サイトセキュリティ診断
WEBサイトセキュリティの安全対策は、プライバシーマーク審査の必須テーマです。
審査時に必ず確認される「クロスサイトスクリプティング」「SQLインジェクション」への対策状況を
チェックします。
チェックします。
審査時の具体的な質問内容として、Webアプリケーションへの攻撃の多数を占める
「クロスサイトスクリプティング」「SQLインジェクション」への対応状況について
多くの企業で質問されています。
そのため、弊社では「クロスサイトスクリプティング」と「SQLインジェクション」に
特化したWEBサイトセキュリティ診断をサービス提供しています。
個人情報保護監査時にWEBサイトを診断します
新規取得、更新プロジェクトの『個人情報保護監査』の中で、WEBサイトのセキュリティ診断を行います。この診断結果は、プライバシーマークの現地審査の際にサイトセキュリティを確認したことを証明するエビデンスとなります。診断結果は、個人情報保護監査報告書の「WEB上における想定リスクへの対策状況」の箇所に記載し報告いたします。
WEBサイト診断は専門企業のパックアップで提供します
WEBサイトのセキュリティ診断は高額のイメージがありますが、このたびサイトセキュリティ診断の専門企業である株式会社神戸デジタル・ラボ社の御協力により、サービスパック内で御提供する事が可能となりました。神戸デジタル・ラボ社のセキュリティチーム責任者の近藤伸明氏は、経済産業省「情報システムの信頼性向上に関するガイドライン」を指針としたセキュリティチェックシートのWebセキュリティに関する策定部分を担当されたエキスパートです。
個人情報保護監査時にWEBサイトを診断します
新規取得、更新プロジェクトの『個人情報保護監査』の中で、WEBサイトのセキュリティ診断を行います。この診断結果は、プライバシーマークの現地審査の際にサイトセキュリティを確認したことを証明するエビデンスとなります。診断結果は、個人情報保護監査報告書の「WEB上における想定リスクへの対策状況」の箇所に記載し報告いたします。
WEBサイト診断は専門企業のパックアップで提供します
WEBサイトのセキュリティ診断は高額のイメージがありますが、このたびサイトセキュリティ診断の専門企業である株式会社神戸デジタル・ラボ社の御協力により、サービスパック内で御提供する事が可能となりました。神戸デジタル・ラボ社のセキュリティチーム責任者の近藤伸明氏は、経済産業省「情報システムの信頼性向上に関するガイドライン」を指針としたセキュリティチェックシートのWebセキュリティに関する策定部分を担当されたエキスパートです。
Webサイトセキュリティ診断って何?
お客様のWebサイトで使用されているWebアプリケーションについて、脆弱性診断を行います。 Webアプリケーションのセキュリティ状態を把握し、脆弱性の対処を進めることで、Webサイトの改ざん・情報漏えい・他人になりすましてのアクセス・サービス妨害等のリスクを最小限にするサービスです。
プライバシーマークの審査上では、必ずクロスサイトスクリプティングの脆弱性、SQLインジェクションへの対応については審査上確認されます。
お客様のWebサイトで使用されているWebアプリケーションについて、脆弱性診断を行います。 Webアプリケーションのセキュリティ状態を把握し、脆弱性の対処を進めることで、Webサイトの改ざん・情報漏えい・他人になりすましてのアクセス・サービス妨害等のリスクを最小限にするサービスです。
プライバシーマークの審査上では、必ずクロスサイトスクリプティングの脆弱性、SQLインジェクションへの対応については審査上確認されます。
経済産業省のセキュリティガイドラインって何?
平成18年6月15日に経済産業省より「情報システムの信頼性向上に関するガイドライン」が公表されました。これは、情報システムが本来保持すべき信頼性・安全性を確実に具備させることを目的としたもので、情報システムの企画・開発から保守・運営にわたり関係者が遵守すべき又は、遵守することが望ましい事項を定めています。
平成18年6月15日に経済産業省より「情報システムの信頼性向上に関するガイドライン」が公表されました。これは、情報システムが本来保持すべき信頼性・安全性を確実に具備させることを目的としたもので、情報システムの企画・開発から保守・運営にわたり関係者が遵守すべき又は、遵守することが望ましい事項を定めています。
「クロスサイト・スクリプティング」って何?
利用者がWebサーバにアクセスした際に、意図しないスクリプトを実行してしまう脆弱性を「クロスサイト・スクリプティング」と呼びます。これを利用して、攻撃者が悪意のあるスクリプトを実行させようと、サイトをまたがってスクリプトの実行を仕向けるところからクロスサイト(サイトをまたがった)スクリプティングと呼ばれるようになりました。
利用者がWebサーバにアクセスした際に、意図しないスクリプトを実行してしまう脆弱性を「クロスサイト・スクリプティング」と呼びます。これを利用して、攻撃者が悪意のあるスクリプトを実行させようと、サイトをまたがってスクリプトの実行を仕向けるところからクロスサイト(サイトをまたがった)スクリプティングと呼ばれるようになりました。
「SQLインジェクション」って何?
データベースに対して、Webサーバを経由して不正な操作を行う行為を指します。 多くのデータベースは、SQLと呼ばれる命令言語を使用してデータの参照や登録・削除等を行います。そのSQLに攻撃者が不正なコードを忍ばせて、データベースから情報を抜き出したり改ざんしたりすることができる脆弱性を「SQLインジェクション」と呼びます。
データベースに対して、Webサーバを経由して不正な操作を行う行為を指します。 多くのデータベースは、SQLと呼ばれる命令言語を使用してデータの参照や登録・削除等を行います。そのSQLに攻撃者が不正なコードを忍ばせて、データベースから情報を抜き出したり改ざんしたりすることができる脆弱性を「SQLインジェクション」と呼びます。
Webサイトはホスティング会社に任せているから安心でしょ?
いいえ。ホスティング業者は、WebサイトのコンテンツをのせているWebサーバを、管理・運用しているだけです。ネットワークやOSのセキュリティはホスティング業者が面倒を見てくれますが、あなたの会社自身で開発したWebアプリケーションは、あなたの会社がアプリケーション開発段階で対策する必要・責任があります。
いいえ。ホスティング業者は、WebサイトのコンテンツをのせているWebサーバを、管理・運用しているだけです。ネットワークやOSのセキュリティはホスティング業者が面倒を見てくれますが、あなたの会社自身で開発したWebアプリケーションは、あなたの会社がアプリケーション開発段階で対策する必要・責任があります。
付き合っているベンダーにセキュリティは頼んであるから安心でしょ?
いいえ。その対策は、ファイアウォールやアンチウィルス等の対策ではありませんか?
それらと、Webアプリケーションのセキュリティ対策は全くの別物です。一度、Webアプリケーションのセキュリティ対策が実施されているか、確認されることをお勧めします。また、Webアプリケーションの対策が実施されていたとしても、診断は第三者が実施することに意味がありますので、Webアプリケーションを開発したベンダー以外に診断を任せることをお勧めします。
いいえ。その対策は、ファイアウォールやアンチウィルス等の対策ではありませんか?
それらと、Webアプリケーションのセキュリティ対策は全くの別物です。一度、Webアプリケーションのセキュリティ対策が実施されているか、確認されることをお勧めします。また、Webアプリケーションの対策が実施されていたとしても、診断は第三者が実施することに意味がありますので、Webアプリケーションを開発したベンダー以外に診断を任せることをお勧めします。
プライバシーマーク支援事務局 目木知明(めきともあき)
電話番号 050-3375-0104
※移動中および打合せ中は留守番電話に切り替わる場合がございます。その際は、折り返し御連絡をさせて頂きますので、留守電に御社名、御担当者名をお願い致します。
