internet.watch.impress.co.jp

この記事で重要となるポイントをまとめてみる。最低限のセキュリティ対策として「ID管理強化」、「認証強化（二要素認証2FAの使用、パスワード強度を見直し）」、「検出強化（WAF）」。

・ID管理強化で企業側でできることは、ユーザーの配置転換や離職など、組織変更に合わせて適切に管理する。ID管理システムの導入。ID管理システムは、複数のID・パスワードを一元管理。これにより、管理者やユーザーの利便性・生産性が向上し、セキュリティリスクの低減やコンプライアンス強化にもつながります。次にアクセス権の管理。分散するアカウント情報の管理を一元化し、職務分掌に合わせてアクセス権を設定することで、セキュリティリスクの低減を支援します。

・データ漏えい・侵害の60％はウェブが関係。ウェブアプリケーションがサイバー攻撃の玄関口になる。
（攻撃の80％が盗まれた認証情報を悪用）

・WebAPIは事業者に価値のあるもので、攻撃者にも価値がある。

・そして恐ろしいことが書かれており、「WAF（Web Application Firewall）がJSONベースのSQLインジェクション攻撃を検知できない問題も発見されていること」。WAF（Webアプリケーションを防御するファイアウォール）

・またセキュリティ侵害が発生する技術課題もあるが「時間」や「予算」が限られていること。

これに関して、アイティーエムでは「ツールによるウェブアプリケーション診断」などのウェブアプリケーション診断サービスを用意しているというが、数十万程度する。この数十万程度するサービスを、日本の企業のどれくらいが利用することができるのか疑問である。大企業であれば予算があると考えられるが、中小企業だと予算がでないので、そもそもウェブアプリケーション診断サービスを利用できることもありえる。手段としては低価格のウェブアプリケーション診断サービスを利用することになるだろう。もしくは安い価格で外部、もしくは内部の人間を雇い診断を行うか。

・現在、稼働するWebアプリケーションの環境や設計（アーキテクチャ）から攻撃の可能性を理解すること。
当たり前の話だが、攻撃者の立場に立ち考えることは重要。

・記事の最後に書かれていた犯罪者もコスパを考えており、決済系が狙われる。ダークウェブで売買して初めて収益となるということ。