セキュリティ診断とは
セキュリティ診断とは、サイバー攻撃の対象となりやすい欠陥を調べるための作業およびサービスのことを言います。ネットワーク機器のOS・ミドルウェア・アプリケーションなどを調査し内在する脆弱性を見つけ、攻撃を受ける前に早期対応ができるようにします。そのため、脆弱性診断とも呼ばれます。
セキュリティ上の欠陥であるセキュリティホールが残ったままだと攻撃者によりシステムのダウンや、データを改ざんされること、情報漏洩などの被害が生じる恐れがあります。特に顧客情報が流出してしまうことは多くの関係者に損害を与えることになってしまい、企業の社会的信頼も大きく低下させてしまいます。そのためこのようなリスクを最小化するため、問題が顕在化する前段階からセキュリティ診断を行い、脆弱性の早期検出、そしてそれに対する対処をしておくことが大切です。
セキュリティ診断の種類
セキュリティ診断の種類を大別すると「プラットフォーム診断」と「アプリケーション診断」に分類することができます。
プラットフォーム診断
プラットフォーム診断は内部ネットワークや外部ネットワークを利用した診断方法を言います。内部ネットワークとは例えば社内で利用されるネットワークなどを指し、企業内PCやデータベース等が診断対象となります。オンサイト診断とも呼ばれます。
これに対し外部ネットワークはインターネット経由で診断するためリモート診断とも呼ばれ、Webサーバーの脆弱性やメールDNS、Webサイト等が診断対象となります。
診断では、不正ログインができないかどうか、権限が奪える状態となっていないかどうか、Dos攻撃などを行い進めていきます。
アプリケーション診断
アプリケーション診断ではショッピングサイトや会員制サイトといったWebアプリケーション、スマホアプリなどのセキュリティ状態を診断します。なりすましや総当たり攻撃、クロスサイトスクリプティングといったよく知られているものから、パラメータ改ざん、パストラバーサル、OSコマンドインジェクションなど、診断対象となるアプリケーションに合った攻撃を試み診断を進めていきます。
実際に攻撃されることが多いのはWebアプリケーションで、毎日のようにサイバー攻撃は行われています。標的にされやすいうえ、アプリケーションの構造も複雑化することで運営側が簡単にその脆弱性を見つけられなくなっているため、専門性を持った攻撃者によって被害を受けやすいのです。
セキュリティ診断の方法
診断の方法は、専用ツールによる自動診断と、専門家による手動診断とに分けることができます。
ツール診断
ツール診断では、診断用のツールを用いて脆弱性を調査します。あらかじめ設定された項目を自動で検査することができ、大量のパターンを素早く調べることができますが、検査できるのは基本的な項目であり、企業独自の性質に合わせた診断ができないこともあります。Webサイトが複雑であると誤診断を招くこともあり得ます。ツールを利用すれば専門家を配置することなく簡易に診断ができる一方で、レポート内容を理解できない場合には結局専門家の助けが必要になる可能性もあります。ある程度知識を持った従業員がおり、基本的な項目のみを検査し最低限のセキュリティレベルを保つ、という段階では有用な診断方法であると言えるでしょう。より高度な診断を求める場合には次の手動診断が求められます。
手動診断
手動診断では、サイバー攻撃について専門知識を有する者が手動で検査を進めていきます。ツール診断のように大量の検査項目を自動で行うわけではないため時間はかかり、コストも高くなってしまいます。しかしツール診断では発見できない脆弱性を発見できる可能性を高められるなど、柔軟性や正確さが手動診断のメリットと言えます。また分からないことや困ったことがあっても質問ができ、どのように対処をすればいいのか、アドバイスをもらうことができる点も優れています。
手動診断とツール診断について、どちらか一方のみに絞る必要はありません。上手く組み合わせていくことでより高い効果が得られ、コストパフォーマンスを上げることもできるでしょう。
セキュリティ診断のメリット
ネットワークやアプリの改善点を見つけられる
セキュリティ診断をすることで脆弱性が発見されるかもしれません。診断を行うまでは、セキュリティに配慮して安全なものを構築したいと考えていても、何が問題なのか理解できなければ改善のしようがありません。サイバーセキュリティに精通する専門家が企業内にいるとも限りませんので、セキュリティ診断を行うことで素早くこの脆弱性を見つけ、改善に向けて動き出すことができるようになります。
セキュリティ状態に不安があるものの、何から手を付けたらいいのか分からない、といった企業はセキュリティ診断を検討してみるといいでしょう。
コストの削減
自社で闇雲にセキュリティ対策を施していたのでは余計な作業が生まれ、コストパフォーマンスは下がってしまいます。簡単なものならツール診断が利用できますし、高度な診断については専門家による手動診断で対策すべきです。後者については比較的コストは高くなってしまいますが、同様の効果を専門家抜きで得ようとするとさらにコストがかかってしまうことが予想されます。無駄な作業を省き、早期に判断しツールや専門家を利用することでセキュリティコストを削減することに繋げられます。
社会的信頼の確保
サイバー攻撃を受け、顧客情報を流出させてしまうと、例え内部の者による漏洩でなかったとしても社会的な信用は低下してしまいます。重要な情報を扱う企業にはそれだけ高いセキュリティレベルが求められていることを自覚しなければなりません。
逆に、定期的なセキュリティ診断を受けているということを示せばそれだけで信頼関係を保ちやすくなります。
セキュリティ診断サービスを比較するポイント
技術力の高さ
手動診断においては特に、診断水準の高さに着目する必要があります。対応してくれる担当者個人の力量も重要で、これまでの診断実績数や経験年数、保有資格、職歴等をチェックし、安心して任せられる人に依頼するようにしましょう。ツール診断では自動で検査を行うためその時点では個人の力量は関係なくなるものの、サービスを提供しているベンダーの技術力が関係してきます。そのためベンダーがどのような水準にあるのか下調べしてから利用するようにしましょう。
また最終的には診断の結果を勘案し、その後の改善に活かす必要があるため、分かりやすいレポートを作成してくれるかどうかも大切になってきます。診断後、どのような形でレポートが作成されるのか事前に聞いておくといいでしょう。
サポート体制
手動診断はもちろん、ツール診断においても診断結果が十分に有効活用できるよう、サポート体制が整っていることが大切です。アフターケアが充実していると安心して診断することができます。脆弱性が見つかったときには具体的な対策案を提示してくれること、再診断の提供を受けられるかどうかなど確認します。
ベンダーと長期的な関係を築けそうか
セキュリティ診断は一度受けて終わりではありません。常に新しい攻撃手法が開発され続けており、古いセキュリティ対策が無意味になることもあります。常に対策を更新し続けなければならないため、診断サービスの検討段階において、ベンダーと良好な関係を長期的に築くことができそうかどうかにも着目する必要があるでしょう。
おすすめセキュリティ診断サービスを比較
Site Patrol Cloud
特徴
「Site Patrol Cloud」は、監視対象となるWebサーバーに定期的にアクセスし、ファイルが変更されていないかどうか監視するセキュリティ診断サービスです。ファイル内容の変化が変更なのか改ざんされたものなのかを分析し、改ざんと検知された場合には、管理者に通知し、改ざんされたファイルの修復と証拠保全を行い、メンテナンスページへ切替えることを自動で行います。
料金
改ざん検知自動修復プラン:月額48,000円
全ファイル改ざん検知プラン:月額34,800円
全ファイル更新検知プラン:月額29,800円
WordPress強靭化サービス:月額7,000円(1サイトにつき)
Webサイト
SCT SECURE
特徴
「SCT SECURE」は、サイバー攻撃の標的となる脆弱性の検査を、最新のセキュリティ情報に基づき定期的に診断するクラウド型のサービスです。脆弱性が無いと診断されたサイトには安全証明マークが配信されます。この安全証明マークには最終診断日付が表示され、最新の診断を受けていることをアピールできるようになります。このように、SCT SECUREはサイト診断と安全証明を同時に実現するサービスという特徴を持ちます。
料金
要お問い合わせ
Webサイト
https://www.sct.co.jp/business/product/000668.shtml
アルファネット
特徴
「アルファネット」は、全ての診断を手作業で行っており、診断対象のWebサイトに対し擬似攻撃を仕掛けて検証するサービスです。そうすることで細部に渡る診断を行うことができます。また診断後は全ての検出項目について危険度別に仕分けし一般的な対処方法について解説付きで報告を受けることができます。アルファネットの診断報告書は全て専門技術者が精査した上、分かりやすくまとめられた状態で提出されます。
料金
要お問い合わせ
Webサイト
https://www.anet.co.jp/security/cyber_security/shindan.html
Security Blanket
特徴
「Security Blanket」では、Webサイトにアクセスしセキュリティ上の問題点を診断、レポートしてくれます。Webサイト以外にも、サーバーのOS・ミドルウェアに対しても診断をしてくれるため、脆弱性を早期発見しセキュリティに対する不安を解消することができます。ツールによる自動診断と手動診断から選ぶことができ、その対象もWebアプリケーション、ネットワーク(OS・ミドルウェア)の2タイプから組み合わせるようにして利用することができます。
料金
Webアプリケーションタイプ:100,000円~
ネットワークタイプ:70,000円~