IR 情報

お問い合わせ

BLOG

情報セキュリティ BLOG

Web セキュリティ

2021 年 05 月 18 日

ウェブサイト運営事業者の脆弱性対策の現状と課題

~企業がとるべき脆弱性対応のガイドと 10 問でわかる情報セキュリティチェックリスト~

独立行政法人情報処理推進機構(IPA)が、2021 年 3 月に「 小規模ウェブサイト運営者の脆弱性対策に関する調査報告書 」を公表しました。IPA が実施したこの調査は、従業員が 50 名以下の企業を対象としており、ウェブサイトの構築・運用の形態や内容、脆弱性対策への理解や脆弱性対策の現状と課題などについてアンケート結果をまとめています。

ウェブサイトの開発・構築の方法

ウェブサイトの開発・構築の方法では、自社で開発・構築するという回答が多く合計で 52.8% と過半数になっています。内訳は以下のとおりとなります。

  • ウェブサイト構築用のソフトウェア製品やオーサリングツールを利用して自作した:28.9%
  • 自社で独自にウェブアプリケーションを開発し、構築した:8.0%
  • 既存のパッケージを利用・カスタマイズし、構築した:15.9%

(出典)IPA「小規模ウェブサイト運営者の脆弱性対策に関する調査報告書」

ウェブサイトを開発・構築する際の重視する点では、費用:66.4%、運用時の利便性・拡張性:65.1% が上位を占める結果となり、セキュリティは 2012 年度の調査結果と比べ上昇したものの 41.2% に留まっています。

ウェブサイトのセキュリティ対策の状況

本調査では、ウェブサイトのセキュリティ対策の状況について質問されています。ウェブサイトのセキュリティ管理について担当者を設けた組織的な管理が行われているかの質問では、専従者と兼任者を合わせると 48.4% で、組織的には対応していない(各自で対応している)が 39.1%となっています。
「セキュリティ対策の外部委託」では、大半を外部委託で実施している(39.4%)、一部を委託している(27.7%)を合わせると過半数以上が外部委託している結果となっています。

ウェブサイトの脆弱性対策の状況

ウェブサイトの脆弱性対策の認識に関する質問では、約 25%~約 30% が「詳しく知っている」と回答していますが、2012 年度の調査からは減少している結果となっています。

(出典)IPA「小規模ウェブサイト運営者の脆弱性対策に関する調査報告書」

また、「SQL インジェクション」や「OS コマンド・インジェクション」などについては過半数が知らないという結果となっています。

(出典)IPA「小規模ウェブサイト運営者の脆弱性対策に関する調査報告書」

ウェブサイトに対する基本的な脆弱性対策の状況では、ソフトウェアの定期的な更新やパスワードの管理・認証の強化、セキュリティ製品の利用などは過半数が実施しているものの、「脆弱性(脅威、手口など)の最新情報取得」は半数が実施したことがないと回答しています。

ウェブサイト運用時の脆弱性対策の状況

ウェブサイト運用時の脆弱性対策の状況についての質問では、実施したことがない対策として、「ネットワーク機器の脆弱性対策」が最も多く、次いで「OS の脆弱性対策」「ソフトウェア・ミドルウェアの脆弱性対策」などとなっています。

(出典)IPA「小規模ウェブサイト運営者の脆弱性対策に関する調査報告書」

さらに、脆弱性対策を行わない理由について、構築時あるいは運用時にウェブサイトの脆弱性対策を行わないとした回答者にその理由を質問した結果、「個人情報を扱っていないから」(51.8%)、「クレジットカード等の決済を行っていないから」(38.6%)、「サイトが著名でないので、被害に遭うとは考えにくいから」(27.7%)とする回答が上位に挙がりました。一方で、「難しくてよくわからない」という回答が 20.5% あり、2012 年度調査の回答(10.8%)から 2 倍近くに増加しています。

また、ウェブサイトの脆弱性対策等のセキュリティ対策を進める上での課題については、「脆弱性やセキュリティに関する技術の習得が難しい」(74.4%)、「脆弱性やセキュリティに関する情報が多すぎて選別が難しい」(64.2%)、「対策を行うための人員が足りない」(63.5%)の回答が多く挙げられました。
本調査報告書では、ウェブサイトの脆弱性の理解や対策の重要性が普及啓発できていないことや脆弱性対策が進んでいない可能性があるとしています。

IPA では、安全なウェブサイトを運営するための「企業ウェブサイトのための脆弱性対応ガイド」を提供しており、その 改訂版 を公開しています。
本ガイドでは、ウェブサイトを安全に運用するために「脆弱性対策を必ず行うべきウェブサイト」や「ウェブサイトの脆弱性対策のポイント」など安全なウェブサイトの構築と運用するためのセキュリティ要件や手引きが用意されています。

(出典)IPA「安全なウェブサイト運営にむけて ~ 企業ウェブサイトのための脆弱性対応ガイド ~(改訂版)

ウェブサイトへの不正アクセスや改ざんなどの脅威への対策として、定期的なウェブアプリケーションの脆弱性診断が重要です。     
サイバートラストでは、経済産業省 「情報セキュリティサービス基準」に準拠した 脆弱性診断サービス を提供しています。また、「SSL / TLS サーバー証明書 SureServer シリーズ」をご利用中のお客様向けには、クラウド型自動脆弱性診断サービス「 サイバートラスト Web スキャナー 」をご提供しています。

あなたの会社の情報セキュリティ チェックリスト : サイバートラスト 情報セキュリティコンサルティングサービス
Web アプリ開発企業向け 情報セキュリティ対応度チェックリスト : サイバートラスト 脆弱性診断サービス
Web アプリケーション診断 早得キャンペーン
採用情報ページ リニューアル
組込み Linux にプラスして 長期間の製品ライフサイクルをサポート EM+PLS