セキュリティ診断サービスの基本的な診断項目

セキュリティ診断の基本的な診断項目

ネットワークの脆弱性診断

セキュリティ診断サービスの「ネットワーク脆弱性診断」は、インターネット越しにアクセスできるシステムや機器に対して脆弱性診断を実行するものです。具体的には「各種サービスの脆弱性」や「各種OSの脆弱性」「危険性の高いソフトウェア」「ネットワーク機器の脆弱性」が診断されます。

ネットワーク機器については「ポートスキャン検査」が実施され、「不適切なポート開放」や「不適切なアクセス制御状況」がないかチェックされます。

実際に攻撃を受けた際の攻撃耐性が知りたいときに役立つのが「ペネトレーション診断」機能です。こちらは実際に侵入を試みる「ペネトレーションテスト」を実施するので、診断のみでは不明な、重要なサーバやクライアントの総合的な実力が判定されます。

このほかの診断項目には「メール不正中継可否検査」や「DoS耐性診断」などがあります。DoS耐性診断によって「侵入されないか」に加えて、「簡単な攻撃でダウンしないか」もチェックされます。サービスによっては、20,000件以上の診断項目を用意しています。

Webアプリケーションの脆弱性診断

「Webアプリケーション診断」では、業務でも用いられるようになったWebアプリケーションを診断します。Webアプリケーションの脆弱性や問題の多くは、動的画面において検出されます。動的画面はログイン機能を持つ画面や情報を登録、参照、変更する機能を持つ画面で、診断もこの動的画面のあるページが対象となります。

チェックされるのはCookieやセッションIDの改竄、クロスサイトスクリプティング、ディレクトリラバーサル、コマンドインジェクションなどの攻撃に対する耐性です。

具体的には、ネットショップサイトの注文入力画面、企業説明会のエントリー画面、資料請求フォームなど利用者が入力したデータを元に生成される画面、画面遷移の判定を含むページ、入力データがデータベースに反映される仕組みを持つページで、改善点を探すのに役立ちます。

プラットフォーム診断

セキュリティ診断を必要としているのは、ネットワーク外部からアクセスできる部分だけではありません。セキュリティ診断サービスでは、内部の人間による情報漏洩を想定した「プラットフォーム診断」機能も提供されています。個々のアカウントで推測されやすいパスワードが使われていないか、サポート対象外のソフトウェアバージョンがないか、といった点をチェックする機能もあります。

各セキュリティ診断サービスが設定する独自診断

セキュリティ診断サービスによっては、Active Directoryサーバについて、ネットワーク経由とサーバ設定の両面から問題点を検出する「Active Directory診断」機能を提供しています。この診断はActive Directoryサーバに侵入後、内部から実行されるタイプの攻撃にも対応しています。

Webサイトの脆弱性を毎日診断するサービスと提供するWAFの設定サービスがセットになった製品、SaaS形式でコンテンツ更新時などにオンデマンド診断を実行できる製品もあります。また、アナリストによる手動の診断に加えて報告会、指摘事項改修の再診断を提供するという、アフターサービスをパッケージングしたサービスも選択可能です。

セキュリティ診断サービスの価格設定

セキュリティ診断サービスでは、診断対象のIP数、といったシンプルかつスケーラブルな価格設定を採用しているものもあります。自社で診断を必要としているネットワークの規模、診断頻度を把握し、最適な製品を導入しできるよう資料で比較検討してみましょう。