初めての方へ

「エンドユーザからセキュリティ診断を受けるよう言われまして・・」「ISMSのルール上、セキュリティ診断を受けることになりまして・・」「納品時にセキュリティ診断を実施することが仕様に含まれておりまして・・」のように、セキュリティ診断を実施することになったものの、どうすれば良いのかわからない方向けに、セキュリティ診断がよくわかるコンテンツをご用意いたしました。

- 目次 -

脆弱(ぜいじゃく)性って何ですか?

コンピュータやネットワーク機器などのOSやソフトウェアにおいて、システムの乗っ取りや機密情報の漏えいなどに悪用される可能性があるバグ(プログラム上のミスや欠陥など)や仕様上の問題点のことです。
例えば、もっとも多く利用されているOSであるマイクロソフト社の「Windows」OSでは、毎月脆弱性を修正するためのセキュリティ更新プログラムが提供されています。セキュリティ更新プログラムを適用しないまま運用していますと、ウイルスやワーム、不正アクセス者からの攻撃により侵入されてしまい、コンピュータを乗っ取られるなどの被害が発生する可能性が高まります。
Webアプリケーションでは、ユーザから送信されたリクエストデータに不正な文字が含まれていないか確認しないまま処理してしまうものがよく見られ、これによりバックエンドのデータベースに不正な問い合わせを行う「SQLインジェクション攻撃」や、利用者を攻撃する「クロスサイト・スクリプティング攻撃」が行われる可能性があります。
上記の脆弱性は一例であり、利用しているOSやミドルウェア、Webアプリケーションなどに、それぞれ多種多様な脆弱性が確認されています。

セキュリティ診断って何ですか?

セキュリティ診断は、診断対象に上記のような潜在していないかを攻撃者の視点で確認するサービスです。お客様のシステムが仮に不正アクセス者に狙われた場合に、システムに侵入される可能性があるのか、侵入された場合にどのようなリスクがあるのかを診断します。診断対象の情報収集や、システムに影響を与えない範囲での疑似的な攻撃を行い、サーバやWebアプリケーションの応答から脆弱性の有無を診断してご報告いたします。

 

セキュリティ診断って必要なのですか?

セキュリティ診断を行うことにより、自社のシステムが抱えている脆弱性を知ることができますので、システム侵害が発生する前に脆弱性に対処できます。必要な対策をピンポイントで知ることができますので、結果的に不要なセキュリティ機器やソフトウェアの導入を抑えてコストダウンが図れたり、セキュリティ侵害が発生した際の対応費用を抑えたりできるため、セキュリティ診断を実施するメリットがございます。

昨今はデータを勝手に暗号化して身代金を要求する「ランサムウェア」の増加や、システムダウンによるサービス停止で損害賠償を請求されるなど、セキュリティ事故が実際に金銭的被害を招くケースが増えてきておりますので、セキュリティ診断の実施によりシステムのセキュリティ状態を把握しておくことは必要だと考えております。

どのような診断を行うのですか?

セキュリティ診断は、基本的に商用のセキュリティ診断ツールにより全体的な脆弱性の有無を診断し、その後手動での脆弱性確認や個別の診断ツールを実施することで脆弱性を検出します。サービス内容により診断内容の深さが異なりますので、詳しくは各サービスの説明をご確認ください。
セキュリティ診断には、ブラックボックス型とホワイトボックス型とがあります。ブラックボックス型は診断対象システムに対して、必要最小限の情報のみで(基本的にIPアドレスのみで)診断を行うもので、第三者からの攻撃を受けた際にどこまで攻撃されてしまうのかを調べる方法です。一方、ホワイトボックス型は診断対象システムの管理者権限を持つ状態でシステム内部や設定情報などを診断するもので、システムの詳細な情報(システム設計書、仕様書、設定情報、ソースコードなど)をもとに診断を実施します。

 

セキュリティ診断の種類が多くてよくわからないのですが?

何を診断対象とするかにより、ご選択いただくサービスが変わります。

対象サーバ機器のOSやミドルウェア、サービスアプリケーションなど、プラットフォームに対する診断をご希望の場合は、当社では「サーバ診断」サービスをご選択ください。
ファイルサーバ、ADサーバ、データベースサーバなどの一般的なサーバや、FW、ルータのようなネットワーク機器もサーバ診断サービスの対象となります。脆弱性検査用のセキュリティ診断ツールを利用し、システムの脆弱性を調査いたします。

Webサーバ上で稼働させている、検索フォームやECサイト、会員専用サイトなどのWebアプリケーションの脆弱性を調査したい場合には、当社では「Webアプリケーション診断」サービスをご選択ください。
ユーザからのリクエストによりデータベースへの問い合わせやWebページの生成を行う動的なコンテンツに対し、脆弱性検査用のセキュリティ診断ツールによる調査と、ツールだけでは確認できないWebアプリケーション特有の構成に応じた脆弱性検査をいたします。

セキュリティ診断を受ければシステムは安全になるの?

残念ながらセキュリティ診断を受けるだけではシステムは安全になりません。セキュリティ診断は脆弱性の有無を診断するものであるため、検出された脆弱性の対処は別途行っていただかないと安全な状態となりません。

検出された脆弱性の対処を行っていただければ、システムは安全な状態となります。

 

セキュリティ診断後、脆弱性の修正作業は誰が行うのですか?

検出された脆弱性を修正する作業は、基本的にお客様側での作業となります。脆弱性の修正方法は、主にソフトウェアのアップグレードやセキュリティパッチ(セキュリティ更新プログラム)の適用、システム設定の変更などが必要となり、脆弱性の修正作業によりお客様のシステムにどのような影響が出るのか当方では判断することができません。そのため、脆弱性の修正作業はお客様自身や保守ベンダー様もしくは構築ベンダー様に依頼することをお勧めいたします。Webアプリケーションであればサイト制作をご担当されたWeb制作会社様になります。
修正作業後、正しく修正されたかどうかを確認する場合の再診断(フォローアップ診断)については当方にて承ります。(別途有償)

 

 


サービスに関するお問い合わせは、以下へどうぞ。