SQLインジェクションとは

Web上などでの脆弱性の1つであり、情報を盗まれたり改ざんされたりなど悪用される可能性があります。データベースサーバを操作する命令文を指し、その命令文を使って外部からデータベースを操作することなどを指します。

プライバシーマーク、ISO27001（ISMS）とSQLインジェクション対策

プライバシーマークやISO27001(ISMS)でも洗い出されるリスクとして対策が必要になります。
対策としては、ネットワーク上でセキュリティパッチをかけること、アップデートを怠らないようにすること、サーバ上では入力できる文字等に制限をかけることなどがあります。

SQLインジェクションによる攻撃

大企業がSQLインジェクションによる攻撃を受けることは少なくなく、2005年頃からずっと増え続けています。2011年にはソニーグループが標的となり、約7700万人の個人情報漏洩が発生しました。最近では会員カードや交通系ICカードなどもスマートフォン1台で補えるようになっており、狙われる情報量も膨大なものになっています。

まとめ

Web上での攻撃は年々増加しており、複雑化しています。
SQLインジェクションによる攻撃を受けてしまうと被害も大きくなってしまうので、あらかじめ対策をとって監視し、定期的に点検することが必要です。
個人情報が1件漏洩しただけでも事故とみなされるため、一人一人が情報をまもる認識を高め、さらに技術的側面からの対策を強化していきましょう。