企業サイトの4割が容易に攻撃可能、CMSなどの容易なサイト構築に潜む脅威（2/2 ページ）

NRIセキュアテクノロジーズは、企業の情報セキュリティ対策の実体と推奨する対策をまとめた「サイバーセキュリティ傾向分析レポート2017」を発表した。

[金澤雅子，ITmedia]

2.HTTPS通信（暗号化通信）への移行が加速する一方、新たな問題が浮上

　同社のマネージドセキュリティサービスの1つである「FNCセキュアインターネット接続サービス」におけるプロキシサーバのWebアクセスに関するログ（調査対象企業数20社）を集計した結果、HTTPS通信（暗号化された通信）の割合は、2016年4月の19％程度から、2017年3月に40％に増えたことが判明。

　GoogleやYahoo! Japanなどの大手インターネットサービスを中心にWebサービスのHTTPS化が進んでいることが、HTTPS通信の割合を引き上げる結果につながったという。HTTPS通信は、Webサーバの正当性を確認でき、第三者による傍受を防止できるなどの点から、ユーザーにとってメリットが大きいとされている。

　その反面、企業のインターネット接続環境の管理面では、プロキシによる通信経路上でのセキュリティ施策が有効に機能しなくなるというデメリットがあると指摘。HTTPS通信では、宛先IPアドレスや宛先QDNなどの限定的な情報しか検査できなくなり、アンチウイルス、URLフィルター、侵入検知（IDS／IPS）、通信内容の保存といった従来のセキュリティ対策ができなくなる問題があるという。

　また、多くのクラウドサービスがHTTPS通信で暗号化されているため、サービスを利用する企業にとっては、従業員の利用状況の可視化や統制がしづらくなるという問題も出てきている。

　HTTPS化の流れが進む中、このような問題を認識した上で、境界防御といったHTTPS化に対応したセキュリティ対策が求められるとしている。

3.企業のWebサイトの4割が容易に攻撃可能な状態

　顧客企業のWebサイトを棚卸しするセキュリティ診断サービス「Webサイト群探索棚卸サービス GR360」で2016年度に調査した全4039サイトのうち、約4割が、容易に攻撃可能な状態であることが分かったという。古いバージョンのソフトウェアを使用していたり、IDとパスワードのみの認証で管理画面が公開されたりする状態で、特にマーケティングキャンペーンのサイトや、中小企業のコーポレートサイトにこの傾向が多く見られたという。

　背景として、CMSの利用拡大により、専門的な知識をそれほど必要とせず、比較的容易にWebサイトを構築できる反面、セキュリティの堅牢（けんろう）化に関するノウハウの提供や、保守、運用までを配慮したサイト設計が十分になされていないことなどが挙げられると指摘。

　企業のWebサイトとしてセキュリティ水準を維持するには、専任の担当者を配し、自社のWebサイトの現状を把握した上で、Webサイトインフラの統合や一元管理を行うことが望ましいとしている。

　CMSでの対策については、2016年9月にIPA（独立行政法人情報処理推進機構）が公開した技術資料「CMSを用いたウェブサイトにおける情報セキュリティ対策のポイント」などを参考に、サイトの安全性が一定の水準を満たしているかを検証することが有効だという。