近年、情報化社会が目まぐるしく進む中で「不正アクセス」などの対策として「セキュリティ問題」について考える機会が増えてきました。いま私たちがおかれている環境では、個人情報保護や機密性確保が必要不可欠となります。本記事では、「セキュリティ診断」という目線で問題や手法について解説していきます。
セキュリティ診断とは?
セキュリティ診断とは、Webやモバイルなどのアプリケーションや通信可能な機器のOSなどに潜むセキュリティホールを発見し、未然にセキュリティリスクを防ぐ為の手段及びサービスのことです。
なお、脆弱性とは、コンピュータのOS やソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生する、情報セキュリティ上の欠陥のことを指します。また、セキュリティ診断について総務省が分かりやすくまとめた記事がございますので、参考として紹介いたします。
参照元URL:総務省 国民のためのサイバーセキュリティサイト
https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/business/business_admin_11.html
では、セキュリティ診断はなぜ必要になるのでしょうか?この後、詳しくご紹介してまいります。
セキュリティ診断は必要?
セキュリティ診断がどのようなものなのか、なんとなくでも具体的なイメージが湧いてきたのではないかと思います。しかし一方で、「セキュリティリスク?そんなもの自分には関係ない」と考えていないでしょうか。実は身近なところに危険は迫っています。
セキュリティ診断はなぜ必要なのでしょうか?もっとも必要な理由は「情報漏洩を防ぐ・リスクを減らすため」、「業務停止、信用失墜、経営破綻といった可能性を極力防ぐため」と考えます。
企業の場合、万が一顧客情報が流出してしまったら・・・ 基幹システムの改ざん被害に遭ってしまったら・・・ 被害の影響範囲は計り知れません。
また、総務省の情報通信白書内「NICTERにおけるサイバー攻撃関連の通信数の推移」によると、2018年は2,169億パケットに対し、2021年では5,180億パケットと3年間で通信数が約2.4倍に増加しています。
参照:総務省HP 情報通信白書 「NICTERにおけるサイバー攻撃関連の通信数の推移」
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r04/html/nf307000.html#d0307060
さらに、中小企業や、個人を狙った不正アクセスや攻撃も増えており、攻撃対象は大企業だけではなくなってきました。
これらからも、被害に遭う前にセキュリティ診断を行い、事前に脆弱性を把握しセキュリティ対策を実施することが必要と考えられます。では、セキュリティ診断とは具体的にどのような種類や手法があるのでしょうか?
セキュリティ診断の種類と手法
ここではセキュリティ診断の種類・手法について解説していきます。セキュリティ診断の種類は2通りあります。
【セキュリティ診断の手法】
1. ツール診断
ツール診断とはその名の通り、検査ツールを用いて機械的に脆弱性診断を行うことです。ツールを使うことで低コストかつ短時間での診断を実現することができます。
しかし、一般的にはツールによって検査可能な項目が予め定義されたものに限定される一方で、診断対象となるWeb サイトは年々複雑化しており、網羅性あるいは誤検知など診断精度の面では一部課題があります。
2. 手動診断
ホワイトハッカーと呼ばれる脆弱性に関する有識者が実際に診断対象に攻撃を仕掛け、脆弱性を確認する方法です。実際に人の手によって実施するため、ツール診断では発見出来ない脆弱性が発見できるなど柔軟性に長けています。
特にログインや認証、あるいは商品購入などがあるようなWeb サイトには有効です。しかし、人の手で実施する分だけコストと時間はツールに比べて必要となりますし、結果が実際に検査する人の能力に依存する形になります。
次に診断の種類についても大きく分けると2 つに分類することができますので紹介していきます。
【セキュリティ診断の種類】
1. 診断対象による分類
①アプリケーション診断
EC サイトやログインを伴う会員サイト、企業ホームページなどのWeb アプリケーション、モバイルアプリなどに潜むセキュリティ上の問題点や脆弱性を診断するものです。SQL インジェクションやOS コマンドインジェクションなどのコマンド実行系や クロスサイトスクリプティングなどのクライアント側の攻撃に対するものを診断することができます。
②プラットフォーム診断
サーバーやネットワークに潜むセキュリティ上の問題点を診断するものです。アプリケーション診断とは異なり、ミドルウェアやOS などのインフラに近い部分を診断します。例えば、サーバー上のファイルに対するアクセス権として過剰な権限が設定されている、セキュリティパッチの提供が終了した古いバージョンのOS が使用されている、などの項目が検出される場合があります。
2. 診断場所による分類
①オンサイト診断
診断対象の機器が設置されている拠点へ伺い、その場所のネットワーク内から直接診断を行います。インターネット経由ではアクセスできないネットワークあるいは Web サイトなどであっても診断が可能です。
②リモート診断
インターネットを介し、診断対象の機器が設置されている拠点以外から診断を行います。オンサイト診断であれば必要となる、診断員の出張費用や拠点への入館手続きなどが不要になります。
まとめ
「セキュリティ診断ってなに?種類や手法をご紹介」と題して、ご紹介してまいりました。みなさんにもセキュリティ診断の必要性や手法についてご理解いただけたと思います。ご紹介した方法以外にも細分化していくと、たくさんのセキュリティ診断の手法が出てきます。
セキュリティ診断は現代技術の環境において欠かせないプロセスです。脆弱性の特定やリスクの最小化、法的要件の遵守、信頼構築など、多くのメリットがあります。
未然にセキュリティリスクを防ぐためにも、定期的なセキュリティ診断を推奨いたします。ぜひ、セキュリティ診断やその他セキュリティ対策を適切に組み合わせ悪質な攻撃から身を守っていきましょう。
バルテスでは、Web・モバイル診断やプラットフォーム診断などのセキュリティ診断のサービスをご提供しております。手動診断、ツール診断、その両方を組み合わせた診断が可能となっており、セキュリティリスクを徹底的に洗い出すことが出来ます。
診断後は攻撃手口などもわかりやすく図解で記載した報告書をご提出いたします。万が一脆弱性が発見された場合にも報告書をもとにしやすい内容となっております。また、経済産業省が定める「情報セキュリティサービス台帳」というセキュリティサービス適合基準一覧にも記載があります。ぜひ、バルテスのセキュリティ診断をご検討いただけますと幸いです。
当サイトではWebサイト、モバイル、IoTへの脆弱性のリスクを考えている方や、サイバー攻撃の脅威から守るWAFに興味がある方へ、ダウンロード資料をご用意しております。ぜひ資料をダウンロードいただき、ご活用ください。
