 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||
|
||||||||||
|
||||||||||
|
7割の企業サイトで利用されるApacheの1/3には脆弱性の可能性アリ-アイ・サイナップ調査 |
||||||||||
|
||||||||||
|
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
アイ・サイナップ株式会社は1月17日、Webサイトを開設している上場企業約3600社のWebサーバーを対象として2004年11月に実施した、ソフト種別と脆弱性に関する調査の結果を発表した。 Webサーバーソフトウェアのシェアを見ると、オープンソースのApacheが73%でトップ。2003年1月実施の前回調査と比べても10%増加している。2位はMicrosoft IISで11%(前回16%)、以下Zeusが4%(同2%)、Netscapeが4%(同9%)、IBMが1%(同2%)、Dominoが1%(同1%)、その他が6%(同8%)となった。 同社によれば、単純にサーバーが特定されないよう、Webサーバーの種別を示すヘッダー情報などが変更されているケースが増加傾向にあるとのことで、セキュリティの意識の高まりが見受られるとしている。 あわせて行った脆弱性の調査では、米国セキュリティ研究機関のSANSが発表している重大な脆弱性リストである「SANS Top20」に指定されているWebサーバーの関連項目を中心に、市販のツールを利用した結果を、再精査した上で脆弱性の種別を表すCVE番号に対応させているとのこと。なお同社では、不正アクセス行為にあたらないよう、主にWebページ要求を利用した調査のみを行い、パスワード関連とルート権限を実際に取得する調査は実施していない。このため同社では、脆弱性の可能性は検知できるが、実際にアタックしていないため、確実に脆弱かどうかは不明としている。 調査結果では、評価を行うための情報が得られた3062社中793社(25.8%)で、何らかの脆弱性の可能性が検出された。特にApache利用サイトのうち32.6%で脆弱性が検出されている。前回調査では半数近かったため減少傾向ではあるものの、同社では、危険な運用状況が改善されておらず、動作検証が必要なアプリケーションを動作させていない場合には、パッチを自動適用する仕組みの導入が望まれるとしている。 検出された脆弱性をみると、比較的古いものが多く残っており、通常のWebサービスでは使われないツールがデフォルト設定のまま放置されている可能性も高いとしている。このため使用しないものは削除し、さらに設定変更を行うべきとしている。 そして2005年4月より個人情報保護基本法が施行されるにあたり、Apacheの運用状況について、適切な運用管理の徹底を呼びかけている。 一方でIISの利用サイトで脆弱性が検出されたのは16.7%となっている。同社では、IISには脆弱性の多いイメージがあるためセキュリティの意識が高く、安全に運用されているとの見方を示している。 このほか最近1年間に多発したWebサイトからの情報漏えい事件では、2003年の調査結果では企業のほとんどが危険なサイトとされていたとのことで、同社ではパッチのバージョン管理を行う運用コストが削減されていた可能性も指摘している。 ■ URL アイ・サイナップ株式会社 http://www.i-cynap.jp/
( 岩崎 宰守 )
|
