診断前に確認！失敗しないセキュリティ診断

業者選びは慎重に

セキュリティ診断を行う業者はたくさん存在します。しかし、業者によって、得意・不得意とする領域が違います。効果的なセキュリティ診断を行うためにも、まず何のセキュリティを対策したいのかを自社で決めましょう。

もし、プラットフォームのセキュリティ対策をしたいのに、webアプリケーションが得意なセキュリティ診断の業者に頼んでしまうと、脆弱性を見逃すことがあります。せっかくセキュリティ診断に払った費用が無駄になってしまうかもしれません。

また、セキュリティ診断を受けても、安全性が上がらないかもしれません。セキュリティ診断を行う目的は、脆弱性を発見することではなく、セキュリティの安全性を高めることです。そうなると、診断を受けた後が一番重要なのです。

セキュリティ診断を受けた後、業者から報告レポートを送ってもらったり、報告会を開いてもらったりします。診断結果の細かい内容を聞くためには、この報告会・報告レポートの内容が重要です。業者がどのような報告をしてくれるのかを確認しましょう。また、再診断を実施してくれる業者もあるので、事前に再診断についても検討しておくと良いです。

診断内容は正しいものですか

セキュリティ診断は、診断手法で大きく分けると2つにわかれます。診断をツールで行うか、手動で行うかの2つです。ツールで行う場合と、手動で行う場合では、費用・効果が全く違うものになります。それぞれのメリット・デメリットをご説明します。

ツールを用いて診断する

メリット：安価、網羅的な診断ができる、誰がやっても同じ結果がでる
デメリット：専門的な診断ができない、ツールは複雑な行動ができないのでWebアプリケーションが複雑だとうまく診断できないことがある。

専門家が手動で診断する

メリット：精度が高い、ツールでは検出困難な脆弱性も発見できる
デメリット：高価、網羅的におこなうことが難しい

安価なので、ツールを用いて診断する企業は多いです。しかし、ツールは脆弱性を見逃してしまう非検出や、誤った脆弱性を導き出してしまう誤検出を起こすかもしれません。非検出や誤検出があった場合、セキュリティ診断を行ったことが無駄になってしまいます。

無駄になるだけであれば良いのですが、誤検出の場合は、必要のない対策をしなければならなくなります。費用・コストがさらにかかってしまい、結果として、手動でセキュリティ診断をしたほうがよかったということもあるでしょう。

金融機関やECサイトなどのように自社のシステムが複雑であるならば、専門家の手動の診断を検討すると良いです。ただ、網羅的にセキュリティ診断をするのであれば、ツールを用いて診断することも検討してみてください。

セキュリティ診断は1度だけでは足りない

セキュリティ診断を1度受けただけで満足してしまう企業は多く存在します。しかし、セキュリティ診断は定期的に受けなければならないものです。サイバー攻撃は、進化します。そのために、今のセキュリティ対策で1年後も安全とは限りません。

自社のシステムを守るためにも、セキュリティ診断は定期的に受けるようにしましょう。1度で満足してしまい、しばらくしてからサイバー攻撃にあってしまうと、せっかくセキュリティ対策してきたことが無駄になってしまいますよ。

まとめ

マイナンバー制の導入（2015年10月施行）により、企業が持つ個人情報の重要性がさらに増しています。これらの個人情報が流出してしまうと、企業の損害は計り知れないものになるでしょう。

確かにセキュリティ対策には費用がかかりますし、その上セキュリティ診断もするとなると、費用がかさんでしまうでしょう。しかし、企業の信用確保のためにもセキュリティ診断を検討してみましょう。