最もよくあるWeb・ネットワークセキュリティの脆弱ポイントは、人的な設定ミスによる情報漏えいが代表的です。思い込みが脆弱性を招き、忘れた頃に被害が発生して発覚するといったことが起こりますから、忘れずに脆弱性評価をすることが大切です。見落としがちなところは重点的に、項目をリスト化して二重三重のチェックをしてから運用、あるいは公開を始めることがセキュリティを上げる結果に繋がります。人的リソースが足りていなかったり、脆弱性評価を含めた工程が定まっていないと、このようなWeb・ネットワークのセキュリティリスクは容易に生じます。

脆弱性 セキュリティ ネットワーク

パスワードをファイルでWebと同じ階層に保存したり平文で管理するのは論外ですが、割とこういう初歩的な問題はよくあるので、対岸の火事とは考えないことが大事です。Webでアクセスできる場所にファイルがあること自体が、外部から不正アクセスを受ける恐れと脆弱性を招きますから、ファイル管理のルールを徹底化することも必要です。外部に公開する必要のないファイルは別の場所で保管する、やむを得ない場合はアクセス権限をしっかりと設定するなどの対策が重要になります。ただしアクセス権限の設定もミスをすれば脆弱性に繋がるので、このあたりの手順や確認、脆弱性評価もマニュアル化すべきです。いくらマニュアルを作っても、運用がいい加減だと脆弱性が生まれてネットワークはリスクにされるので気をつけましょう。

SQLインジェクションやクロスサイトスクリプティングなど、定番の脆弱性に注意して対策しても、アドレスのパス名やパラメータのチェックが疎かという場合があります。これではセキュリティ対策が不完全で大きなリスクが残りますから、Webやネットワークの構築が完了したら初心にかえり、基本的な部分を確認することをおすすめします。脆弱性評価が基本から広範囲にわたって正しく実施されれば、見落としがちなセキュリティリスクも確認できるはずですが、人間がやることに完璧はないです。脆弱性評価はツール任せにすることが多いですが、このツールの設定や使い方にも問題はないか疑問を抱くのが理想的です。

不正アクセスを試みる侵入者は、1つでも突ける隙を発見できれば勝ちなので、Webやネットワークの運用では徹底的に隙を見せずヒントを与えないことが肝心です。情報量の多いエラーメッセージの表示や、不審な動きを検知してリトライを制限しない仕組みは、これら2つの条件が揃うだけで他の対策が台無しになるので要注意です。