JPCERTコーディネーションセンター、サイバー攻撃に備えた定期点検を推奨
以前からWebサイトに対する改ざんやサービス運用妨害による被害が多発しているが、脆弱性を悪用したサイトの改ざんや情報流出、DDoS攻撃によるサービス停止などの被害が継続的に確認されていることを受け、JPCERTコーディネーションセンターがサイバー攻撃に備えた定期点検を行うよう推奨している。Web サイトを取り巻く環境や状況は日々変化しており、万全な対策を行っているつもりでも被害に遭う可能性もある。さらに単純な認証情報の使い回しなど基本的な対策についても考慮する必要があるため、同センターがWeb サイトへの基本的な対策や運用管理の定期的な点検項目を紹介している。
主な点検項目は5つで、1.製品の脆弱性を狙ったサイバー攻撃の回避・低減を目的として数週間~1ヶ月に1度は利用製品のバージョンを最新にしておくこと、2.ファイルが改ざんや不正作成されていないか確認する目的で週1回Web サーバ上のファイルを確認すること、3.自社のWebアプリケーションに脆弱性や設定不備がないか年1回と機能追加など変更した場合にWeb アプリケーションのセキュリティ診断をすること、4.管理や保守目的のIDやパスワードの使い回しや安易なパスワードの使用などせず適切な運用がされているか年1回ログインIDとパスワードを確認すること、5.DDoS 攻撃を受けた場合の対応・手順確認、異常発生の際の適切な行動のため、年1回DDoS 対策や対応体制を確認すること、となっている。また、万が一異常が発生した場合を想定した緊急対応の手順や対応者の連絡先確認などを行うことも重要となる。
