Introduction
セキュリティ診断サービスとは、社内システムに潜む脆弱性を洗い出すサービスです。脆弱性はどこに潜んでいるかわからず、また次々と新しいものが登場します。そのため、自社にあった診断サービスを選んで、定期的に実施する必要があります。しかし、そもそもセキュリティ診断サービスとは何なのか、どのような診断内容のサービスを選べばよいのかなどを知りたい方も多いでしょう。
この記事では、セキュリティ診断サービスとは何か、診断サービス選定時のポイントなどについて詳しく解説します。
目次
セキュリティ診断サービスとは?
セキュリティ診断サービスは、脆弱性診断サービスとも呼ばれ、企業などのシステムを構成するOS、ミドルウェア、ソフトウェア、アプリなどの脆弱性を診断するサービスです。
多くのサイバー攻撃は、システムの脆弱性を悪用して行われます。たとえば、使用していない通信ポートから侵入して、社内ネットワーク内のソフトウェアに不正アクセスするなどです。この場合には、未使用の通信ポートを介して、外部から侵入できるという脆弱性が悪用されています。ハードウェアやソフトウェアなどに脆弱性が発見されると、悪意ある第三者はその脆弱性を狙ってサイバー攻撃を仕かけてくるのです。
このような脆弱性はどこに潜んでいるかわからず、新たに発見されることも多いです。そのため、新システムや新サービスを利用しはじめたときや機能追加したとき、システム更改を行ったときなどに、セキュリティ診断を行う必要があります。また何事もなくても、定期的に診断を受けておくことで安心につながります。
▼あわせて読みたい▼
>>脆弱性とは?その種類や放置する危険性、正しいセキュリティ対策について解説のページへ
>>脆弱性診断とは?診断の種類や必要な理由、やり方やツールについても解説のページへ
>>脆弱性診断のよくある質問にお答えします。種類や必要性、外注先の選び方などのページへ
セキュリティ診断サービスが必要とされている背景
セキュリティ診断サービスが必要とされている背景には、以下のようなことがあります。
・脆弱性はどこに潜んでいるかわからない
・サイバー攻撃を受けることで、企業に大きな損害が発生する可能性がある
・脆弱性は次々に生まれるため、継続して診断する必要がある
システムの脆弱性はあらゆるところに潜んでおり、いつ攻撃を受けるかわかりません。そして、攻撃を受けると、顧客情報の流出や機密情報の盗用など企業に大きな打撃を与え、社会的信用を大きく失墜する可能性もあります。そして、脆弱性は一度診断すれば完全にとり除けるものではなく、次々と生まれてくるものです。
そのため、セキュリティ診断サービスは、企業を守るための重要な施策のひとつといえます。
セキュリティ診断サービスの種類
セキュリティ診断サービスには、いくつかの種類があります。
ツールで自動的に診断するタイプ
セキュリティ診断の診断対象や診断項目は非常に数が多く、すべてを人の手で行うことは不可能です。そのため、ツールで自動的に診断することもあります。ツール診断を導入すれば、多くの診断項目を効率よく消化でき、コストを削減できるというメリットを得られます。
たとえば、社内ネットワークの通信ポートすべてに、疑似攻撃を仕かけて脆弱性の有無を確認するなど、総当たりの形で診断する項目も多いです。このような機械的にチェックできる診断項目の場合には、ツールで自動的に診断するのが有効です。
さらに、自動診断ツールには、クラウド型とソフトウェア型があります。
クラウド型は、ネットワークを介してクラウド上のサーバーのツールを利用するタイプです。自社のパソコンにインストールする必要がなく、バージョン管理を運営会社が行ってくれるので、つねに最新のツールを利用できます。その反面、ネットワーク通信を介するため、通信負荷がかかるというデメリットもあります。
ソフトウェア型は、ツールを自社のパソコンにインストールして利用するタイプです。インストールの手間がかかる、自分で更新作業を行う必要があるなどのデメリットはありますが、オフラインで利用できるというメリットもあります。
技術者が手動で診断するタイプ
技術者が手動で診断し、結果を人が判断するタイプです。診断対象が複雑なシステムの場合、仕様どおりに動いているのに脆弱性が潜んでいるなど、判断がむずかしい場合などに行われます。
ツール診断のように多くの診断項目を効率よく行えませんが、むずかしい判断を求められる場合や丁寧に診断を行いたい場合に有効です。
セキュリティ診断サービスとペネトレーションテストの違い
セキュリティ診断サービスとペネトレーションテストは、何が違うのでしょうか?
セキュリティ診断サービスは、システム全体を網羅して脆弱性が潜んでいないかを診断するものです。OS、ミドルウェア、ソフトウェア、アプリなどを全体的・機械的に診断して、脆弱性がないかを洗い出します。
一方、ペネトレーションテストは攻撃者目線で攻撃シナリオを作成し、それに沿って診断していくものです。たとえば、メールに添付されたファイルを開きマルウェアに感染する、従業員の内部犯罪により情報漏洩が起こるなどのリスクは、セキュリティ診断では検出できません。なぜなら、システム的な脆弱性が利用されているわけではないからです。そのようなケースも含め、診断対象の状況や流行しているサイバー攻撃の手口なども考慮して診断を行うのが、ペネトレーションテストです。
このように、2つの診断は診断の内容や手法、考え方が異なることがわかります。
関連サービスについて
セキュリティ診断サービスで失敗しないための比較・選定ポイント
セキュリティ診断サービス選びで失敗しないための、比較・選定ポイントをご説明します。ここでご説明するポイントごとに必ず複数企業のサービスを比較し、自社にあったサービスやプランを選んでみてください。
専門家による診断が含まれているか
診断項目が決まっているツール診断を活用すれば、効率よく低コストで診断を受けられます。しかし、ツール診断と専門家による診断とでは、信頼性において大きな格差があります。そのため、ツール診断だけではなく、セキュリティに関する豊富な知識と実績をもつ、専門家による診断もつけることが望ましいでしょう。
診断項目・範囲が自社のニーズに適合しているか
それぞれのサービスに含まれる診断項目や診断範囲が、自社のニーズにあっているかを必ず確認しましょう。いままで診断したことがない項目や、前回の診断で問題ありといわれた項目や範囲については、重点的に診断を受けることをおすすめします。
セキュリティ診断の項目には、以下のようなものがあります。
【プラットフォーム診断で診断できる項目】
・不要ポートの開放
・脆弱なソフトウェアの利用
・設定の不備
・プロトコル固有の脆弱性
【Webアプリ診断で診断できる項目】
・Webアプリの仕様に起因する脆弱性(固有のビジネスロジックに依存するもの、一般的な使用上の不具合)
・Webアプリの実装に起因する脆弱性(実装メカニズムに対する高度な理解が要求されるもの、一般的な実装の不備)
・利用するWebアプリミドルウェア固有の脆弱性
【スマートフォンアプリ診断で診断できる項目】
・アプリ本体の脆弱性
・通信路の脆弱性
・外部サービスに関する脆弱性
レポートの内容が詳細でわかりやすいか
セキュリティ診断を受けると診断結果をレポートで提出されますが、内容がわかりづらい、情報が足りないなどの場合はおすすめできません。サービスを選定する際には、診断結果のレポートは具体的にどのようなものなのか、何を報告してもらえるのかを必ず確認してください。レポートにおける不明点を確認できるなどのアフターフォローがあると、なおよいでしょう。
サポート体制が手厚いか
セキュリティ診断を受けただけでその後のサポートやフォローが何もないと、その後のセキュリティ対策につながらず、あまり意味がありません。結果報告が詳細か、専門家にその後のフォローを受けられるか、セキュリティ対策サービスを利用できるかなどのサポート面も確認しましょう。
また、診断結果が問題なかったにもかかわらず、サイバー攻撃を受けてしまった場合に備えて、サイバー保険が付帯しているサービスもあります。独自のサポート体制を必ず確認するようにしましょう。
同業種での導入実績が豊富か
セキュリティ診断を受ける際には、サービスを扱う専門会社の導入実績を確認することが非常に重要です。とくに、同業種の他社の導入実績が豊富な専門会社を選ぶのがおすすめです。
業種によって、扱う業務システムや運用の流れなどは異なります。そのため、その業種に特化した知識が豊富な会社のほうが、的確な診断やアドバイスを受けられるのです。
価格が予算内に収まるか
診断の質や実績などを考慮したあと、価格が予算内に収まるかも確認しましょう。もちろん、安ければよいわけではなく、必要な診断項目や診断レベルを満たしているかを確認する必要があります。
SHIFTのセキュリティ(脆弱性)診断について
SHIFTのセキュリティ(脆弱性)診断について、詳細をご説明します。
SHIFTのセキュリティ(脆弱性)診断の強み
SHIFTは、ソフトウェアテストや品質保証、セキュリティ対策などを扱う専門会社です。多くの企業様のセキュリティ対策を手がけた実績がある、優秀なスタッフが対応いたします。セキュリティ診断は国際基準に基づいた判断基準で行われ、以下のような豊富な診断メニューをご用意しています。
・Webアプリケーション診断
・スマートフォンアプリケーション診断
・クラウド診断
・ペネトレーションテスト
・エンドポイント診断
・診断内製化支援
・負荷テスト
・プラットフォーム診断
・ソースコード診断
次章でご説明する診断の流れのとおり、診断実施時には日次報告をし、診断後にすみやかに詳細な結果をご報告します。オプションで再診断や報告会も実施するので、安心してご利用いただけます。
SHIFTのセキュリティ(脆弱性)診断の流れ
SHIFTのセキュリティ診断の流れは、以下のとおりです。
1.ヒアリング
ヒアリングシートに診断内容や要望を記載いただき、詳細なヒアリングを行います。
2.診断計画(見積り)
ヒアリング内容をもとに診断計画を作成し、設計を行います。見積りの結果に納得いただけたら、契約に進みます。
3.設計・診断実行
設計を行い、診断を実行します。日次で作業進捗を報告するので、詳細な作業内容も把握できます。
4.報告書提出
診断後、最短1営業日で報告書を納品します。
5.再診断、報告会(オプション)
オプションで、再診断や報告会を実施します。
まとめ
この記事では、セキュリティ診断サービスとは何か、診断サービス選定時のポイントなどについて詳しく解説しました。
セキュリティ診断サービスは、企業のOS、ミドルウェア、ソフトウェア、アプリなどに脆弱性が潜んでいないかを網羅的に診断するサービスです。いままで診断を受けたことがない場合、新システムや新サービスを使いはじめる場合、機能追加や更改の際などに受ける必要があります。また、何もなくても定期的に診断を受けておくと安心です。
セキュリティ診断サービスを選定する際には、この記事でご紹介したポイントごとに複数のサービスを比較し、自社に合ったサービスを選んでみてください。
>>SHIFTのセキュリティソリューションのページへ
>>お問い合わせページへ
>>料金についてページへ