待ったなしのセキュリティ対策 セキュリティ診断の選び方

セキュリティ診断は、脆弱性診断とも呼ばれ、サーバーやアプリケーションの欠陥やミスを見つけだすサービスです。
独立行政法人IPA情報処理推進機構セキュリティセンターでは次のように脆弱性対策に関する取り組みをまとめています。様々な取組方法が掲載されていますので、まずはこちらから基本的な考え方を理解されるのが良いでしょう。

出典)IPA
https://www.ipa.go.jp/files/000051352.pdf

その上で実際に診断を実施する場合のポイントについてお話をさせていただきます。
実際に診断を実施する際には、診断の対象により大きく2種類があります。

1、 プラットフォーム診断
ネットワーク内部、外部のセキュリティを診断します。インターネットな外部から診断をする場合は、Webサイト、メール、サーバーなどが対象となります。インターネットの内部から診断をする場合は、サーバーやクライアントPC、データベースなどが対象となります。主な診断項目としては、DoS攻撃、不正ログイン、不要サービスなどがあります。

2、 アプリケーション診断
Webアプリケーションの脆弱性を診断します。主な診断項目としては、パラメータ改ざん、パストラバーサル、クロスサイトスクリプティング、OSコマンドインジェクション、総当たり攻撃、アプリ内課金不正利用、なりすましなどがあります。

診断の方法としては、次のように「ツール診断」「手動診断」があります。
ツール診断の場合は、専用ツールを利用するためコストや時間を削減することができます。一方で、カスタマイ←などの設定はできないので。複雑な設定はできない。

手動診断は、人手で実施をするためコストや時間を要します。機械でできないような複雑な設定が可能です。そのため高い精度で実施することができたり、診断後の改善策を提案や相談にのってくれることもあります。一方でサービスを提供する担当者によっても技術レベルが変わってくることがありますので、事前にレベルをチェクしておくことが必要です。


また、診断をした後は対策を要することになりますので、診断後に具体的な対処案の提示や再診断などのサービスもあること、対応後も常に定期的な診断を求められるのが市場からの要請ですので、長期に渡って良い関係を築けるパートナーであることが大事です。

脆弱性診断はこれからクラウド環境におけるサービスが主流の今、企業が信頼を得て企業価値を上げるためにも必須の項目となってきます。
Telework.Aiでは最新の情報を提供していきますので、ぜひご覧ください。