資料請求リスト
0

セキュリティ診断サービスの診断項目を解説!脆弱性診断しよう

セキュリティ診断サービスの診断項目を解説!脆弱性診断しよう

システムリスクやネットワークの脆弱性を診断し、セキュリティホールなどを発見してくれるツール・サービスが「セキュリティ診断」です。診断結果で見つかった問題点を改善していくことが、セキュリティリスクの軽減につながります。

ここでは、「ネットワークの脆弱性診断」「Webアプリケーションの脆弱性診断」「プラットフォーム診断」といった、セキュリティ診断の基本的な診断項目を紹介します。


セキュリティ診断サービス紹介ページ遷移画像

セキュリティ診断の基本的な診断項目

早速、セキュリティ診断の基本的な診断項目を見ていきましょう。

ネットワークの脆弱性診断

セキュリティ診断サービスの「ネットワーク脆弱性診断」は、インターネットを使ってアクセスできるシステムや機器に対して脆弱性診断を実行するものです。具体的には「各種サービスの脆弱性」や「各種OSの脆弱性」「危険性の高いソフトウェア」「ネットワーク機器の脆弱性」が診断されます。

ネットワーク機器については「ポートスキャン検査」が実施され、「不適切なポート開放」や「不適切なアクセス制御状況」がないかチェックされます。

また、実際に攻撃を受けた際の攻撃耐性が知りたいときに役立つのが「ペネトレーションテスト」です。実際に攻撃シナリオを作成し攻撃を実行します。一般的な脆弱性診断と異なり、脆弱性を網羅的に探すのではなく特定の脆弱性を発見することを目的としています。

このほかの診断項目には「メール不正中継可否検査」や「DoS耐性診断」などがあります。DoS耐性診断によって「侵入されないか」に加えて、「簡単な攻撃でダウンしないか」もチェックされます。サービスによっては、20,000件以上の診断項目を用意しています。

Webアプリケーションの脆弱性診断

「Webアプリケーション診断」では、業務でも用いられるようになったWebアプリケーションを診断します。Webアプリケーションの脆弱性や問題の多くは、動的画面において検出されます。動的画面はログイン機能を持つ画面や情報を登録・参照・変更する機能を持つ画面で、診断もこの動的画面のあるページが対象となります。

チェックされるのはCookieやセッションIDの改竄、クロスサイトスクリプティング、ディレクトリトラバーサル、コマンドインジェクションなどの攻撃に対する耐性です。

具体的には、ネットショップサイトの注文入力画面、企業説明会のエントリー画面、資料請求フォームなど利用者が入力したデータを元に生成される画面、画面遷移の判定を含むページ、入力データがデータベースに反映される仕組みを持つページで、改善点を探すのに役立ちます。

プラットフォーム診断

セキュリティ診断を必要としているのは、ネットワーク外部からアクセスできる部分だけではありません。セキュリティ診断サービスでは、内部の人間による情報漏洩を想定した「プラットフォーム診断」機能も提供されています。個々のアカウントで推測されやすいパスワードが使われていないか、サポート対象外のソフトウェアバージョンがないか、といった点をチェックする機能もあります。

各セキュリティ診断サービスが設定する独自診断

セキュリティ診断サービスによっては、Active Directory (アクティブディレクトリ) サーバについて、ネットワーク経由とサーバ設定の両面から問題点を検出する「Active Directory診断」機能を提供しています。この診断はActive Directoryサーバに侵入後、内部から実行されるタイプの攻撃にも対応しています。

Webサイトの脆弱性を毎日診断するサービスと提供するWAFの設定サービスがセットになった製品、SaaS形式でコンテンツ更新時などにオンデマンド診断を実行できる製品もあります。また、アナリストによる手動の診断に加えて報告会、指摘事項改修の再診断を提供するという、アフターサービスをパッケージングしたサービスも選択可能です。

人気のセキュリティ診断サービスを見てみよう

現在ITトレンドで人気のセキュリティ診断サービスを紹介します。実際にどんな診断項目があって、どんなことができるのかを確認してみましょう。

セキュリティ診断サービスの価格設定

セキュリティ診断サービスの価格ですが、サービスの提供会社によって料金体系は異なります。診断対象のIP数や診断規模などに応じて価格設定される場合もありますので、自社でネットワークの規模や診断頻度を把握したうえで、最適なサービスを導入できるよう資料請求や見積もりをとって比較検討しましょう。

価格を抑えたセキュリティ診断サービスも検討に加えたいという方は、以下の記事もご覧ください。

関連記事 無料のセキュリティ診断サービス比較!有料サービスとの違いとは?
セキュリティ診断サービス紹介ページ遷移画像
この記事を読んだ人は、こちらも参考にしています

話題のIT製品、実際どうなの?

導入ユーザーのリアルな体験談

電球

IT製品を導入しDXに成功した企業に

直接インタビュー!

電球

営業・マーケ・人事・バックオフィス

様々なカテゴリで絶賛公開中

私たちのDXロゴ
bizplay動画ページリンク
動画一覧を見てみる
IT製品・サービスの比較・資料請求が無料でできる、ITトレンド。「セキュリティ診断サービスの診断項目を解説!脆弱性診断しよう」というテーマについて解説しています。セキュリティ診断サービスの製品 導入を検討をしている企業様は、ぜひ参考にしてください。
このページの内容をシェアする
facebookに投稿する
Xでtweetする
このエントリーをはてなブックマークに追加する
pocketで後で読む
認知度、利用経験率No.1のITトレンド セキュリティ診断サービス年間ランキング
カテゴリー関連製品・サービス
カテゴリー関連製品・サービス
【セキュリティ脆弱性診断サービス】
株式会社セキュアイノベーション
☆☆☆☆☆
★★★★★
★★★★★
4.0
【Cloudbric 脆弱性診断】
ペンタセキュリティ株式会社
☆☆☆☆☆
★★★★★
★★★★★
0.0
「Web脆弱性診断」
株式会社ピーエスシー
☆☆☆☆☆
★★★★★
★★★★★
4.2
セキュリティ・プラス プラットフォーム診断
株式会社アズジェント
☆☆☆☆☆
★★★★★
★★★★★
4.0
セキュリティ・プラス Webアプリケーション診断サービス
株式会社アズジェント
☆☆☆☆☆
★★★★★
★★★★★
0.0
Webアプリケーション脆弱性検査ツール vex
株式会社ユービーセキュア
☆☆☆☆☆
★★★★★
★★★★★
0.0
【脆弱性診断サービス】大手企業・官公庁などへの診断実績1,000件以上!
株式会社アイ・エフ・ティ
☆☆☆☆☆
★★★★★
★★★★★
0.0
脆弱性診断サービス
バルテス株式会社
☆☆☆☆☆
★★★★★
★★★★★
0.0
Tripwire IP360
トリップワイヤ・ジャパン株式会社
☆☆☆☆☆
★★★★★
★★★★★
4.0
Securify(セキュリファイ)
株式会社スリーシェイク
☆☆☆☆☆
★★★★★
★★★★★
4.0
Webアプリケーション脆弱性診断サービス
株式会社神戸デジタル・ラボ
☆☆☆☆☆
★★★★★
★★★★★
0.0
insightVM
ラピッドセブン・ジャパン株式会社
☆☆☆☆☆
★★★★★
★★★★★
5.0
脆弱性診断サービス
株式会社日立システムズ
☆☆☆☆☆
★★★★★
★★★★★
0.0
セキュリティ診断サービス
株式会社トインクス
☆☆☆☆☆
★★★★★
★★★★★
0.0
アピリッツのセキュリティ診断
株式会社アピリッツ
☆☆☆☆☆
★★★★★
★★★★★
0.0
Matrix Inspect
サイバーマトリックス株式会社
☆☆☆☆☆
★★★★★
★★★★★
0.0
脆弱性診断サービス
株式会社サイバーセキュリティクラウド
☆☆☆☆☆
★★★★★
★★★★★
0.0
「AeyeScan」
株式会社エーアイセキュリティラボ
☆☆☆☆☆
★★★★★
★★★★★
5.0
【実績豊富】Web・ネットワーク・クラウドに幅広く対応する「脆弱性診断」
エムオーテックス株式会社
☆☆☆☆☆
★★★★★
★★★★★
0.0
【ペネトレーションテスト】
株式会社アズジェント
☆☆☆☆☆
★★★★★
★★★★★
0.0
脆弱性管理サービス
株式会社日立システムズ
☆☆☆☆☆
★★★★★
★★★★★
0.0
Webアプリケーション脆弱性自動検査ツール「VexCloud」
株式会社ユービーセキュア
☆☆☆☆☆
★★★★★
★★★★★
0.0
ITトレンドへの製品掲載・広告出稿はこちらから
セキュリティ診断サービスの製品をまとめて資料請求