知って得するセキュリティのはなし その116
公開Webサイトのセキュリティ診断、殆どのサイトで何らかの脆弱性あり…IPA発表
1.このニュースをざっくり言うと
- 6月7日(日本時間)、IPAより、中小企業向けサイバーセキュリティ対策支援体制構築事業「サイバーセキュリティお助け隊」の、2020年度の実証実験に関する成果報告が発表されました。
- 同事業は2019年度にも実施されていたもので、今回は全国13地域および2産業分野の計1,117社の中小企業が実証に参加(2019年度は8地域・1,064社)、これらの企業に対しUTMやEDR(Endpoint Detection and Response)ソフトウェア等のセキュリティ機器を導入することにより実態を把握、計293件のインシデント対応他技術支援を実施したとのことです。
- 中小企業のセイバーセキュリティ対策の実態に関するまとめとして、インターネット上に公開しているホームページ・サービスサイト等の脆弱性診断において、対象企業の殆どで何らかの脆弱性が発見され、うち概ね2割の企業においては重大なインシデントに繋がる可能性があると診断された、等としています。
2.執筆者からの所感等
- 発見された脆弱性の詳細は公開されていませんが、例えばWordPressのようなCMS(コンテンツ管理システム)あるいはECサイト構築ソフトウェア等を用いてWebサイトを立ち上げた後、ソフトウェアのアップデートを適切に行っていないケースは依然として多いとみられます。
- また、UTM等の設置により、外部からのクロスサイトスクリプティングやSQLインジェクションをはじめとするWebサイトへの攻撃、あるいは内部からのボットネット等との通信を検知したとする報告も挙がっており、多くの中小企業が実際に攻撃のターゲットとされている実情が窺い知れます。
- 2021年以降、同事業は民間でのサービス展開に移行するとしていますが、セキュリティ対策に対し多くの中小企業が最低限の予算しかかけていない、また支払い可能な金額として月額1万円程度と回答している実情に対し、セキュリティの底上げについてどういった方策がとられるか注目されるところです。