ウェブサイトに脆弱性が見つかった場合

akui

ウェブサイトに深刻な脆弱性があったとしても、トラブルもなく稼働している場合問題に気づくことは容易ではありません。まず、ウェブサイトで使用している基盤ソフトやアプリケーションの脆弱性は公表されていることがあるので、常に情報収集に目配りする必要があります。

バージョンによっても対応は異なるので、自ウェブサイトの最新の構成情報を確認しておきましょう。また、悪意の第三者による不正アクセス、コンピューターウイルスへの感染等のトラブルやその予兆をきっかけとしてプログラムの門債や設定ミスに気づくことがあります。ウェブシステムが不審な挙動を示した場合、外部から脆弱性を攻撃されたことが原因である可能性を検討すべきです。

さらに、自社ウェブサイトの脆弱性について第三者から指摘を受けることがあります。例えば、ウェブサイト利用者がウェブサイトを閲覧していて偶然、重要情報にアクセスできてしまう可能性やプログラムの動作から何らかの問題を内包している疑いに気づくことがあります。そうしたウェブサイト利用者から問い合わせを受けた場合には、速やかに調査し脆弱性の有無を確認すべきでしょう。

IPAから脆弱性に関する連絡を受けた場合、独立行政法人情報処理推進機構(IPA)では「ソフトウェア等脆弱性関連情報取扱基準」の告示を踏まえ、2004年7月からソフトウェア製品およびウェブアプリケーションの脆弱性に関する届け出を受け付けています。IPAではウェブサイトの脆弱性に関する届け出を受けた場合、当該ウェブサイトの運営者にその旨を連絡し、脆弱性対策の実施を促します。

ウェブサイトの脆弱性が発見され、悪意の第三者による攻撃やコンピューターウイルスの問題が発生した場合のトラブル対応は、扱いを誤るとブランドイメージの低下や経営基盤を揺るがす損失につながりかねません。したがって、事務機器の故障のような日常的問題の延長としてではなく、事業継続管理や危機管理の観点を備え、企業としての意思決定に基づく対処指針や姿勢を提示すべきです。

また、外部の事業者に保守業務を委託している場合には、脆弱性対策についても契約に含め、緊急時にも円満な対応が得られるように、体制や費用等についてあらかじめ合意しておくことが望まれます。

次回は、脆弱性の対応についてご紹介していきます。