IPAが小規模サイトの運営者にアンケートをしたところ,自分のサイトの脆弱性対策を一切行なっていないという回答が9.6%もあったそうです。どのような質問だったのかはわかりませんが,全く対策をしていないという結果が1割も出てくるとは驚きです。Security NEXTに紹介記事が出ています。
小規模サイトと言っても,いろいろな構成が考えられます。例えば,自分のところでサーバを立ち上げて固定IPを取っているところもあれば,AWSのようなクラウドサービスを利用しているところもあります。クラウドサービスを利用していれば,最低限のセキュリティ措置はサービス運営者が実施していることでしょう。とはいえ,アプリケーションサーバのパスワードが”password”だったりすると,あっという間にハッキングされてしまうでしょうけれど。でも,その場合でもクラウドサービスの運営者からアタックを受けていることを通知してもらえるので,被害が広がるのは最小限に抑える事ができます。
問題だなぁって思うのは,自分のところでサーバを立ち上げているにもかかわらず,脆弱性対策をしていないケースです。記事では,このような場合わけをしていないので,このようなケースがどのくらいの割合でいるのかは不明です。脆弱性対策と言っても,いろいろなレベルがありますので,最低限の対策はして欲しいところです。自分でサーバを立ち上げている場合は,攻撃されても気付くのが遅れて被害が拡大してしまう可能性が高いですし。
IPAが「安全なウェブサイトの運用管理に向けての20カ条」を公開していますので,参考にしてください。
私も小規模サイトの運営者ですが,私のところにはこのようなアンケートは来なかったなぁ。小規模すぎて相手にされていないのかも。