ページの先頭です。
サイト内の現在位置を表示しています。
  1. ホーム
  2. ソリューション・サービス
  3. サイバーセキュリティソリューション
  4. NEC Cyber Security Journal
  5. 座談会
ここから本文です。

座談会

セキュリティスペシャリスト達が語る「サイバーセキュリティ最前線の現場から」

テーマ3 Webサイトが危ない。Webアプリ開発に潜む問題とは

後藤: 最近は、Webサイトの脆弱性を突いた攻撃も急増していますね。Webサイトを防御する上で課題となるのは、どんなところですか。

Web診断担当

Web診断担当: 使い勝手や機能の向上が継続的に求められるWebアプリケーション開発は、常に時間との戦いです。限られたスケジュールの中で作業を進めていくため、些細なミスなどからアプリケーション内部に脆弱性を含んでしまうことは珍しくありません。Webサイトの改ざんや情報漏えいなどの事故が起こると、サービスの停止、ユーザへの補償など、ビジネスに重大な影響を及ぼしてしまいます。しかし脆弱性対策は手間やコストが大きく、社内に専門知識を持った担当者も不足しています。このため未対策のWebサイトが数多く存在しているのが実情です。

後藤: Webサイト診断を行った際、「これはかなり危ない」と感じた事例として、どのようなものがありますか。

Web診断担当: 極端な例ですが、もう10年以上前に作られたWindows Server 2003上のPHPのアプリがまだ現役で頑張っているのはびっくりしました。サポート切れでセキュリティ修正プログラムは提供されないため非常に危険です。また、お客さま自身も把握されていない古いWebページやファイルがサイト上で公開されていたため事情をお聞きしたところ、開発から運用・保守まで外部業者さんに丸投げしており、お客さまも開発側も脆弱性問題を理解していないことがわかりました。外部業者がどんどん変わっていくパターンも多いですね。そうなると以前のサイトのメンテナンスは誰がやるのか、責任の所在が曖昧になり、脆弱性も放置され攻撃者のターゲットとなるリスクが高まります。

IR担当: 他には、運用面での問題放置が多く見られます。驚いたのはパスワードをデフォルトの「password」のままで運用していたケースが未だに起きていることです。すぐにポリシーを設定し直して頂きました。

拡大するセキュア開発・運用の取り組み

後藤: こうしたさまざまな問題を踏まえ、NECとしてお客さまにどのような提案や対策を行っているのでしょうか。

セキュア開発・運用担当

セキュア開発・運用担当: 安全性を確保するための第一歩は、リスクアセスメントによる現状のシステムの把握です。例えば病気になった場合、「とりあえずこの薬で」ということはなく、症状と原因を洗い出した上で最善の治療を行うように、システムもそうあるべきと思います。最近のサイバー攻撃は、企業や組織の事業継続に著しく影響を与える事例が数多く報告されており、担当者や担当部門任せではなく、全社的な取り組みが求められています。被害を未然に防ぐ、あるいは被害を最小化するためには、弊社の営業・SEとお客さま側の意識改革も必要かもしれません。NECのセキュリティ技術センターでは、システム構成や現状の運用も含めた課題を精査し、セキュリティリスクと優先度に応じた対策提案を行っています。またさまざまな問題を解決するために、開発ガイドラインの見直し、セキュリティポリシーの策定、Webシステムの改修、インシデント対応策の策定といったご相談にも対応しています。

最後に

サイバー攻撃の高度化により、複数ベンダのセキュリティ機器が増加し、増大し続けるIT管理の作業工数を少しでも減らしたいとのお客さまの声に応え、作業工数削減が図れるログ相関分析システムなどのさまざまなソリューションやサービスを展開する予定です。ログ相関分析は、「標的型攻撃」や「ばらまき型攻撃」、「外部に公開しているサーバへの攻撃」の調査以外に、社内の「内部不正対策」にも活用できます。

ログ相関分析イメージ

日本政府は2015年9月、新たな「サイバーセキュリティ戦略」を策定しました。サイバーセキュリティに関する施策を国のリスク低減だけでなく、日本全体の国際競争力を強化させる手段と明確に位置づけています。その中で特に企業が意識すべきことは、あらゆるモノがインターネットに接続され、実空間とサイバー空間が高度に融合していくこれからの社会では、セキュリティは「コスト」ではなく、企業価値や国際競争力を高めるために必須な「投資」と認識されたことです。
NECは、日本政府提唱の企画・設計段階からセキュリティ確保を盛り込む「セキュリティ・バイ・デザイン」のコンセプトのもと、セキュア開発・運用に取り組み、お客さまと共に安全・安心な社会の実現に貢献していきます。

【動画】今、企業の情報資産を守るために必要なこととは?
-NECからのご提案-

画面キャプチャ

外部攻撃(標的型攻撃、不正アクセス)、内部不正の両面から狙われる企業情報。どのように守っていくのか、どこから始めるべきなのか、日々ご相談をいただいています。
NECが考える、企業がケアすべき情報の流出経路とその脅威、そして今求められる対策について、CG動画(5分)でコンパクトにご紹介します。

【診断】設問に答えてその場でわかる!
あなたの会社にいま必要な内部情報漏えい対策とは?

画面キャプチャ

昨今の相次ぐ情報漏えい事件を背景に、システム管理者の不正防止といった内部対策の重要性が増しています。この診断を通して貴社の対策状況を把握いただき、今後必要となる対策のヒントとしてご活用ください。

ページの先頭へ戻る