セキュリティ診断で脆弱性が見つかったら…？

セキュリティ診断とは？

セキュリティ診断とは、社内の業務システムやネットワーク、その他のパソコンやネットワーク機器などのハードウェア、それらに使用されているOSやソフトウェアなどの脆弱性の発見と、その対策漏れがないかを検査して調べることです。多くの場合、診断サービスとして提供され、脆弱性の発見と同時に対策方法も提供、指導してくれます。

脆弱性とは、コンピュータなどのハードウェアやソフトウェア、あるいはネットワークなどに存在するプログラムの欠陥や仕様上の問題点、弱点のことです。悪意のある第三者によって利用され、不正アクセスやサイバー攻撃など、セキュリティ上のリスクになるものを脆弱性といいます。

セキュリティ診断でできること

このような脆弱性に対する不正攻撃からシステムを守るにはセキュリティ診断が有効です。 では、セキュリティ診断によってできることとは何でしょうか。

システムの脆弱性は、もっとも多く不正攻撃の対象になっている以下の項目を診断します。

• 既知の脆弱性やバグを修正したパッチ(修正プログラム)の未適用
• アプリケーションプログラムの設計ミス
• Webサーバとコンテンツ管理ミス

セキュリティ診断では、これらをネットワークの外側から、および内側から非常に多くの検査を通して、残らず見つけ出します。そのために行われるセキュリティ診断項目とその内容は下記の通りです。

セキュリティ診断項目と内容

●Webアプリケーション

• ・サイバー攻撃に対する脆弱性： 入力されたデータが正しく処理されているかなどを検証
• ・ユーザ認証方式： 認証の強度、認証を回避されるリスクを検証
• ・暗号化方式と重要データの暗号化： 暗号化の強度と重要データの暗号化送信されているか検証
• ・その他： 認証方式、セッション管理方式、トランザクション処理などを検証。

●ネットワーク・プラットフォーム

• ・ポートスキャン： 不要な通信ポートが開いて攻撃に利用される可能性を検証
• ・アプリケーションバナー： OSやWebサーバなどが攻撃される危険性を検証
• ・メールサーバーの不正利用： SPAMメールの不正中継に悪用されないかを検証
• ・OS、アプリケーションのセキュリティ： 最新のセキュリティパッチが適用されているか検証
• ・その他： 不正侵入、サービス妨害、不正プログラムの有無などを検証

以上の他にも、Webアプリケーションやネットワーク・プラットフォームの他にも、無線LANやスマートデバイス、データベースに対する脆弱性も検証できます。

セキュリティ診断の種類と診断後の対応

セキュリティ診断には、大きく分けるとセキュリティ診断をサービスとして提供するマニュアル診断と市販のツールを購入して半自動でセキュリティ診断を行うツール診断があります。

ツール診断では、ツールの使用方法を習得しなければならないこと、診断結果を読み取るスキルが必要なこと、発見できない脆弱性があること、データ破損を起こす可能性があることなどで、診断精度は低くなります。

一方、マニュアル診断はセキュリティの専門家によって行われ高い診断精度で行われます。診断後は、発見された問題点への推奨対策を含む診断結果の報告書が提供され、システムの脆弱対策を実施できます。費用とリスクの大きさ、および人材の有無などを考慮して選びます。

自社のセキュリティ対策に問題がないか、外部の目から診断をすることは、問題を事前に防ぐためにはとても有効ですので、ぜひ一度検討してみてはいかがでしょうか。