2011年5月10日8:44
IPA(独立行政法人情報処理推進機構)は、2011年5月9日、Webサイトに対する攻撃事件が目立っていることを受け、Webサイト運営者に広く対策の徹底を呼びかけるため、注意喚起を呼び掛けた。
近年、Webサイトを用いたサービスにおいて、製品やサービス提供の決済機能を有するものが多く、氏名や住所、電話番号などの個人情報のほか、クレジットカード情報など重要な情報が取り扱われている。その一方で、これらのサービスに対する妨害行為や、企業が保有する重要情報の奪取を意図した悪質な行為が目立ってきている。このような事件の中には、SQLインジェクションなどにより、Webサイトの脆弱性を狙った攻撃によって情報が漏えいし、事業の継続に多大な影響を及ぼす結果となったものも複数存在している。例えば、2010年には、アウトドア用品のサイトにおいて1万件以上、オンラインゲームのサイトにおいて18万件以上の個人情報の漏えいが起きた。
IPAでは、このような事件を受け、Webサイト運営者に対し、顧客情報の保護および事業継続の観点から、脆弱性対策の今一度の確認と、徹底を図るよう呼び掛けている。
具体的な対応策としては、定期的にWebサイトで使用しているOSやサーバソフトウェアの脆弱性対策を、ベンダー情報や脆弱性対策データベース「JVN iPedia」などを活用して実施することを挙げている。また、脆弱性診断を実施するなど、ウェブアプリケーションの脆弱性を再確認し、万が一、脆弱性が見つかった場合は、「安全なウェブサイトの作り方」などを参考に、脆弱性を修正することを呼び掛けている。脆弱性を修正できない場合などは、WAF(Web Application Firewall)などの活用も検討してほしいとしている。
また、ネットワークの入口において、ファイアウォール、ネットワーク監視、アンチウイルスなどの対策を実施するとともに、ネットワーク上でやり取りされる情報の暗号化による保護などで、リスクを低減することを求めている。
さらに、万が一、ウイルス感染や不正アクセスをされた場合でも情報を保護するため、情報へのアクセス制御の実施や、重要な情報の暗号化などで多段の防御を実施することの重要性も挙げている。
それに加え、日々、iLogScannerなどの活用によるアクセスログの分析、データベースへのアクセス監視で、攻撃をいち早く検知できる仕掛けや体制を整備し、事件・事故が発覚した場合のマニュアルや体制を事前に確立しておくことで、二次被害を最小限に留めるように準備してほしいとしている。
なお、個人情報の取り扱いに対しては「個人情報保護基本法」やプライバシーマーク制度を、またクレジットカード情報を取り扱うWebサイトでは、ペイメントカード業界のセキュリティ基準であるである「PCI DSS」を参考にしてほしいとIPAでは発表している。
