セキュリティ診断の基本的な診断項目
早速、セキュリティ診断の基本的な診断項目を見ていきましょう。
ネットワークの脆弱性診断
セキュリティ診断サービスの「ネットワーク脆弱性診断」は、インターネットを使ってアクセスできるシステムや機器に対して脆弱性診断を実行するものです。具体的には「各種サービスの脆弱性」や「各種OSの脆弱性」「危険性の高いソフトウェア」「ネットワーク機器の脆弱性」が診断されます。
ネットワーク機器については「ポートスキャン検査」が実施され、「不適切なポート開放」や「不適切なアクセス制御状況」がないかチェックされます。
また、実際に攻撃を受けた際の攻撃耐性が知りたいときに役立つのが「ペネトレーションテスト」です。実際に攻撃シナリオを作成し攻撃を実行します。一般的な脆弱性診断と異なり、脆弱性を網羅的に探すのではなく特定の脆弱性を発見することを目的としています。
このほかの診断項目には「メール不正中継可否検査」や「DoS耐性診断」などがあります。DoS耐性診断によって「侵入されないか」に加えて、「簡単な攻撃でダウンしないか」もチェックされます。サービスによっては、20,000件以上の診断項目を用意しています。
Webアプリケーションの脆弱性診断
「Webアプリケーション診断」では、業務でも用いられるようになったWebアプリケーションを診断します。Webアプリケーションの脆弱性や問題の多くは、動的画面において検出されます。動的画面はログイン機能を持つ画面や情報を登録・参照・変更する機能を持つ画面で、診断もこの動的画面のあるページが対象となります。
チェックされるのはCookieやセッションIDの改竄、クロスサイトスクリプティング、ディレクトリトラバーサル、コマンドインジェクションなどの攻撃に対する耐性です。
具体的には、ネットショップサイトの注文入力画面、企業説明会のエントリー画面、資料請求フォームなど利用者が入力したデータを元に生成される画面、画面遷移の判定を含むページ、入力データがデータベースに反映される仕組みを持つページで、改善点を探すのに役立ちます。
プラットフォーム診断
セキュリティ診断を必要としているのは、ネットワーク外部からアクセスできる部分だけではありません。セキュリティ診断サービスでは、内部の人間による情報漏洩を想定した「プラットフォーム診断」機能も提供されています。個々のアカウントで推測されやすいパスワードが使われていないか、サポート対象外のソフトウェアバージョンがないか、といった点をチェックする機能もあります。
各セキュリティ診断サービスが設定する独自診断
セキュリティ診断サービスによっては、Active Directory (アクティブディレクトリ) サーバについて、ネットワーク経由とサーバ設定の両面から問題点を検出する「Active Directory診断」機能を提供しています。この診断はActive Directoryサーバに侵入後、内部から実行されるタイプの攻撃にも対応しています。
Webサイトの脆弱性を毎日診断するサービスと提供するWAFの設定サービスがセットになった製品、SaaS形式でコンテンツ更新時などにオンデマンド診断を実行できる製品もあります。また、アナリストによる手動の診断に加えて報告会、指摘事項改修の再診断を提供するという、アフターサービスをパッケージングしたサービスも選択可能です。
人気のセキュリティ診断サービスを見てみよう
現在ITトレンドで人気のセキュリティ診断サービスを紹介します。実際にどんな診断項目があって、どんなことができるのかを確認してみましょう。
セキュリティ診断サービスの価格設定
セキュリティ診断サービスの価格ですが、サービスの提供会社によって料金体系は異なります。診断対象のIP数や診断規模などに応じて価格設定される場合もありますので、自社でネットワークの規模や診断頻度を把握したうえで、最適なサービスを導入できるよう資料請求や見積もりをとって比較検討しましょう。
価格を抑えたセキュリティ診断サービスも検討に加えたいという方は、以下の記事もご覧ください。
