セキュリティ診断の種類
まずはセキュリティ診断の種類を見ていきましょう。
プラットフォーム診断
プラットフォーム診断では、企業システムの基盤となるOS・ミドルウェアの診断を行います。企業のプラットフォームに脆弱性があると、安全に使用できなくなってしまうでしょう。そのため、プラットフォーム診断は企業にとって重要度が高いセキュリティ診断といえます。
主にネットワークの内側・外側の両面から診断するものであり、アクセス制限などの検査も可能です。このプラットフォーム診断には「リモート診断」と「オンサイト診断」の2種類があります。
リモート診断は、ネットワークの外側からネットワークに接続するサーバの脆弱性やアクセス制限の診断が可能です。オンサイト診断では、内部ネットワークに接続している機器の脆弱性を診断できます。
アプリケーション診断
アプリケーション診断とは、Webサイトやアプリケーションのセキュリティ脆弱性を診断する方法です。Webアプリケーション・Webサイトは業務で利用する機会も多く、脆弱性が多いことが問題となっています。
この脆弱性を放置していれば、サイトの乗っ取りや、データ改ざん、情報漏えいの被害に遭うこともあるでしょう。具体的な診断項目にはOSコマンドインジェクションやSQLインジェクション、パラメータ改ざんが含まれます。
実際にECサイトなどの会員サイトの脆弱性は攻撃対象となることが多いため、対策は必須です。まずは現時点で脆弱性がないかアプリケーション診断で確認すると良いでしょう。
セキュリティ診断の方法
つづいて、セキュリティ診断の方法を見ていきましょう。全体的なチェックにはツール診断を使い、重要度が高いシステムには手動診断を行うと良いでしょう。
ツール診断
ツール診断とは、診断ツールを用いて脆弱性を検査するものです。
- 【メリット】
-
- ■広範囲のシステムを一度に診断することが可能
- ■大量のパターンの診断を行える
- ■機械的な診断であり、短時間かつ低コストな診断が可能
- 【デメリット】
-
- ■システムやネットワークの構成が複雑だと誤診断が生じることが多い
- ■ツールにより決まったパターンを診断するため、柔軟な対応ができない
- ■脆弱性が複数ある場合や、巧妙な攻撃は検知できない
手動診断
手動診断では、セキュリティ診断サービスの提供事業者に所属するエンジニアが模擬的な攻撃を行い、脆弱性を検査します。
- 【メリット】
-
- ■複数のツールを使って検査を行うため、診断の精度が高く柔軟性が高い
- ■ツール診断では検査できないような脆弱性を検知できる
- 【デメリット】
-
- ■一度に検査できる対象は少なく診断に時間がかかる
- ■技術が高いエンジニアが行うためコストが高い
セキュリティ診断をする際の注意点
最後に、セキュリティ診断を実施する際の注意点を見ていきましょう。
セキュリティにおける様々な脅威を認識する
セキュリティ診断を行うときは、セキュリティにおける脅威にはさまざまな種類があると認識することが大切です。そのため、何か1つの脆弱性を確認すれば良いというわけではありません。
自社にとって重要度が高いシステムから順番にセキュリティ診断を行わなければならないでしょう。実際に脆弱性のタイプは合計で777個あるといわれているため、自社に最適な診断を実施することが大切です。
セキュリティ診断サービスを行うときは、事前に相談できるサービスを選ぶことがおすすめです。
事前に診断の許可を取っておく
セキュリティ診断を行うときは、事前にシステムの所有者と管理者に許可を取っておく必要があります。基本的にセキュリティ診断とは、無害なサイバー攻撃を仕掛けて脆弱性がないか確認するものです。
そのため、サイバー攻撃を検知するシステムを使っていれば、当然大量のアラートが発生するでしょう。もし事前に通知を行っていなければ、現場は大混乱してしまいます。
また、クラウド型のシステムを使っている場合は、他社が所有者です。無許可でセキュリティ診断を行った場合、不正アクセスとして訴えられる可能性もゼロではありません。このように、セキュリティ診断の仕組みを知り万全の体制で実施する必要があります。
セキュリティ診断を行ってネットの情報漏えいを防ごう!
セキュリティ診断には主に2種類の方法があるため、自社に合う方法で診断しなければなりません。プラットフォーム診断は社内の基盤を診断する種類のため重要度は高いでしょう。
Webサイトを運営している場合はWebアプリケーション診断がおすすめです。診断方法にはツール診断と手動診断があるため、コストと効果のバランスを見て診断してください。セキュリティ診断を行い情報漏えい対策などセキュリティ強度を高めましょう。
