ニュース
国産脆弱性診断・ASMツール「GMOサイバー攻撃 ネットde診断」「EC-CUBE」を利用したECサイトの脆弱性診断が可能に
GMOインターネットグループでサイバー攻撃対策事業を展開するGMOサイバーセキュリティ byイエラエ株式会社(代表取締役CEO:牧田 誠 以下、GMOサイバーセキュリティ byイエラエ)は、2024年5月27日(月)より、自動脆弱性診断・ASM(※1)ツール「GMOサイバー攻撃 ネットde診断」の診断機能を拡張し、ECサイト構築ツール「EC-CUBE」を利用し構築したECサイトへの脆弱性診断に対応しました。
(※1)Attack Surface Management:インターネットからアクセス可能なIT資産の情報を調査し、それらに存在する脆弱性などのリスクを継続的に検出・評価する取り組みです。
ドメイン名登録だけで「EC-CUBE」の脆弱性診断が可能に
「GMOサイバー攻撃 ネットde診断」では機能拡張により、「EC-CUBE」を利用し構築したECサイトへの脆弱性診断に対応しました。これにより、ユーザーが構築したECサイトを診断し、バージョン毎の既知の脆弱性の検知が可能になりました。
「EC-CUBE」を利用し構築したECサイトのオーナーは、ご希望されればどなたでも「GMOサイバー攻撃 ネットde診断」をご利用いただけます。診断方法もドメイン名を登録するだけのため、どなたでも手軽に脆弱性診断を行うことができます。
ECサイトの脆弱性による重大インシデント
2022年の消費者向け電子商取引(BtoC)の市場規模は22.7兆円(前年比109%)、企業間電子商取引(BtoB)の市場規模は420.2兆円(前年比112%)(※2)といずれも右肩上がりで拡大しています。これに伴い、ECサイトの脆弱性を狙われた不正アクセスなどによるクレジットカードの不正利用被害額が年々増加するなどの深刻な社会問題となっています(※3)。
2022年の不正アクセス行為の認知件数は、2,200件報告されており前年と比べ684件(約45.1%)増加しています。その内訳を見ると「インターネットショッピングでの不正購入」は227件と「インターネットバンキング不正送金等」の次に多い不正アクセス行為になります(※4)。
また、2018年4月から2021年3月末までの期間で個人情報保護委員会に報告されている個人データの漏洩事案では、不正アクセスの直接的な要因として、ECサイトの脆弱性に対する不正アクセスが全体の68%を占めています。その結果、ECサイトを停止したことに伴う損失額は1,000万円以上の損失が発生したと回答した事業者が4割以上です(※5)。ECサイトは豊富な決済手段など様々な機能が用意されていますが、その性質上常に攻撃対象として狙われています。不正アクセスによる被害を防ぐためにも定期的なセキュリティ対策が重要になります。
(※2)経済産業省「電子商取引に関する市場調査の結果2023」https://www.meti.go.jp/press/2023/08/20230831002/20230831002.html
(※3)日本クレジットカード協会「クレジットカード不正利用被害の集計結果」
news20240329_c1.pdf (j-credit.or.jp)
(※4)総務省「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況2023」https://www.soumu.go.jp/main_content/000868634.pdf
(※5)個人情報保護委員会「EC サイトへの不正アクセスに関する実態調査2022」https://www.ppc.go.jp/files/pdf/ecsite_report.pdf
初めての方でも使いやすい国産ASM「GMOサイバー攻撃 ネットde診断」
「GMOサイバー攻撃 ネットde診断」は、初めての方でも使いやすい国産ASMツールです。お客様からいただいた社名やサービス情報をもとに、攻撃面となる可能性があるWebサイトやネットワーク機器を洗い出し、ツールによる定期的なセキュリティ診断を実施します。これにより、簡単に自社のIT資産の棚卸しとサイバー攻撃リスクの可視化を行うことができます。
定期的に診断機能のアップデートを行っており、今回、拡大するECサイトに関する脆弱性管理のニーズに対応いたしました。
■経済産業省「情報セキュリティサービス基準」に適合 複数のガイドラインに準拠
「GMOサイバー攻撃 ネットde診断」は経済産業省が定める「情報セキュリティサービス基準」に適合しています。また、独立行政法人情報処理推進機構セキュリティセンター(IPA)が発行する「安全なウェブサイトの作り方」や、ソフトウェア開発におけるセキュリティ対策を推進する国際的な非営利団体であるOWASPが公表している、Webアプリケーション・セキュリティに関する最も重大な10のリスト「OWASP Top 10」、さらにデジタル庁が発行する「政府情報システムにおける 脆弱性診断導入ガイドライン」などの基準・ガイドラインに対応しています。
さらに現在、クレジットカード業界のセキュリティ基準「PCI DSS」に準拠するための脆弱性スキャンを行う資格を有するベンダである「ASV」認定取得準備を進めており、様々な基準やガイドラインに準拠、適応した国産脆弱性診断・ASMツールとしてさらなる発展を目指しています。
ASMの一連の流れを体験できるトライアルを実施中!
「GMOサイバー攻撃 ネットde診断」では2週間でASMの一連の流れを体験いただけるトライアルを実施しています。トライアル期間内で、自社が保有するWebサイトやネットワーク機器を洗い出し、セキュリティ診断まで実施します。また、診断結果に対して報告会を通じて専門家による助言を受けることが可能です。社内の各部署で次々に立ち上がるWebサイトの脆弱性管理が不安なお客様、全社で保有するVPN機器の診断を行いたいお客様など、ぜひお気軽にお問い合わせください。
サービスの詳細やトライアルのお申し込みについては「GMOサイバー攻撃 ネットde診断エンタープライズ」のWebサイトよりお問い合わせください。
お問い合わせ先:https://product.gmo-cybersecurity.com/net-de-shindan/lp_enterprise/
GMOサイバーセキュリティ byイエラエについて
GMOサイバーセキュリティ byイエラエは、「世界一のホワイトハッカーの技術力を身近に」を合言葉に国内外のハッキングコンテストやCTFでサイバーセキュリティに関する技術を磨いたホワイトハッカーを中心としてサイバー攻撃対策に関する技術およびサービスを提供するサイバーセキュリティの総合企業です。