セキュリティ診断、どうすればいいの!?

セキュリティ診断って何ですか?
脆弱(ぜいじゃく)性って何ですか?
なぜセキュリティ診断を行うのですか?
どのように脆弱性を調査するのですか?
セキュリティ診断の種類が多くてよくわからないのですが?
診断後の修正作業は誰が行うのですか?

セキュリティ診断って何ですか?

サーバやFWなどのネットワーク機器のOSやミドルウエアの脆弱性や、WEBアプリケーションが稼働するECサイトや会員専用サイトなどのWEBアプリケーションの脆弱性を調査し検出いたします。セキュリティ診断の結果に基づいてセキュリティホールを塞ぐことにより、侵入、改ざん、情報漏えいなどの被害を未然に防ぐことができます。脆弱性診断や脆弱性検査、セキュリティ検査などとも呼ばれます。

セキュリティ診断には、ブラックボックス型とホワイトボックス型とがあります。ブラックボックス型は、動作している対象システムに対し、必要最小限の情報のみで(例えば、IPアドレスのみで)診断を行います。一方ホワイトボックス型は、システムの詳細な情報(システム設計書、仕様書、設定情報、ソースコードなど)をもとに机上で診断を行います。

脆弱(ぜいじゃく)性って何ですか?

コンピュータやネットワーク機器などのOSやソフトウエアにおいて、システムの乗っ取りや機密情報の漏洩などに利用できる可能性があるバグや仕様上の問題点。
例えば、もっとも多く利用されているWEBサーバソフトウエアのApacheの「2.4.4 未満の 2.4.x」のバージョンでは、第三者により、任意の Web スクリプトまたは HTML の挿入が出来てしまう脆弱性が潜在していることが確認されています。攻撃者に脆弱性を悪用された場合、システムの不正操作やサービス停止が発生する危険性がある。
また、Webアプリケーションにおいて、ユーザから送信されたHTMLタグやスクリプト(ブラウザが解釈する命令の一種)をチェックせず、そのままブラウザが解釈・出力するセキュリティ上の不備を意図的に利用した攻撃(クロスサイトスクリプティング:XSS)が可能な脆弱性があります。
これにより、偽ページ表示によるフィッシング詐欺や個人情報などの漏洩、Cookie情報詐取によるなりすまし被害が発生する危険性があります。
上記の脆弱性は一例であり、利用しているOSやミドルウエア、WEBアプリケーションなどに、それぞれ多種多様な脆弱性が確認されています。

なぜセキュリティ診断を行うのですか?

攻撃者は、OSやWEBアプリケーションの脆弱性を利用し侵入を試み、侵入が成功すると顧客情報や会員情報などを窃取し、外部への情報の流出へと繋がります。
攻撃者は、不特定多数のサーバを徘徊し脆弱性があるサーバを見つけ、場合によっては踏み台にしターゲットへの侵入行為を行います。
それらの脅威から守るためには、脆弱性を潰し、安全な状態にすることが必要です。

どのように脆弱性を調査するのですか?

脆弱性が調査できる専用のセキュリティ診断ツールを実行し調査を行うツール診断と、攻撃者と同様の手法で手動による侵入を試み脆弱性を発見する擬似侵入診断(ペネトレーションテスト)があります。

セキュリティ診断の種類が多くてよくわからないのですが?

プラットフォームに対する診断
サーバやFWなどのネットワーク機器の脆弱性を調査したい場合には、それらの機器の脆弱性が調査できるセキュリティ診断ツールを利用し調査いたします。

もっと詳しく調査したい場合には、稼働しているサービス毎にさらに詳しく調べられる個別のツールを用いたり、セキュリティ診断ツールで検出された脆弱性を利用し、手動で侵入が可能かなどを調べる擬似侵入診断(ペネトレーション)にて調査いたします。

WEBアプリケーションに対する診断
WEBアプリケーションが稼働するECサイトや会員専用サイトなどのWEBアプリケーションの脆弱性を調査したい場合には、実装されている動的なページに対し、専用の診断ツールによる調査と、ツールでは確認できないWebアプリケーション特有の構成に応じた脆弱性を手動にて調査をいたします。

サーバの設定に対する診断
コンソール上から目視にて、セキュリティ上好ましくないサービス稼動の有無、不要アカウントの存在、システムの状況(OSの状態、セキュリティパッチの適用状況、サービスの稼動状況など)について調査いたします。

診断後の修正作業は誰が行うのですか?

検出された脆弱性を改善するための修正作業は、基本的には該当システムを構築されたベンダー様に依頼することをお勧めいたします。WEBサイトであればサイト制作をご担当されたWEB制作会社様になります。修正作業の内容によってはシステムの動作検証などが必要になり、構築されたベンダー様以外の第三者が修正を行った場合、システムの保証や責任の所在が不明確になるケースが考えられます。

正しく改善されたかどうかを確認する場合は、再診断を行っております。