UK.gov の安全なサーバー設定を改善するための取り組みは、英国の暗号および情報機関 GCHQ の情報セキュリティ担当者である国立サイバー セキュリティ センターの計画の拡大を通じて強化されつつある。
DVLAは運転免許証発行サイトがセキュリティ上の「事故」であることを否定
続きを読む
英国政府および政府機関のウェブサイトで提供されているウェブ証明書の設定と暗号化は、ベストプラクティスを満たしていない場合があります。これは、運転免許庁(DVLA)で最近発生した問題からも明らかです。ほぼすべての中央政府のウェブサイトはベストプラクティスに準拠し始めており、ウェブサイトのセキュリティは(改善の余地は依然として大きいものの)通常は少なくとも合格点に達しています。地方自治体のウェブサイトの状況ははるかに楽観的ではなく、バーミンガム、ウィガンなど、深刻なウェブセキュリティの不備の例が相次いでいます。
英国政府の主要なサイバーセキュリティ機関によると、英国政府のウェブサイトのセキュリティが過去1年間で向上したのは、国立サイバーセキュリティセンターのウェブチェックサービスによるものだという。
Web Checkは、ウェブサイトのセキュリティ問題を検査し、監査結果を所有者に報告するとともに、発見された問題の解決方法に関するアドバイスを提供します。NCSCの統計によると、すべての公共部門組織が利用できるこのサービスは、約8,000の異なるウェブサイトで6,000件の問題を発見しました。そのうち2,178件は証明書関連の問題でした。
2017 年 4 月以降、このような勧告は 4,000 件以上発行されており、ほとんどの問題は報告後 2 日以内に修正されています。
NCSCは、「すべてのgov.ukドメインが簡単に導入できるWebチェックサービスの恩恵を受けることを奨励したい」と述べた。
NCSC テクニカル ディレクターのイアン レヴィ博士は次のように語っています。「リソースが限られている公共部門の組織では、Web プロパティでセキュリティ上の問題が発生することがあるため、最も一般的な問題を特定し、修復に関するアドバイスを提供する公共部門向けの無料サービスである Web Check を構築しました。」
「来年の計画では、このサービスを公共部門のほとんどのサイトに拡大する」と彼は付け加えた。
独立系セキュリティ専門家のポール・ムーア氏は、現在の不安定なセキュリティ状況の原因がリソース不足にあるのかどうか疑問を呈した。
「その後の必要なチェックが不足していたのは、リソース不足のせいだと言えるかもしれないが、実装の失敗は、どんなに資金を投入しても解決できない技術的理解の欠如を示している」とムーア氏はEl Reg紙に語った。「NCSCが(優れた)仕事を遂行しなければ、.govポートフォリオの大部分はセキュリティエラーで埋め尽くされていただろう」
Web Checkユーザーは、管理するウェブサイトのURLの「ウォッチリスト」を作成することもできます。このサービスでは、非侵入型のスキャンを継続的に実行し、その結果を加入者に報告します。ユーザーはURLと結果を同僚と共有したり、後で参照できるように結果に注釈を付けたりすることができます。
Web Check は、国家サイバー セキュリティ戦略の一環として昨年開始された Active Cyber Defence の一部であり、最終的には一般的なサイバー攻撃を阻止することを目的としたより包括的な計画です。
ムーア氏は、Web Checkは監査対象サイトのセキュリティヘッダーを確認しているにもかかわらず、この指標をサイト所有者に報告していない点を指摘しました。これはおそらく、セキュリティヘッダーがQualys SSLLabsのようなデジタル証明書の設定や構成のチェックよりも複雑な指標であるためでしょう。彼はこのアプローチを「がっかりする」と述べました。
「NCSCがなければ、私たち全員が頼りにしているサービスは大幅に弱体化し、場合によっては全く目的を果たせなくなるでしょう」とムーア氏は述べた。「…明らかに、やるべきことはまだまだたくさんあります。」®
