サイバー攻撃と脆弱性について
近年、テレビやインターネットのニュースで「サイバー攻撃」や「脆弱性」という言葉を耳にすることが多くなりました。
攻撃者がシステムへ侵入し被害をもたらす「サイバー攻撃」の多くはこの「脆弱性」を悪用して行われます。
脆弱性とは
システム上の動作には問題がなかったとしても、設計時の予測不足やプログラムの不具合が原因となりセキュリティ上の不具合ができてしまうことがあります。このセキュリティ上の不具合を「脆弱性」と呼びます。
脆弱性によっておきるリスク
脆弱性が存在する状態のまま放置すると、深刻な事態を招く可能性があります。
- 顧客情報・機密情報の漏えい
- データの改ざん
- システムダウン
上記のような攻撃を受けると、顧客からの信用及び社会的信用の失墜につながり、経営状況に悪影響を及ぼす可能性があります。企業ブランドのイメージは低下し、大きなダメージを被ることになりかねません。
弊社製品における『脆弱性対策』
主力製品の「Travel WINS Next Web」をはじめ、弊社製品は『脆弱性対策』を行っています。
ツールによる脆弱性診断(ツール診断)
Webサイト診断ツールを用いて、製品に潜むセキュリティ課題の調査や洗い出しを実施します。NG項目がでた場合は迅速に対応し、チェックがOKになるまで修正・対応を行います。
人による脆弱性診断(手動診断)
セキュリティ専門会社へ依頼し、Webセキュリティの専門家が製品の安全性を手動でチェックします。攻撃者の視点から様々な疑似攻撃を考察・試行することで、潜在的な脆弱性を発見し、安全性を徹底的に調査します。
このように、弊社では「ツール診断」と「手動診断」を併用し多方面からチェックを行い、リスクを最小限に抑えることができるよう製品チェックを行っています。
『脆弱性対策』のポイント
また、脆弱性対策は一度実施して完了するものではありません。
新たな攻撃手法は日進月歩で生み出されており、従来の対策だけでは不十分となる可能性がでてくるためです。
新たなリスクに対応し続けるためには
「脆弱性診断 → 対策実施 → 評価 → 見直し」というPDCAサイクルを、
継続的、且つ定期的に回す必要があると言われています。
新しいサイバー攻撃の脅威を踏まえ、適宜効果的な対策を講じることができるよう、弊社では脆弱性対策のPDCAサイクルを回していくことで、サービスのセキュリティ向上・品質維持を心掛けています。
今後の取り組みについて
製品の脆弱性を狙う攻撃者は、攻撃対象となるターゲットや欠陥を常に探しているだけでなく、日々新たな攻撃方法も生み出します。そのため、サービスを運用するにあたり、脆弱性の発覚と対策の連鎖は終わることがありません。
ですが、脆弱性に起因する被害を最小限に抑え「お客様に製品を安心して安全にご利用いただくため」に弊社では引き続き、セキュリティに関する理解と知識を深めつつ脆弱性対策に取り組んでまいります。