オンラインとそのリスク - シマンテック・ウェブサイトセキュリティ

表紙
はじめに
インフォグラフィックで見る概略
リスクを伴う振る舞い
脆弱性診断
脆弱性リスク
最近の侵害
影響についての評価
将来の計画
オンラインとそのリスク
予防
結論
日本: ウェブサイトのセキュリティにおける脆弱性
合同会社シマンテック・ウェブサイトセキュリティ
は、1996 年、米
国 VeriSign, Inc.(NASDAQ：
VRSN) の最初の海外法人「日本ベリサイン株式会社」
として設立され、2012 年 11 月、米国 Symantec
Corporation(NASDAQ：SYMC) の完全子会社と
なりました。2014 年 4 月 1 日付で現在の商号およ
び会社形態に変更いたしました。当社は、SSL サーバ
証明書、コードサイニング証明書、クラウド型 WAF
など、ウェブサイトのセキュリティを守るための
サービスを提供しています。提供サービスの詳細は、
http://www.symantec.com/ja/jp/products-
!
solutions/families/?fid=ssl-certificates をご参
照ください。"
シマンテックの委託により IDG コネクトが調査実施
表紙
理想と現実の狭間: 脆弱性のギャップ
はじめに
2011 年に発生した日本の某大手電機メーカーを標的とした攻撃による史
調査結果によれば、取り組みにいくつかの大きな違いがあるとはいえ、
上最悪のデータ侵害の影響は、現在もまだ続いています。不正侵入により引
相当数の日本企業がウェブを利用した企業活動において、脆弱性への
リスクを伴う振る舞い
き起こされた 7700 万件もの顧客情報の漏えいは、Apache ウェブサーバ
対処を怠っていることがうかがわれます。
ーに更新プログラムが適用されていなかったことを悪用されたものと見ら
日本企業の 5 分の 2 は、自社のウェブサイトの脆弱性について一度も
脆弱性診断
れています。約 2 年後もその余波はなお広がっており、北米や EU で問題の
テストしたことがない、あるいはテストしたとしても 1 年以上も前で
企業は今なお訴訟に巻き込まれ、データ保護方針を議論しています。
あり、リスクを抱えた状況にいます。しかしながら、これらの企業で、
「ど
脆弱性リスク
企業は大抵、ウェブサイトのセキュリティのことになると十分であると主張
の程度安全であるかわからない」、あるいは「安全でない」と認めたのは、
をしがちです。しかし、その主張に反して、ウェブサイトの診断や保護の網羅
5 分の 1 に過ぎません。
性が十分ではないことがよくあります。当社では、EU と米国の IT 担当者に
日本の企業は、どうやらインターネットセキュリティに関して相当なリ
対するこれまでの調査で、この言行の隔たりを「脆弱性のギャップ」と表現し
スクを負っているようです。攻撃の数が増し、その手口が巧妙になるに
てきました。
つれ、
「脆弱性のギャップ」はますます課題となっています。
インフォグラフィックで見る概略
最近の侵害
影響についての評価
当社の調査によれば、この「脆弱性のギャップ」は自己満足や攻撃される可能
将来の計画
性の認識不足に根ざすことが多いようです。では、日本の企業は、EU や北米
* 2013 年 3 月、シマンテックの委託により IDG コネクトが調査実施。2012 年 10 月
予防
の企業と同じように危険にさらされているのでしょうか。これを調べるため
に、北米と EU（フランス、ドイツ、スウェーデン、イギリス）のそれぞれで回答企業 100 社
当社では 2013 年 3 月、日本の大規模企業と中小規模企業の IT 担当者
を対象に同じ調査を実施。
結論
100 名を対象に調査を行いました。*
貴社の Web サイトはどの程度安全であるとお考えですか ?
69%
最近、ウェブサイトの脆弱性診断/スキャンを実施したのは
いつですか ?
合同会社シマンテック・ウェブサイトセキュリティ
は、1996 年、米
国 VeriSign, Inc.(NASDAQ：
VRSN) の最初の海外法人「日本ベリサイン株式会社」
として設立され、2012 年 11 月、米国 Symantec
Corporation(NASDAQ：SYMC) の完全子会社と
なりました。2014 年 4 月 1 日付で現在の商号およ
び会社形態に変更いたしました。当社は、SSL サーバ
証明書、コードサイニング証明書、クラウド型 WAF
など、ウェブサイトのセキュリティを守るための
サービスを提供しています。提供サービスの詳細は、
一度も実施したことがない
先月実施した
ばかり
33%
38%
9%
4%
5%
1 年以上前
http://www.symantec.com/ja/jp/productssolutions/families/?fid=ssl-certificates をご参
照ください。"
13%
6%
18%
半年以内
5%
昨年中
安全ではない
ある程度安全
である
非常に安全で
ある
全面的
に安全で
ある
わからない
?
表紙
日本におけるウェブサイトのセキュリティ: いかにリスクが大きいか
はじめに
インフォグラフィックで見る概略
リスクを伴う振る舞い
最近、ウェブサイトの脆弱性診断/スキャンを実施したのは
いつですか ?
「自社のウェブサイトが以下の脆弱性に見舞われる可
能性が高い、または非常に高い。
影響についての評価
18%
5%
昨年中
ウェブサイトの脆弱性診断は、どの程度の頻度で繰り返して
いますか ?
なりました。2014 年 4 月 1 日付で現在の商号およ
び会社形態に変更いたしました。当社は、SSL サーバ
証明書、コードサイニング証明書、クラウド型 WAF
直近 12
カ月以内
など、ウェブサイトのセキュリティを守るための
サービスを提供しています。提供サービスの詳細は、
http://www.symantec.com/ja/jp/productssolutions/families/?fid=ssl-certificates をご参
照ください。"
毎月
13%
繰り返してい
ない
5%
わからない
データ漏えい
37%
コンテンツ詐称
Corporation(NASDAQ：SYMC) の完全子会社と
権限の脆弱性
として設立され、2012 年 11 月、米国 Symantec
クロスサイトリクエストフォ
ージェリ攻撃
45%
国 VeriSign, Inc.(NASDAQ：
VRSN) の最初の海外法人「日本ベリサイン株式会社」
!
権限の脆弱性
合同会社シマンテック・ウェブサイトセキュリティ
は、1996 年、米
51%
56%
6%
半年以内
結論
46%
1 年以上前
将来の計画
予防
43%
33%
38%
クロスサイトスクリプティ
ング攻撃
最近の侵害
一度も実施したことが
ない
先月実施した
ばかり
39%
脆弱性リスク
43%
脆弱性診断
NB: グラフ 4 の質問への回答企業は、全回答企業の一部です（n=67）。これを踏まえ、
グラフ 3 と 4 は、連結した円グラフとして示すのが適切でしょう。これによって、グラ
フ3 で「一度も実施したことがない」と回答した 33% と、グラフ 4 で「毎月」と回答
しなかった 37%+13%+5% にハイライトを当てることになります。トータルとしての
この数が、当社がタブ 5 で引き合いに出す怠慢な企業の数になります。
表紙
はじめに
インフォグラフィックで見る概略
リスクを伴う振る舞い
ある程度安全である: IT 管理者は現実的か。
あるいは現実に目を背けているのか
日本の IT 担当者は、EU や北米の IT 担当者に比べ、自社のウェブサイトを評
して「全面的に安全」、あるいは「非常に安全」とは言わない傾向が顕著です。サ
貴社のウェブサイトはどの程度安全であるとお考えですか ?
イトが安全ではない、あるいは単に「ある程度安全である」と認める傾向にあり
脆弱性診断
ます。
脆弱性リスク
最近の侵害
日本
EU と北米を対象に行った過去の調査結果の分析で当社では、ウェブのセキュ
リティに対する一部の IT 担当者の取り組みを評して、「根拠のない楽観主義」
に基づくものと表現しました。今回の調査結果が示唆しているのは、日本の IT
担当者の方が、より現実的であり、おそらくはウェブの脅威について熟知して
69%
での 23%、北米での 11% と比べて、わずか 5% です。）
38% で、対する北米では調査対象企業の 41% です。
Corporation(NASDAQ：SYMC) の完全子会社と
一見すると現実主義である日本の IT 担当者ですが、彼らの監督下にある企業
なりました。2014 年 4 月 1 日付で現在の商号およ
サイトは、北米の企業サイトとまったく同じように攻撃に対して脆弱であると
び会社形態に変更いたしました。当社は、SSL サーバ
証明書、コードサイニング証明書、クラウド型 WAF
など、ウェブサイトのセキュリティを守るための
サービスを提供しています。提供サービスの詳細は、
http://www.symantec.com/ja/jp/products-
4%
に組織においてインターネットセキュリティ侵害に気付いたと答えています。
言えます。
「ある程度安全である」は、肯定的な響きであり、評価されます。しかし、調査結
果は、IT 担当者の自己評価を慎重に吟味する価値があることを示唆していま
solutions/families/?fid=ssl-certificates をご参
す。日本の IT 担当者が「ある程度安全である」と評する企業ウェブサイトの多
照ください。"
くが、実際には、重大なセキュリティ上の弱点を抱えたままである恐れがあり
ます。
非常に安全である
として設立され、2012 年 11 月、米国 Symantec
また実際に、北米と日本ではまったく同率の回答企業（13%）が、過去半年以内
ある程度安全で
ある
国 VeriSign, Inc.(NASDAQ：
VRSN) の最初の海外法人「日本ベリサイン株式会社」
安全ではない
合同会社シマンテック・ウェブサイトセキュリティ
0%
似した結果がうかがえます。たとえば、前月に脆弱性の診断を行った企業は
2%
勢に見える日本企業ですが、脆弱性診断の頻度となると、米国企業と非常に類
13%
そこで、実際の行動と回答を比較してみましょう。一見するとより現実的な姿
15%
が浮かびます。
9%
27%
評する傾向が非常に顕著であるがゆえに、
「ある程度」とは何なのかという疑問
結論
33%
とはいえ、日本の回答企業が自社のウェブサイトを「ある程度安全である」と
全面的に安全である
予防
19%
キュリティについて尋ねられたときに「わからない」と答えた回答企業は、EU
15%
いる優れたスタッフや外注先のアドバイスを受けていることです（サイトのセ
将来の計画
55%
影響についての評価
は、1996 年、米
米国
EU
表紙
診断頻度の少なさ
はじめに
インフォグラフィックで見る概略
企業のウェブサイトの保全は、一回限りの仕事ではありません。継続的なプロセスです。頻繁に脆弱性診断を行わなければ、企業は、自らの検知されずに
リスクを伴う振る舞い
これまでに
脆弱性診断
ウェブサイトの脆弱性診断を実施したことがあるのは、調査回答企業のうち 67% です。これらの回答企業を対象に、実施を繰り返した頻度を聞いてみ
いる侵害に長期間さらすことになります。
ました。
脆弱性リスク
この質問では、毎月診断を実施する企業（45%）と、診断基準がはるかに緩やかで診断の間隔が 1 年の企業（37%）に二分されました。
最近の侵害
この回答も含め調査結果が示唆しているのは、日本企業が大きく 3 つのグループに分けられることです
影響についての評価
積極的に脆弱性をテストする企業 :
• 毎月継続的に実施している検査体制の一環として、脆弱性診断を実施した企業です。
将来の計画
• 散発的に診断を実施する企業 : 直近のテストを 1 カ月前から 12 カ月前までの間に行った、頻度の観点から改善が期待される企業です。
予防
• 何もしない要注意な企業 : 33% の「脆弱性診断を一度も行ったことがない」企業と、9% の「過去に一度だけ脆弱性診断を行ったが、その後一度も繰り
返していない」企業です。
結論
特に、調査対象となった日本企業のほぼ半数から成る最後のグループについては、その前途が憂慮されます。定期的な診断さえも行われない状況では相
当な脅威にさらされており、必然的に、重大なセキュリティ侵害があった場合に企業評価への影響や経済的な損害を被るリスクにさらされています。
合同会社シマンテック・ウェブサイトセキュリティ
は、1996 年、米
ウェブサイトの脆弱性診断は、どの程度の頻度で繰り返していますか ?
国 VeriSign, Inc.(NASDAQ：
VRSN) の最初の海外法人「日本ベリサイン株式会社」
として設立され、2012 年 11 月、米国 Symantec
45%
Corporation(NASDAQ：SYMC) の完全子会社と
なりました。2014 年 4 月 1 日付で現在の商号およ
び会社形態に変更いたしました。当社は、SSL サーバ
証明書、コードサイニング証明書、クラウド型 WAF
毎月
37%
直近 12 カ月以内
など、ウェブサイトのセキュリティを守るための
サービスを提供しています。提供サービスの詳細は、
繰り返していない
http://www.symantec.com/ja/jp/productssolutions/families/?fid=ssl-certificates をご参
照ください。"
13%
5%
わからない
表紙
至るところに存在する脅威
はじめに
インフォグラフィックで見る概略
リスクを伴う振る舞い
脆弱性とは、それを通じて
「自社のウェブサイトが以下の脆弱性に見舞われる可能性が高
い、または非常に高い。」
ウェブサイトの機能やデータが被害を受けたり、ダウンロード・操作されたりする可
脆弱性診断
能性のある、潜在的な問題点のことです。
脆弱性リスク
日本
米国
EU
ウェブサイトには多数の潜在的な脆弱性があり得るため、ネット犯罪者は確率のゲー
最近の侵害
ムをしかけます。大規模侵害に至るまでの数週間、企業のサーバーが極めて大規模な
影響についての評価
は、悪用に適したエントリポイントや脆弱性を探り当てるように設計されているとい
サービス拒否（DDoS）攻撃に遭うことは珍しいことではありません。こうした攻撃
15%
われます。
将来の計画
日本の回答企業は、データ漏えいやクロスサイトスクリプティングを、ウェブサイト
予防
が最も脆弱になる攻撃として挙げています。しかし、こうした弱点を突く脅威が、他の
20%
業の見解としては、危険はいたるところに潜み、挑戦はあらゆる方向からやってくる
ことを理解しています。認識されている多種多様な脅威を見れば、脆弱性のチェック
を定期的に行わず、セキュリティ上の対策を忠実に実行しない時に企業が被るリスク
0%
43%
14%
15%
脅威よりも実質的に大きな脅威として目に見えるわけではありません。大半の回答企
結論
13%
19%
8%
39%
16%
14%
15%
13%
43%
46%
56%
51%
は明らかです。
とりわけ、日本の IT 担当者は、前述のとおり特定の脆弱性によりサイトが攻撃される
可能性が高い（または非常に高い）と認める傾向が、EU や米国の IT 担当者よりもは
るかに強いようです。見方によっては、これを現実主義と評することができるでしょ
う。そして、貧弱なセキュリティ対策に起因する弱点を明確に認めていると言えるか
しかし、過半数ではなかったとはいえ多くの日本企業がウェブサイトのテストをま
など、ウェブサイトのセキュリティを守るための
れにしか行わない（またはまったく行わない）という事実が、多くの企業に「複数の脆
サービスを提供しています。提供サービスの詳細は、
弱性に見舞われる可能性が高い」
（または非常に高い）と答えさせているのでしょう。
http://www.symantec.com/ja/jp/productssolutions/families/?fid=ssl-certificates をご参
照ください。"
データ漏えい
証明書、コードサイニング証明書、クラウド型 WAF
コンテンツ詐称
なりました。2014 年 4 月 1 日付で現在の商号およ
び会社形態に変更いたしました。当社は、SSL サーバ
!
もしれません。
権限の脆弱性
Corporation(NASDAQ：SYMC) の完全子会社と
クロスサイトリクエストフォ
ージェリ攻撃
として設立され、2012 年 11 月、米国 Symantec
クロスサイトスクリプティ
ング攻撃
国 VeriSign, Inc.(NASDAQ：
VRSN) の最初の海外法人「日本ベリサイン株式会社」
は、1996 年、米
権限の脆弱性
合同会社シマンテック・ウェブサイトセキュリティ
表紙
8 社に 1 社は過去半年以内に侵害に遭っている
はじめに
インフォグラフィックで見る概略
リスクを伴う振る舞い
かなりの数（13%）の日本企業が、過去半年の間にインターネットセキュリティの侵害に遭ったと回答しています。
この数字は、インターネットセキュリティ上の課題が真の脅威であることを示しています。1 年に 4 分の 1 の日本企業がウェブセキュリティの危殆化を目
脆弱性診断
にすることになる計算です。
脆弱性リスク
2012 年下期の調査では、13% の北米の企業と 9% の EU の企業が、直近の半年間に侵害の存在を認めています。ネット犯罪組織の既知の行動が示唆して
いること、つまりセキュリティの脅威が世界中に一様に分布していることが、当社の調査データからも明らかです。
最近の侵害
影響についての評価
特筆すべきなのは、攻撃に遭った日本企業が最も深刻と見なしている危殆化の多様性です。最も深刻と見なされるセキュリティ侵害は、破壊や直接的な経済的
損害につながる侵害（メールサーバの受信障害、個人データの破壊、漏えいなど）と、侵入に関係する侵害（不正アクセスなど）という 2 つのカテゴリに分類さ
れます。困ったことに、後者の真のコストはしっかりとしたログの調査を行わない限り予想が困難です。
将来の計画
予防
過去半年以内に組織において何らかのインターネッ
トセキュリティ侵害に気付いたことがありますか ?
過去半年以内に 1 つ以上のインターネットセキュリティ侵害に気付
いたことがある場合は、もっとも重大な侵害の例を挙げてください
結論
30%
13%
はい
10%
10%
10%
10%
情報漏えい/デ
ータの開示
10%
国 VeriSign, Inc.(NASDAQ：
個人データの
破壊
は、1996 年、米
メールサーバの
受信障害
合同会社シマンテック・ウェブサイトセキュリティ
脆弱なSSHを利用し
た侵入
20%
VRSN) の最初の海外法人「日本ベリサイン株式会社」
として設立され、2012 年 11 月、米国 Symantec
Corporation(NASDAQ：SYMC) の完全子会社と
なりました。2014 年 4 月 1 日付で現在の商号およ
び会社形態に変更いたしました。当社は、SSL サーバ
証明書、コードサイニング証明書、クラウド型 WAF
など、ウェブサイトのセキュリティを守るための
照ください。"
いいえ
87%
ウイルス感染
solutions/families/?fid=ssl-certificates をご参
侵入
http://www.symantec.com/ja/jp/products-
リモートアクセ
スによる侵入
!
サービスを提供しています。提供サービスの詳細は、
表紙
はじめに
インフォグラフィックで見る概略
リスクを伴う振る舞い
脆弱性診断
脆弱性リスク
最近の侵害
影響についての評価
将来の計画
予防
結論
多大な影響
過去半年間に日本企業が経験したセキュリティ侵害のうち、62% はある種の破壊
セキュリティ侵害のコストは、相当な額に及ぶことが考えられます。問題を調査し
的被害をもたらしました。（これはもしかすると過小評価かもしれません。「無害
て是正するコストに加え、投資家からの信頼の失墜、長期にわたるブランドへのダ
な」セキュリティ侵害の影響が、実際にはまだ発見されていない可能性もありま
メージ、自国や海外での集団訴訟やデータ保護機関による罰金徴収などに取り組
す。）
まなければならないこともしばしばです。
過去半年間にインターネットセキュリティ侵害に遭い、その結果、顧客データの流
(1) 世界銀行
出といった大きな影響を受けたと回答したのは、回答企業 100 社のうちわずか 1
(2) 財団法人中小企業総合研究機構
社です。
(3)（ 2012 年、イーマーケッターと電子商取引の売上が初めて 100 兆円を突破）
（2013 年 2 月）
これは一見したところ、小さな数字のように思えます。しかし重要なのは、まず、日
本経済全体としてのレベルで、次に、自身の会社で深刻な侵害に遭ったなら潜在的
な影響はどうかという観点で、この数字の意味を理解することです。日本の証券取
引所には 3,900 もの企業が名を連ね、市場の株式資本総額は 3.7 兆円に及びます。
（1）
さらに全体では、日本経済は大規模企業、中小規模企業合わせて
420 万社か
「その侵害はどのくらいの影響をもたらしましたか ?」
（2）単純計算で、日本企業の 1 万社が毎年セキュリティ侵害の被
ら成っています。
害に遭う可能性を示唆しています。
50%
もちろん、これらの企業すべてが顧客データを処理する顧客対応型ウェブサイト
を運営しているわけではないことも事実です。しかし、多くの企業はそのようなサ
40%
イトを運営していて、ウェブサイトを運営する企業はさらに多くなります。リスク
の尺度を示唆する数多くの統計値から 1 つだけ挙げましょう。2012 年、日本企業
合同会社シマンテック・ウェブサイトセキュリ
ティは、1996 年、米国 VeriSign, Inc.(NASDAQ：
が処理したオンライン注文は 1,280 億円に相当します。これらの注文の大多数は、
VRSN) の最初の海外法人「日本ベリサイン株式会
品物やサービスをオンラインで購入する日本の消費者 7,300 万人によるもので
社」として設立され、2012 年 11 月、米国 Symantec
す。（3）
Corporation(NASDAQ：SYMC) の完全子会社とな
りました。2014 年 4 月 1 日付で現在の商号および
会社形態に変更いたしました。当社は、SSL サー
これらのサイトが大規模侵害に遭えば、その企業にとって代償は小さくありませ
バ証明書、コードサイニング証明書、クラウド型
ん。あらゆるビジネスと同じように、ネット犯罪組織には複数の収入源を好む傾向
WAF など、ウェブサイトのセキュリティを守る
ためのサービスを提供しています。提供サービス
があります。盗んだ顧客情報、ソースコード、企業の機密情報などを売って利益を
の詳細は、http://www.symantec.com/ja/jp/products-
得るかもしれません。企業のサーバーを危殆化し、その企業の顧客のコンピュータ
solutions/families/?fid=ssl-certificates をご参照くだ
さい。"
に感染することによって、利益を得る道を探るかもしれません。巧妙化した侵害で
あれば、長期間検知されずに潜んでいることも珍しいことではありません。
30%
20%
10%
0
1
影響がなかった
2
3
4
大きな影響があった
表紙
防御手段
はじめに
インフォグラフィックで見る概略
リスクを伴う振る舞い
セキュリティ侵害からの回復の道のりは長くかかることが予想されます。情報漏え
いの特定には、多くの場合、綿密なフォレンジック調査が伴います。シマンテックの
将来の脅威と戦うための戦術
委託で Ponemon Institute が実施した調査によれば、調査対象となった米国 51
脆弱性診断
社におけるデータ侵害時に必要とされる平均対策費用は 2010 年に 720 万ド
ルでした。
これに加えて、収益の損失を最小限に抑えるため、システムを再び運用状態に戻す
影響についての評価
通常、この作業は、IT スタッフが過去のエラーやバグを補う作業になるため、大き
将来の計画
クも潜んでいます。たとえば、攻撃者はそのウェブ所有企業の各サイトに同様の弱
ためのパッチ適用やコード書き換えの作業をできるだけ早く行う必要があります。
な予算外のコストを伴います。セキュリティ侵害を起こしたサイトには、別のリス
点が存在すると仮定する可能性があります。日本の某電機メーカーが大規模データ
予防
侵害に見舞われた 2011 年 5 月の事件からほどなくして、同企業の EU とロシア
のサーバーが別の攻撃にさらされました。これは珍しいことではありません。悪用
結論
62%
最近の侵害
69%
脆弱性リスク
最新のインターネ
ットセキュリティソ
フトウェア
最新のファイアウ
ォール
が成功した場合の、コピーキャット攻撃があります。この攻撃は、同様の技法を利用
して、同様の脆弱性を悪用しようとします。
今回「侵害に遭ったことがある」と回答した日本企業の最も一般的な対応の 1 つ
は、アップグレードされたセキュリティソフトウェアとファイアウォールで防御を
合同会社シマンテック・ウェブサイトセキュリティ
は、1996 年、米
国 VeriSign, Inc.(NASDAQ：
多くの企業が、最新の脆弱性の専門知識を求め、またセキュリティ管理の負担を軽
VRSN) の最初の海外法人「日本ベリサイン株式会社」
減するため、セキュリティ専門企業の製品への期待をしています。企業によるクラ
として設立され、2012 年 11 月、米国 Symantec
ウドの利用が進むにつれ、この種の専門家への外注がますます企業に受け入れられ
Corporation(NASDAQ：SYMC) の完全子会社と
なりました。2014 年 4 月 1 日付で現在の商号およ
び会社形態に変更いたしました。当社は、SSL サーバ
る可能性が高いように思われます。複数の攻撃の可能性（タブ 7 参照）とゼロデイ
攻撃の可能性を鑑みると、外部の専門知識に頼る傾向も妥当なことでしょう。(4).
証明書、コードサイニング証明書、クラウド型 WAF
など、ウェブサイトのセキュリティを守るための
サービスを提供しています。提供サービスの詳細は、
(4)（知らないうちに : 現実の世界におけるゼロデイ攻撃の実証的研究（）シマンテ
http://www.symantec.com/ja/jp/products-
ックリサーチラボ、
2012 年 10 月）
solutions/families/?fid=ssl-certificates をご参
照ください。"
%
31
新しいSSLサーバ証
明書
15%
固めることでした。
ホスティングによる
外部委託
表紙
セキュリティにおけるウイルス予防策
はじめに
インフォグラフィックで見る概略
リスクを伴う振る舞い
リモートスキャンを実施している企業（調査対象企業の半数以上）は、セキュリテ
脆弱性評価の方法
ィ診断を毎月実施する傾向が 1.5 倍に上ると見られ、したがって安全を維持でき
る可能性も高くなります。
脆弱性診断
脆弱性リスク
この傾向には、二つの解釈が考えられます。まず、リモートスキャンを行う企業は、
本質的にセキュリティに対する意識が高いと言えるかもしれません。このことだ
最近の侵害
けでも、他社よりも頻繁にスキャンを実施する傾向の説明がつくでしょう。しかし
影響についての評価
断には多くのリソースが必要とされる傾向があり、他のプロジェクトのリソース
24%
もうひとつ、可能性のある解釈として、内部スタッフによって実施される脆弱性診
を奪うことになりかねないことが挙げられます。自動スキャンを利用する企業が
将来の計画
サードパーティによる診断
脆弱性チェックをより頻繁に実施できる理由が、これでよく理解できます。
予防
28%
急速に脅威が変化する状況を踏まえれば、自動スキャン本来のスケールメリット
が理に適っています。たとえば、IT 管理者は、外注でセキュリティ専門企業の専門
結論
内部診断
知識を利用することで、さらなる調査をいつ、どこで行うべきなのか、またそれは
内部チームで行うのか、外部チームに依頼すべきなのかを判断できます。
57%
日本企業は、リモートスキャンを比較的に積極的に取り入れています。日本企業の
57% がリモート自動スキャンを利用しているのに対し、北米では 18% の企業、
EU では 6% の企業しか利用していません。北米も EU も、非常に高い割合で内部
合同会社シマンテック・ウェブサイトセキュリティ
は、1996 年、米
国 VeriSign, Inc.(NASDAQ：
診断に依存しています。サードパーティによる診断の利用もまた、日本に比べ、EU
では非常に高くなっています。
VRSN) の最初の海外法人「日本ベリサイン株式会社」
として設立され、2012 年 11 月、米国 Symantec
Corporation(NASDAQ：SYMC) の完全子会社と
侵害に遭った企業の 62% が、その後、改善されたファイアウォール保護を導入し
なりました。2014 年 4 月 1 日付で現在の商号およ
たと回答しています。特にウェブサイトの脆弱性対策の観点で、シマンテック ( 日
び会社形態に変更いたしました。当社は、SSL サーバ
本ベリサイン ) がお手伝いできます。当社の Web Application Firewa（ll WAF）
証明書、コードサイニング証明書、クラウド型 WAF
など、ウェブサイトのセキュリティを守るための
は、侵入してくる攻撃を防ぐためのシグネチャが常に更新されます。また WAF
サービスを提供しています。提供サービスの詳細は、
は、クラウドを通じて企業のウェブサイトを保護するため、ウェブサイト自体の脆
http://www.symantec.com/ja/jp/products-
弱性の修正のための手間と工数が最小限に抑えられます。結果として、常に最新の
solutions/families/?fid=ssl-certificates をご参
照ください。"
自動リモートスキャン
脆弱性対策が提供されます。
?
わからない
10%
表紙
頻繁で定期的な診断
はじめに
インフォグラフィックで見る概略
リスクを伴う振る舞い
脆弱性診断
大多数の日本企業が、自社のウェブサイトを「ある程度安全である」と評してい
当社の調査によれば、毎年 4 分の 1 の日本企業がセキュリティ侵害に遭う
ます。この判断は一見安心できるように思えますが、事はそう単純ではありませ
計算です。こうした侵害 10 件のうち 4 件が「影響がなかった」という回答が
ん。当社の調査により、少数とはいえ無視できない数の日本企業が、サイトの脆
あるでしょうが、それにも注意が必要です。す。大きな影響を引き起こす侵害
弱性を一度も診断したことがない（33%）、または一度しか実施したことがない
は、比較的まれであるように見えます。しかし、直接被害がなかったように見え
（9%）ことがわかっています。
脆弱性リスク
最近の侵害
影響についての評価
将来の計画
期にわたる影響は深刻なものになりかねません。日本経済全体に対するインタ
サイトが「ある程度安全である」と答えたこうした企業の多くには、脆弱性のギ
ーネットセキュリティ侵害のコストは現実であり、相当な額となると考えられ
ャップが大きく立ちはだかっています。そこにこそ、本当の問題が潜んでいま
ます。
す。とりわけ、日本の IT 担当者は、自社のウェブサイトに潜む脆弱性の可能性を
受け入れる意識が、EU や北米の IT 担当者と比べてはるかに高いようです。こ
現実を楽観視する、または現実から目を背ける企業の姿勢は、深刻な問題です。
のことから、日本では、自己満足で終わっているわけではないが、むしろ脆弱性
消費者も株主も、セキュリティに対するポリシーが弱い組織であるかどうか、
のつぶしこみをする行動が不十分だということがわかります。
簡単には見分けがつきません。脆弱性の存在をきちんと認識して、対策を早急
に行う姿勢が必要だと言えます。
予防
とはいえ、この調査で、喜ばしい事実も分かりました。多くの日本企業は、リモー
トスキャンを取り入れています。また、当社の調査によれば、リモートスキャン
結論
を利用する企業は、脆弱性診断を毎月実施する傾向が海外の企業より 1.5 倍に
高いことが分かりました。
リモートスキャンを取り入れる日本企業が増えれば増えるほど、保護のレベル
もより一層高まります。シマンテックでは、SSL サーバ証明書をご利用のお客
様を対象として、重要な脆弱性を特定するため無償の週次自動スキャン ( 脆弱
合同会社シマンテック・ウェブサイトセキュリティ
は、1996 年、米
国 VeriSign, Inc.(NASDAQ：
VRSN) の最初の海外法人「日本ベリサイン株式会社」
として設立され、2012 年 11 月、米国 Symantec
性アセスメント機能 ) など、さまざまなウェブ脆弱性対策ソリューションを提
供しています。(5)
Corporation(NASDAQ：SYMC) の完全子会社と
このような脆弱性対策を行うことにより、非常に大きなメリットが期待されま
なりました。2014 年 4 月 1 日付で現在の商号およ
す。いわゆる APT と呼ばれる標的型攻撃（ stuxnet など）は、政府や、社会的に
び会社形態に変更いたしました。当社は、SSL サーバ
証明書、コードサイニング証明書、クラウド型 WAF
など、ウェブサイトのセキュリティを守るための
サービスを提供しています。提供サービスの詳細は、
http://www.symantec.com/ja/jp/products-
重要な産業の大企業を標的として、事業の妨害や情報の覗き見だけではなく、金
銭的な利益が根本の動機となっています。標的となる組織の規模も、相応に幅広
いものになっています。
solutions/families/?fid=ssl-certificates をご参
照ください。"
る侵害でも、被害は相当な額に上り、侵入され続けるようなことが起これば長
ウェブを利用した企業活動に取り組む多くの企業は、データを所有し処理しま
す。その結果、そうしたデータを不法に狙う侵入者による攻撃に対して、弱みが
生まれます。
（5) 詳細はこちら http://www.symantec.com/ja/jp/page.jsp?id=sslresources

Download Report