「セキュリティ診断」選択の3つのポイント

診断対象を確認する

システムリスクやネットワークの脆弱性を外部から診断することで、見過ごしていたセキュリティホールや設定ミスに気づくことができます。その診断対象は次の3種類に分類できます。対象を確認し、必要とするセキュリティ診断を絞り込んでいきます。

■Webアプリケーション診断

Web上に構築したサービスを診断します。Webアプリケーションは、オープンにされているだけあって、最も危険性が高いとされています。サイバー攻撃に対する脆弱性、セッション管理診断、ユーザ認証診断、パラメータ操作診断、暗号化方式の診断、画面設計の診断などの項目があります。

■プラットフォーム（サーバやネットワーク）診断

サーバやネットワーク機器の安全性を診断します。外部あるいは内部からの不正アクセスなどの脆弱性を洗い出し、改善策を提案。主な診断項目に、ネットワークスキャン、ポートスキャン、アプリケーションバナー情報の調査、メールサーバの不正利用、スパムリレーやセキュリティホールのチェック、OSとアプリケーションのセキュリティなどの項目があります。

■データベース診断

データベースの安全性に特化して診断します。サービスによっては、プラットフォーム診断に含まれることもあります。診断項目には、パスワードやアクセス権限の設定、不要なアカウント、ストアドプロシージャの有無、監査設定やネットワーク接続の設定などがあります。データベース運用上の内部統制の視点から診断するサービスもあります。

診断方法とアフターケア

診断にはツールによる診断と手動（マニュアル）による診断があります。両者を組み合わせた診断を提供している場合もあります。コストとリスクを考慮して選びましょう。

■ツール診断

市販あるいは独自の診断ツールを用いて診断します。安価で網羅的に診断ができるメリットがあります。診断も標準化されており、誰がやっても同じ結果を得ることができます。自社で購入して行うことも可能となりますが、その場合は操作の習熟と結果を読み取るスキルが必要になります。

■手動（マニュアル）診断

なりすましなどの脅威に対する脆弱性は、ツールでは検出が困難です。このような脆弱性を発見するのが、専門家による手動の診断です。擬似的な攻撃パターンを試したり、目視したりして脆弱性を確認します。 人手によるため、ツール診断に比べ時間もコストもかかりますが、高い精度が期待できます。

■アフターケアの有無

診断後、改善策の相談に乗ってくれるかも重要な選択ポイントです。提示された期間内であれば再診断を無償で提供する事業者もあります。定期的に診断を提供してくれるところもあり、かかりつけの医師のように利用できます。

サービス提供事業者の技術レベル

手動（マニュアル）診断では、サービス事業提供者の技術レベルが重要となります。同じ社内でも担当者によっても熟練度は異なります。ツール診断においても、報告や改善策の指導は、力量に左右されます。

これを判断するには実績を確認すること。経験年数や診断数、資格、受講歴、職歴などを確認しましょう。企業の場合も実績や得意とする分野・業界をチェックしましょう。 技術レベルは診断書にも現れます。どのような報告書が提供されるのか、サンプルを入手してください。自社にとって有益な情報が得られるのかどうかは、サンプルによって確認することができます。

人為的なミスによるの危険性は加味しておくべきでしょう。。大きな事故になる前に、専門家によるセキュリティ診断を受けましょう。