WRブログ

webサイト脆弱性対策のポイントVol.3 〜脆弱性が見つかった場合の対応〜

>webサイト脆弱性対策のポイントVol.3~脆弱性が見つかった場合の対応~

前回の『webサイト脆弱性対策のポイントVol.2 〜公開後・運用段階〜』では、webサイトの安全性と公開後の脆弱性対策、脆弱性が原因で発生したトラブルの例についてご紹介しました。

しかし、運用が始まってから脆弱性が見つかった際に、迅速な対応ができなければ、トラブルが発生し、被害はあっという間に拡大してしまいます。そこで今回は、自社のwebサイトで脆弱性が発覚した場合の対応や、実際に脆弱性が原因でトラブルが発生してしまった場合にどのように対処すべきなのかについてご紹介します。

脆弱性が見つかった場合の対応

webサイトの脆弱性は、実際にトラブルが起きずに稼動していると、気がつくことは困難です。そのため、webサイトの脆弱性に関する報告は社内から出てくることもあれば、webサイトの利用者から「webサイトで不審な挙動が起きている」と、お問い合わせをいただくこともあります。最近ではSNSなどを通じて脆弱性が発覚する場合もあります。

このように、自社のwebサイトで脆弱性の報告があった場合、どのように対処する必要があるのでしょうか。

上記の図をもとに、まずは脆弱性の有無について調査を行います。このとき、事前のセキュリティチェックリストを用意しておくと、関連する箇所が把握しやすくなります。

調査の結果、脆弱性が確認された場合、影響範囲と対策方法を検討したうえで、脆弱性を修正するためのプログラムの適用といった対策を行う必要があります。脆弱性の規模や利用者への被害を考え、プログラムの適用の前に対処の方針・計画を整理した上で、可能な範囲で説明し理解を求めることが必要になる場合もあります。

また、脆弱性発見した内部・外部の相手や、ウェブサイト利用者との間の連絡窓口を設置することで、関係者へ情報を集約することで、原因特定までのプロセスを速やかにすることができます。

脆弱性が原因でトラブルが発覚したら?

万が一、webサイトの脆弱性が原因でトラブルが発覚した場合、運営側には迅速な対応が求められます。「不正アクセスを受けている」、「フィッシング詐欺等に悪用されている」、「ウイルスに感染している」といった場合には、ただちにwebサイトを停止し、被害の拡大を防ぎましょう。さらに、個人情報や機密情報の漏えい、webサイト利用者へのウイルス送信等が発覚した場合には、速やかに被害事実の公表も必要です。

2017年に個人情報保護委員会から公表された「個人データの漏えい等の事案が発生した場合等の対応について」によると、「個人情報の漏えい等が発覚した場合、次の(1)から(6)に掲げる事項について必要な措置を講ずることが望ましい」とされています。

(1)事業者内部における報告及び被害の拡大防止
(2)事実関係の調査及び原因の究明
(3)影響範囲の特定
(4)再発防止策の検討及び実施
(5)影響を受ける可能性のある本人への連絡等
(6)事実関係及び再発防止策等の公表

webサイトのトラブルは、弱点を狙って不正アクセスやウイルスといった攻撃をかけられることで起きてしまいます。それらを防止するためには、丁寧な原因究明の調査と、脆弱性の穴を塞ぐことが重要です。

脆弱性の穴埋めが不十分のままサービスを継続すれば、再びトラブルに巻き込まれる可能性もあります。脆弱性の調査や修正には時間を要するため、ときにはwebサイトを一時非公開にするといった決断も必要になってきます。

まとめ

ここまで、脆弱性が見つかった場合の対応と、トラブルが発覚したときの対応についてご紹介しました。webサイトによっては、定期メンテナンスなどを設けて、こまめに脆弱性のチェックをおこなったり、万が一のトラブルに備えてデータのバックアップを取るなどの対策もしています。

他にも、脆弱性が生まれそうな箇所に対して擬似攻撃をおこなってみたり、想定とはことなる使い方をしてみるなどして、webサイトの脆弱性診断を実施しておくことも有効です。


・脆弱性が見つかった場合には、綿密な調査で原因を突き止める

・脆弱性が原因でトラブルが発覚した場合には、迅速で適切な対応が求められる

■脆弱性診断(セキュリティ診断)はお任せください

弊社が提供する「セキュリティ診断サービス」は、高い技術レベルの専門家が擬似攻撃を仕掛けるなど、貴社webアプリケーションやプラットフォーム、スマートフォンアプリ、データベース、システムの脆弱性やセキュリティにおける問題点を、 さまざまな観点・手法から診断するサービスです。詳しくはセキュリティ診断サービスをご覧ください。

■webサイト脆弱性対策に関するその他の関連記事

webサイト脆弱性対策のポイントVol.1 〜設計・開発段階〜
webサイト脆弱性対策のポイントVol.2 〜公開後・運用段階〜
webサイト脆弱性対策のポイントVol.3 〜脆弱性が見つかった場合の対応〜【本記事】
webサイト脆弱性対策のポイントVol.4 〜脆弱性対策のチェック項目〜

【参考URL】:
https://www.ppc.go.jp/files/pdf/iinkaikokuzi01.pdf, (参照 2017年8月31日)
https://www.ipa.go.jp/files/000044736.pdf, (参照 2017年8月31日)
http://www.meti.go.jp/press/2017/05/20170523001/20170523001.html, (参照 2017年8月31日)