事後対応、マネジメントリスクまで含めたセキュリティの実例情報を配信
WEBアプリケーション専門情報サービスである Scan WEB Security では、WEB アプリケーションセキュリティの問題の実例をとりあげた情報の配信を開始する。
製品・サービス・業界動向
業界動向
実際のサイトに存在したWEB アプリケーションセキュリティについて解説を加え、危険度などを3段階に分類する予定である。
危険度はWEB アプリケーションに存在するシステム上の危険性を示す「セキュリティリスク」とWEB アプリケーションセキュリティへの対処体制の危険度を示す「マネジメントリスク」の2つの観点で分類している。
例えば、WEB アプリケーションセキュリティの問題は低くても、対処体制が確立されていなければ問題が発生した際に適切な対処ができない可能性がある。その危険性をマネジメントリスクという視点で評価している。
Scan WEB Security では実際に発見したWEB アプリケーションセキュリティの問題を当該サイトに連絡した際の対応状況により、マネジメントリスクを判断し、分類するとのことである。
掲載予定となっているサイトの多くは、大手ECサイト、サーチエンジンなどであり、その多くはマネジメントリスクは低いと分類されているが、中には、対処を行っていない大手ワイン販売サイトや銀行サイトなどもあり、マネジメント上の問題が存在することを如実にあらわしている。
レポートには、連絡した際のやりとりの過程も含まれており、他のサイトの対応状況方法、手順の概略がわかり、管理者にとっては参考になる。
実例としてとりあげる企業は下記の通りである。
株式会社フジサンケイリビングサービス(ディノス)は、迅速な対処を行ったが、その他の企業は対処が遅い上に脆弱性報告に関する連絡体制がないようであった。
どのようなサイトにも、事件、事故の発生する可能性がある。そのため、ECサイトを開設している企業にとって、脆弱性報告に対応する体制がないことは、事件、事故が発生を未然に防ぐ体制がないことを意味するため、致命的な欠点ともいえる。
東邦銀行
http://www.tohobank.co.jp/
セキュリティリスク:低 マネジメントリスク:高
エノテカ株式会社
http://www.enoteca.co.jp/
セキュリティリスク:中 マネジメントリスク:高
株式会社フジサンケイリビングサービス(ディノス)
http://www.dinos.co.jp/
セキュリティリスク:中 マネジメントリスク:低
Scan WEB Security
http://shop.vagabond.co.jp/m-sws01.shtml
関連情報
Scan WEB Security
著名CGIサイト"KENT WEB"がWEBアプリケーションセキュリティ講座開始
(2002.12.3)
https://www.netsecurity.ne.jp/article/1/7671.html
《ScanNetSecurity》
