サイトとなるケースが珍しくない。Webサイトを襲う脅威の現状とは?
IPA、DNSキャッシュ汚染の対策資料を公開
IPAは、2008年7月に明るみになったDNSキャッシュ汚染に対処するための資料をWebで公開した。
仕事納めまでに対処:DNSキャッシュ汚染問題の早期対応を、IPAが再び注意喚起
7月に発覚したDNSプロトコルの脆弱性への対応が進んでいないとして、IPAはサーバ管理者やサイト運営者に早期対処を改めて呼び掛けている。- Web関連の脆弱性届出件数が急増、IPAが発表
IPAによると、7〜9月期はDNSキャッシュ汚染問題でWeb関連の脆弱性報告が急増した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- GoogleやMetaは“やる気なし”? サポート詐欺から自力で身を守る方法
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
- PAN-OSにCVSS v4.0「10.0」の脆弱性 特定の条件で悪用が可能に
ITmediaはアイティメディア株式会社の登録商標です。