企業・官公庁サイトの34%、重要情報に不正アクセス可能


 NRIセキュアテクノロジーズは28日、2008年度に実施したWebサイトのセキュリティ診断の結果を公表した。診断対象は、企業や官公庁など64社・団体が運営する217のサイト。うち、34%のサイトは個人情報をはじめとする重要情報に不正アクセスが可能だった。また、42%のサイトでは、情報漏えいにつながる可能性がある問題が確認されたとしている。

 同社によれば、重要情報へ不正アクセスできたサイトの割合は、昨年度の41%から7ポイント減少したという。その一方、情報漏えいの可能性があるサイトの比率は昨年度の30%から10ポイント以上増えたほか、安全だと確認されたサイトの割合についても昨年度の29%から24%に減少した。

 重要情報への不正アクセスが可能だったサイトが減少したことについて同社は、サイトのセキュリティ対策に取り組む企業が増えたためと説明。その背景には、情報漏えい事件が多数発生していることに加え、事件規模が年々大きくなっていることが挙げられるとしている。

 情報漏えいにつながる可能性があるとされたサイトの割合が増えた理由については、「IT投資全般の予算が抑えられる中、致命的な問題には対策を行っておくが、それ以外の問題まで漏れなく対応するコストが掛けられないという、企業側の苦しい事情がある」と分析している。

 なお、重要情報に不正アクセス可能だったサイトの51%には、クロスサイトスクリプティングの脆弱性が確認された。また、ログインしたユーザーが何らかの方法で別のユーザーの重要情報にアクセスできる「なりすまし」、「権限昇格による管理者機能へのアクセス」「SQLインジェクションによるデータベースの不正操作」が確認された割合はいずれも2割を下回った。

年度別Webサイトのセキュリティ診断結果

 同社はこのほか、クレジットカードを取り扱っている27のWebサイトを抽出した診断結果も公表した。それによれば、37%のサイトで重要情報に不正にアクセスできることを確認したほか、情報漏えいにつながる可能性があるサイトは52%と半数を上回った。安全であると確認されたサイトはわずか11%にとどまった。

 また、クレジットカードを扱うサイトにおいて、カード番号を暗号化して保存しているかどうかを調査した結果、52%のWebサイトが暗号化しない状態でカード番号を保存していることもわかった。カード番号を保存していないサイトは26%、暗号化した状態でカード番号を保存していたサイトは19%だった。


関連情報

(増田 覚)

2009/7/28 20:17