セキュリティコンサルティング事業などを手がけるNRIセキュアテクノロジーズは2007年6月19日、2006年度(2006年4月から2007年3月)に同社が実施したWebサイトのセキュリティ診断サービスの結果を発表した。それによると、調査した企業・官公庁のWebサイト146件の42%で、重要情報(個人情報など)に不正にアクセスされる「致命的な欠陥」が見つかったという。
2006年度に同社のセキュリティ診断サービスを利用した企業・官公庁は58社/組織。複数のWebサイトを診断した企業・官公庁があるため、調べたサイトの総数は146件だった。今回の報告は、それらの診断結果をまとめたもの。
同社のセキュリティ診断サービスは、攻撃者と同じ条件でセキュリティ上の問題を探すことが特徴だという。主にインターネット経由で対象サイトにアクセスし、さまざまな攻撃手法を試行。実際に不正アクセスが可能か、重要情報が盗めるかなどを試す。
その結果、「重要情報に不正にアクセスできた」とするサイトが42%、「情報漏えいにつながる可能性がある」サイトが35%、「危険度の高い問題は発見されなかった」サイトが23%だった(図)。
ここでの「情報漏えいにつながる可能性がある」サイトとは、重要情報を直接盗まれることはないが、ある条件が整えば、重要情報が漏れる可能性があるサイトを指す。具体的には、クロスサイトスクリプティングの問題があるサイトなどが該当する。
セキュリティ診断サービスを利用したWebサイトのうち、実際に稼働中だったサイトは62件、公開前のサイトは84件。「致命的な欠陥が見つかった割合は、ほぼ同程度だった」(NRIセキュアテクノロジーズ コンサルティング事業部 主任コンサルタントの鴨志田昭輝氏)。
同社がセキュリティ診断サービスの結果を公表したのは、今回が3回目。2005年度と2004年度については、「重要情報に不正にアクセスできた」が50%と43%、「情報漏えいにつながる可能性がある」が29%と33%、「危険度の高い問題は発見されなかった」が21%と24%だった。
これらのデータから同社では、ここ3年間でWebサイトの安全性はあまり改善されていないとする。企業や組織の対策は進んでいるものの、不正アクセスの手法も進歩しているために、いたちごっこの状態が続いていると同社では分析する。
