80%のサイトから脆弱性が検出、対策には教育と定期検査が有効


 三井物産セキュアディレクション(MBSD)は21日、2008年度に顧客に対して実施した「Webアプリケーション脆弱性サービス」の結果をまとめたレポートを発表した。調査を実施したサイトのうち80%に何らかの脆弱性が発見されており、対策としては定期的なセキュリティ検査とセキュリティ教育に効果があるとしている。

 2008年度にMBSDが実施した脆弱性検査の評価別の分類では、脆弱性が検出されなかった「S」が20%、危険度の低い脆弱性のみ検出された「A」が20%、中程度の脆弱性が検出された「B」が33%、危険度の高い脆弱性が1件のみ検出された「C」が18%、危険度の高い脆弱性が複数検出された「D」が9%。

 評価「S」のサイトの割合が過去最高となった一方で、大量の個人情報漏えいなどが起こる可能性のあった評価「C」「D」の割合も前年度の調査より増えており、セキュリティレベルが二極化傾向にあると分析している。

 脆弱性の種類別検出率では、クロスサイトスクリプティングが55%で最多。以下、パラメーター操作(35%)、クロスサイトリクエストフォージェリ(33%)、エラーコード(22%)、SQLインジェクション(19%)の順となっている。

 MBSDが実施しているセキュリティ教育サービスの受講者と非受講者の比較では、作成したアプリケーションから検出された脆弱性の件数が、受講者では平均4.6件、非受講者では平均18.8件と大きな差が見られたという。

 また、過去に脆弱性の検査経験があるかどうかでも脆弱性の検出件数には違いが見られ、検査経験ありの場合は平均8.3件、検査経験なしの場合では平均30.1件となっており、セキュリティ教育や定期的な検査が対策として有効だとしている。


関連情報

(三柳 英樹)

2009/7/21 18:09