お問い合わせ

脆弱性?脆弱性診断?セキュリティの専門家が徹底解説セキュリティ対策の疑問
すべて解決!

セキュリティの基本から脆弱性診断の深掘りまで、このシリーズがあなたのセキュリティ対策の疑問を専門家がわかりやすく徹底的に解説し解消します。
mv-image
セキュリティの基本から脆弱性診断の深掘りまで、このシリーズがあなたのセキュリティ対策の疑問を専門家がわかりやすく徹底的に解説し解消します。
problem018

018

なぜ、コーポレートサイトにも脆弱性診断が必要なのでしょうか?

team_prof

Webタスクチーム

2024年9月30日

problem018_img企業の顔として情報発信を担う、コーポレートサイト。セキュリティ対策はつい後回しにされがちですが、気づかぬうちに脆弱性が存在しており、企業の信頼性や事業運営に深刻な影響を及ぼす可能性も……。

実際に、コーポレートサイトの脆弱性を利用した攻撃により、顧客情報が漏洩したケースも報告されています。このようなリスクを未然に防ぎ、企業や顧客を守るために重要なのが、脆弱性診断を定期的に行うなどのセキュリティ対策です。

problem018_img

 

コーポレートサイトの立ち位置とそのリスク

コーポレートサイトは、企業が自社の情報を公開する重要なプラットフォームです。SNSの普及により、企業による情報発信の媒体は増えていますが、それでもなお、顧客や投資家、ユーザーなどのステークホルダーが最初にアクセスするのはコーポレートサイトであることが多いです。

このため、コーポレートサイトは企業のブランドイメージや価値観を発信する重要な媒体であり、企業の「顔」とも言えます。もしコーポレートサイトが攻撃を受けると、企業の評判が悪化したり、信頼が低下したりするリスクがあります。

技術の進歩による攻撃バリエーションの増加

 コーポレートサイトはシンプルな機能構成を持ち、一見静的な画面に見えることが多いですが、実際にはクライアント側で動作するJavaScriptなどの技術が広く利用されています。これにより、静的に見えるサイトでも、裏では動的な要素が複雑に組み合わさっていることがよくあります。クライアント側で動作する技術の進歩により、攻撃者は新たな脆弱性や攻撃手法を駆使してコーポレートサイトに攻撃を仕掛けられるようになっています。

クライアント処理に起因するリスクの例

  • ユーザーの入力値や個人情報が外部のサーバーに送信されることによる機微情報の漏洩(クロスサイトスクリプティング攻撃)
  • ユーザーに悪意のあるページをクリックさせ意図しない動作をさせる(クリックジャッキング攻撃)

コーポレートサイトによく見られる機能で注意が必要なリスク

  • お問い合わせフォームを悪用した攻撃(クロスサイトリクエストフォージェリ攻撃、セッションを悪用した攻撃)
  • 他社が提供しているコードを使用することで、それらに脆弱性があった場合に生じるサイト全体のリスク

攻撃の足掛かりとしての「情報収集」

「情報」が単なるデータにとどまらず、「価値ある資産」として扱われるようになってきたことから、攻撃者に狙われやすくなっています。例えば、コーポレートサイトで一般に公開されている情報や、意図せず公開されてしまった内部情報、サイトの構成情報など。これらが標的となり、攻撃者の手にわたることで、標的型攻撃やソーシャルエンジニアリングの足掛かりになることがあります。

実例!コーポレートサイトのセキュリティ事故

大手企業のコーポレートサイトがクロスサイトスクリプティング(XSS)攻撃を受け、顧客情報が漏洩する深刻な事故が発生しました。この攻撃では、コーポレートサイトを訪問したユーザーのブラウザ上で悪意のあるスクリプトが実行され、その結果としてクッキー情報が盗まれるなど、プライバシーの重大な侵害が引き起こされました。これにより、企業への信頼度の低下、顧客情報を利用した不正請求といった多岐にわたる被害につながりました。

コーポレートサイトのセキュリティ対策の始め方

セキュリティ対策を初めて実施する際は、まず現状の把握から始めることが重要です。現状を把握することで、次に取るべきアクションプランを立てやすくなります。そのため、まずは簡易的な脆弱性診断を行うことをおすすめします。

現在は、脆弱性を自動で検出できるツールを用いた安価で手軽な診断サービスが多数提供されており、以前よりも脆弱性診断が身近なものになっています。コーポレートサイトは、ECサイトや業務アプリケーションと比べてセッション管理やユーザー権限の構造が簡素であるため、自動の診断ツールでも効果的な対策が可能です。

何から始めればよいか分からない場合や、脆弱性診断にとどまらず広範なセキュリティ支援が必要な場合は、専門家に相談することで、適切な対策を講じやすくなります。

まとめ

コーポレートサイトのセキュリティ対策は後回しにされがちですが、脆弱性を放置すると、企業の信頼性に重大な影響を及ぼすリスクがあります。そのため、自動脆弱性診断ツールをはじめ、手動診断など個々の状況に応じた診断サービスを受けることでまず自社の現状を把握し、セキュリティ対策を行うことが重要です。ユービーセキュアでは多彩なセキュリティ診断サービスを行っていますので、お困りの際にはぜひお気軽にお問い合わせください。

お問い合わせ