テレワークの普及などDX(デジタル・トランスフォーメーション)が進む一方でサイバー攻撃は年々増加しており、個人情報流出のニュースは後を絶ちません。近年では、中小企業へのサイバー攻撃も増加しているといわれています。大企業のセキュリティ対策の強度が上がったことで、踏み台としてセキュリティ対策を十分に講じていない中小企業が狙われているという事例も確認されています。
情報セキュリティインシデントは起きてしまえば取り返しがつきません。だからこそ、セキュリティ診断で脆弱性を検出し、しっかり対策することが求められます。そして、効果的にセキュリティ診断を実施するためには、それぞれの立場に応じた正しい知識が必要です。
ここでは、
・「マネージャー」に必要な視点
・「事業主・サイトオーナー」に必要な視点
をご紹介いたします。
「うちは中小企業だから大した情報も扱っていないし、狙われることもないんじゃないの?」というご意見もたまに伺います。しかし、セキュリティが甘い中小企業が大企業の情報を盗むための踏み台とされたり、会社の規模関係なくサーバーを立てた数秒後に海外から不正アクセスがある事例も発生しています。
たとえ重要な機密情報も持っていない、アクセスの少ないサイトでも、会社の顔といえるコーポレートサイトが改ざんされたらいかがでしょうか? SNSなどで改ざんが拡散されてしまうと、あっという間に社会的信用を失ってしまうケースもあります。
「やらないよりはやった方が良いとは思うけれど、時間とコストを考えると全てのWebアプリケーションに対してセキュリティ診断を実施することは難しい」という方に向けて、参考程度ですがセキュリティ診断を実施した方が良いケースを紹介いたします。
1.金銭やポイント、個人情報を扱う場合
2.コーポレートサイトなど、改ざんされると信頼性が低下してしまう場合
3.入力項目がある場合
4.新しく構築した、あるいは一部改修をした場合
入力項目があるWebアプリケーションでは、第三者が不正なコードを打ち込む恐れがあるので、ハッキングや改ざんのリスクが高まります。そのため金銭や個人情報を扱っていない場合でもセキュリティ診断をしておくことをお勧めしています。
このページで紹介したこと以外にも、当サイトのブログではWebセキュリティ診断に関する情報を発信しています。ご興味がある方は、ぜひご覧くださいませ。
ブログはこちら