現状のウェブサイトや社内ネットワークについてセキュリティ診断(脆弱性診断)を行う セキュリティ診断
OSやアプリケーションの脆弱性を利用した攻撃が多発しており、不正アクセスや標的型攻撃による「情報漏えい」は後を絶ちません。
システムに脆弱性が存在していないか現状を把握し、その結果をもとに改善を図ることがセキュリティ対策の強化につながります。
セキュリティ診断とは
脆弱性の有無を確認するための診断には、「プラットフォーム診断」と「Webアプリケーション診断」があります。
プラットフォーム診断では、サーバ/ネットワーク機器/OS/ミドルウェアなどに脆弱性がないか、設定に不備がないかなどを診断し、Webアプリケーション診断では、Webアプリケーションに脆弱性や設定の不備がないかを診断します。診断方法にはツールによる診断とコンサルタントセキュリティエンジニアによる手動診断があり、手動診断ではツールで見つけることが困難な脆弱性や機能を発見することができます。
また、疑似攻撃による目的達成の可否を検証し現状のセキュリティ対策の有効性を評価するのが「ペネトレーションテスト」です。侵入テストとも呼ばれます。このペネトレーションテストも、診断・調査の一環として用いられます。
ペネトレーションテストは、実際に攻撃者が仕掛けて来るであろう攻撃シナリオを検討し、疑似攻撃を行います。脆弱性の有無だけではなく、侵入後の挙動、リスクとなる情報資産がないかなど、より攻撃者の目線に立った調査を行います。
セキュリティ診断の必要性
システムの脆弱性を利用した攻撃による個人情報漏えい、Webサイトの見た目の改ざん、システムダウンやアクセス障害、踏み台化などの被害が後を絶ちません。これらの被害が発生すると、原因調査や対策に関わる費用、情報漏えいの被害者がいた場合の補償、ダウンタイムコスト、取引先の信用失墜による負の影響、場合によっては規則要件への罰金など多大なコストが伴います。こうしたリスクを回避するためにも、攻撃者にとって好都合な脆弱性を調査する機会を設ける必要があります。
また、お客様が提供するサービスの利用者に安心してご利用いただくために、脆弱性という不安要素を取り除くことは、そのサービスにとってもメリットがあります。実際、近年ではWebアプリケーションの制作会社様から「納品先のお客様から第三者の脆弱性診断を納品条件をされている」というご相談を受けることが多くなってきています。
脆弱性診断とペネトレーションテストの違い
近年のセキュリティ意識の高まりを受け、これら診断のお引き合いを非常に多くいただくようになってきています。
診断会社によって、「ペネトレーションテスト」と「脆弱性診断」の名称を混同していることが多くあるため、本来は脆弱性診断が適切な内容であるにも関わらずペネトレーションテストを要望されたり、またはその逆のケースがしばしば見受けられます。
「自社のシステムが攻撃に晒されないよう診断を実施したい」と考えた時に、それがペネトレーションテストと脆弱性診断のどちらが適切なのか、下記をご参考にご検討ください。
脆弱性診断 | ペネトレーションテスト | |
---|---|---|
目的 | 脆弱性やセキュリティ機能の不足を網羅的に洗い出す | 明確な意図を持った攻撃者にその目的が達成されてしまうかを検証 |
対象 | 指定されたWebアプリケーションやIPアドレスごと | システム、人、組織、ルールを調査対象とし、その組織が持つすべてのシステム、もしくは指定されたシステム全体 |
方法 | システムを構成する要素をセキュリティ規格などに照らし調査 | 疑似攻撃を行って、一定期間内で目的を達成できるかの調査を行う |
報告内容 | 発見された脆弱性やセキュリティ機能の不足の一覧 | 攻撃シナリオの検証結果 |
脆弱性診断を行うべきタイミング
下記に当てはまる方は、早急に実施することを推奨します。セキュリティ製品を利用していたとしても、それで防御できない脆弱性は存在します。
- ・以前からインターネット上に公開しているサイトが、脆弱性診断をしたことがないのでやってみたい。
- ・セキュリティ製品を使用しているので脆弱性診断を実施していないが、セキュリティについて調べるうちに不安になった。
下記に当てはまる方は、診断後の修正期間を逆算したうえで、公開する前に脆弱性診断の実施を推奨します。
- ・サイトの作成、拡充、改修などを実施したので、公開前に脆弱性やリスクを把握したい。
- ・定期的に脆弱性診断を実施するよう社内で定められている。
- ・開発案件におけるセキュリティ要件に、納品前に第三者の脆弱性診断を実施する必要がある。
- ・ガイドラインをもとにセキュアプログラミングを試みたが、正しく運用できているか確かめたい。
サイトの作成、拡充、改修を実施した際は、インターネット上に公開する前に脆弱性診断を実施することを推奨します。また、日々新たな攻撃手法が発見されていることから、サイト全体の診断を定期的(年に1回程度)に実施いただくことも併せて推奨しています。
拡充、改修については、変更があった箇所およびその変更が影響する箇所のみの診断を実施することでもリスクを大幅に軽減できます。
実際に、「個人情報を保持していないサイトなので脆弱性診断をやらなかったが、取引先からサプライチェーンの対策として求められた」、「一度サービス開始前に診断を行って以降数年やっていないが、顧客の指摘を受けて」というご相談をいただくことがあります。診断をしてみると、危険度が高い脆弱性が多く検出されることもしばしば。公開前に1回、その後は年に1回の定期検査を行うのが理想的です。
アズジェントによるセキュリティレベルのチェック【3つの特徴】
-
経験豊富なセキュリティエンジニアによる脆弱性診断
経験豊富なセキュリティエンジニアが、お客様のビジネスの特性や仕様を考慮しつつ、攻撃者の立場にたって様々な視点から診断します。また、常に最新の脆弱性情報やセキュリティ事象を収集しているので、新しい攻撃手法にも対応できます。 -
お客様にとって最適な診断方法をご提案
アズジェントが提供する脆弱性診断サービスは、ツールによる診断から手動診断まで様々な脆弱性診断メニューを用意しています。お客様の予算、セキュリティ要件にあわせた診断内容をご提案します。
ツールによる診断、手動診断どちらの場合も、検査結果レポートをもとに経験豊富なセキュリティエンジニアが報告会を実施し、検査結果と今後の対応策をご提案しますので、安心してご利用いただけます。 -
脆弱性診断後の対策ソリューションご提案
診断後、報告書上に対応策を記載する診断サービスは少なくありません。
しかしながら、その対策をとるためのセキュリティソリューションを一から探すのは、非常に手間がかかります。アズジェントでは多種多様なセキュリティ製品・サービスを取り扱っており、発見された脆弱性対策となるセキュリティソリューションのご提案が可能です。
サービスとプロダクト【一覧】
- アズジェントのセキュリティ診断(脆弱性診断)は、診断のご相談/お見積り無料です。お気軽にお問合せください!
サービスとプロダクト【目的別の内容】
脆弱性の有無を知る
詳細ページ お問合せ