Web担のセキュリティ診断を受けてみた

サイトのすべてをチェックしたわけではない点には注意が必要だとのこと。

Webアプリケーションのぜい弱性チェックというと、以前は外部からフォームに対して逐一のチェックを依頼することが多かったのですが、それだと費用が高くなりがち。しかし最近は、開発中に（ソースコードの時点で）チェックするよう開発ベンダーに義務づけるか、セキュリティ企業などに検査させる形が多く、そのほうがコストは安いとのこと。そしてシステムができたら、ソースではわからない点などをリリース前に外部から検査するのだといいます。

とはいえ、ウェブの場合はいろいろと時間の制約が厳しい場合も多いし、リリース後にシステムがどんどん改修されていくものなので、Webアプリケーション用のファイアウォール（WAF）を採用するのもいい手段だということ。WAFを使うと、自動化スクリプトによる攻撃や、検索エンジンでターゲットを探して攻撃してくるような「通りすがりの攻撃」でかなり対応できるのだそうです。

WAFというと専用のハードウェアですが、200万を切る価格のものもあるし、データセンターで共用のWAFを提供している場合もあります。ただし、WAFではサイトをねらい打ちにした攻撃には対応できないということなので、セキュリティ診断やソースコード検査がまったく不要になるわけではありません。

とはいえサイトの立ち上げ時にはセキュリティにまで目が向かないことも多いのが現実。なので、サイトオープン後に少し動きが落ち着いて、サイトに人気が出始めたころに、セキュリティ診断の初診を受けて、その結果によって対応の方向性を考えるのがいいとのこと。

今やどんなサイトでもSEOはするでしょう。しかし、検索エンジンで上位に来れば、犯人に見つかりやすくなるもの。SEOを効かせるならば、セキュリティにも目を向けておいたほうがいいのかもしれませんね。

※情報開示：今回のセキュリティ診断は、ラックさんのご厚意でご提供いただいたものです。

ちなみに、この診断はアマゾンから申し込むことも可能。その場合、クレジットカードで申し込めばすぐに決済されるため迅速に診断結果を受け取ることが可能。しかも診断は5万円、報告会込みでも8万5,000円とお安くなります。

* 2008年12月にはSQLインジェクションの攻撃が1500万件
→ http://web-tan.forum.impressrd.jp/n/2009/03/18/5228
* Webセキュリティ診断サービス・初診コース
→ http://www.lac.co.jp/jsoc/pentest/1st-websecurity.html
→ http://www.amazon.co.jp/dp/B001T97SZQ/webtan-22?ref=nosim （アマゾンから申し込み可能）