専門家でなくても対策できる!脆弱性自動検知サービス登場
情報漏えいなど、サイバー攻撃によるECサイトの被害が後を絶たない。なぜこれほど多いのかと言えば、クレジットカードを含めた顧客情報を保持するECサイトは、攻撃者にとって、数あるWebサイトの中でも狙いたくなる“格好の獲物”だからである。
一方のEC事業者は、売上アップにつながる新しいマーケティング手法ほどには、セキュリティ対策に関する情報収集を行っていない。インフラ面は、社内のシステム部門や社外のパートナーの仕事だという考え方もあるだろう。しかし、なにかが起きていつもの商売ができなくなった時、いちばん困るのはEC担当者なのだから、丸投げはいかにも不用心だと言えよう。
攻撃されるのは明日かもしれないし、一生起きないかもしれない。カバーすべき範囲が広すぎ、対策の仕方も専門的すぎてわからない……。結果、セキュリティに関しては“お手上げ”状態で、まったく何もできていないというのが実情かもしれない。「まさかうちのサイトが」は、顧客に迷惑をかけるようなことが起きてしまった際に、よく聞かれる言い訳のひとつではあるが。
このようなEC事業者が抱えるセキュリティ関連の課題のうち、とくに重要な“脆弱性”の対策に関する課題を解決するサービスが5月にリリースされる。サイトのURLを登録するだけで、リスクが高い脆弱性を発見した場合にメールで知らせてくれる「GRED Webセキュリティ診断 Cloud」だ。同サービスの責任者であるセキュアブレイン 深谷亮輔さんに話を聞いた。
株式会社セキュアブレイン 事業推進本部 プログラムマネージメント ディレクター 深谷亮輔さん
――「GRED Webセキュリティ診断 Cloud」リリースの背景を教えてください。
深谷(セキュアブレイン) セキュアブレインは、インターネット関連のセキュリティ対策サービスに特化した会社です。セキュリティというと、海外のサービスをイメージされる方が多いと思いますが、当社は自社開発の国産サービスを提供しているのが特徴です。海外製のサービスでは、管理画面が英語のままの場合が多いですが、当社の場合は当然ながら日本語でお使いいただけますし、日本で起きがちな攻撃についての知見も数多く持っています。
このような背景から、Webサイト改ざん検知ソリューション「GRED Web改ざんチェック」は現在5,000社以上に導入いただいており、国内シェアナンバーワンと評価されております(※)。セキュアブレインという社名をご存じなくとも、GREDはご存じという方は少なくありません。
「GRED Web改ざんチェック」で改ざん等が起きる原因を探っていくと、サイトの脆弱性への対策が行われておらず、そこをつかれて改ざんが行われてしまうということが、ここのところ頻発していました。また、GREDご利用中の企業様からも多数のご要望をいただいたことから、今回の「GRED Webセキュリティ診断 Cloud」リリースとなりました。
脆弱性のチェック・対策については、多くのEC事業者の方がお困りだと思いますので、ぜひ知っていただきたいと思っています。
※『【Web&メールセキュリティ編2018年度版】サイバーセキュリティソリューション市場の現状と将来展望』(ミック経済研究所)より
売上アップに集中したい人にこそオススメな自動検知ツール
――なぜEC事業者は、とくに脆弱性のチェックが必要なのでしょうか。
深谷(セキュアブレイン) ECサイトからクレジットカードなどの顧客情報が抜かれた、というニュースは後を絶たず、皆さん気にされているかと思います。情報漏えいが起きる原因が、サイトの脆弱性です。ECサイトの顧客情報は、Webサイト上におかれています。ここに脆弱性が発見され、攻撃されると、クレジットカードなどの顧客情報が抜かれてしまうのです。サイトを乗っ取られてしまう脆弱性や、会員登録の際の入力フォームなどに、原因が作り込まれていることもあります。情報漏えいだけでなく、Web改ざんも脆弱性が原因で起こります。
セキュリティ対策は、会社のシステム部門や制作会社にお任せという方もいらっしゃるでしょう。しかし、情報漏えい等が起こった場合にいちばん困るのは、EC責任者ですよね。ご自身のビジネスを大きく揺るがす可能性のあるリスクと、その対策についてはきちんとご自身で把握されるべきではないかと考えます。
セキュリティ対策はすでに実施しているという企業様の場合でも、人的リソースや費用の問題で、年に数回、手動での高額な診断を行うのみということが多いです。もちろん、そういった本格的な診断は今後も欠かすことはできません。
しかしWebサイトに関連する脆弱性は、公的機関から頻繁に発表されています。毎日、何か新しいものが見つかっているといっても過言ではなく、自社サイトに関係する脆弱性が、いつ公表されるかわからないのです。手動の診断を行っていない期間にも、サイトは狙われていると考えたほうがいいでしょう。
つまり、従来の手動の診断だけでは追いつかなくなっています。そこで、サイトのURLを登録しておくと、自動でリスクを検知し、優先順位の高いものがある場合はメールでアラートを出す、「GRED Webセキュリティ診断 Cloud」がお役に立つのではと考えています。
優先順位が高いものはアラートメールが届くから見逃さない
――「GRED Webセキュリティ診断 Cloud」の仕組みを詳しく教えてください。
深谷(セキュアブレイン) サイトのURLをサービスに登録していただくと、当社のクローラーがリンクをたどって情報を収集し、診断します。診断リクエストを送信し、そのレスポンスの内容から脆弱性の有無を診断するという仕組みです。システムが定期的に診断するスマートスキャンと、お客様が都度診断を実施するオンデマンドスキャンの2種類があり、お選びいただけます。危険度が高い脆弱性が見つかるとメールでアラートをお送りします。
診断結果は、Webで提供されるダッシュボードに表示されますが、わかりやすさにこだわりました。優先順位が高いものは赤で表示するなど、直感的にわかるような工夫をしています。危険を示す箇所のリンクをクリックすることで、詳細なレポートを表示します。レポートはPDFでも出力できます。対策が施されたものに関しては表示が消え、ご自身で対策を行わない方にも、サイトの現状を把握しやすくなっています。
優先順位が高いものは赤で表示するなど、直感的にわかるような工夫がされたダッシュボード
一般的な対策方法については、管理画面に表示します。それを見ても判断ができなかったり、自社ではどのように対策すべきか迷うなどの場合は、有料オプションにはなりますが、対処方法をアドバイスするサービスもご用意しています。
診断カテゴリーごとに見つかった脆弱性の項目、リスク、内容、影響、解決方法を表示する「診断詳細レポート」
――EC事業者の方にメッセージをお願いします。
深谷(セキュアブレイン) 脆弱性は日々報告され、従来の年に数回の手動の診断・対策だけでは追いつかなくなっています。ぜひ、今回リリースした「GRED Webセキュリティ診断 Cloud」を併せてお使いいただき、情報漏えいなどECビジネスのリスクを回避いただければと思います。
また、脆弱性への対策を行っても、かならずしもWeb改ざんが起きないとも限らないので、「GRED Web改ざんチェック」もぜひご検討ください。
