情脆弱性診断サービス

脆弱性が引き起こす被害

    「脆弱性」が原因で大きなセキュリティ事故が起こる事例が後を絶ちません。
    脆弱性は、ソフトウエアが抱えるセキュリティ上の弱点のことで、悪意のある人がこれを悪用して問題を引き起こすデータを外部から送り込むとセキュリティインシデントが発生してしまいます。ランサムウェアに感染して身代金を請求されたり、個人情報が漏えいしたり、Webサイトが改ざんされたなどの被害の原因の多くは脆弱性を突いた攻撃によるものです。

なぜ、脆弱性がなくならないのか?

    脆弱性の原因は、外部からデータを受入れた際、入力データのチェックが不十分で、不正なデータをそのまま受け入れているからです。そうであれば、データを完璧にチェックすれば脆弱性は起こらないように思えますが、実はそうではありません。

    攻撃者はソフトに対する攻撃アプローチを常に研究しており、新たな攻撃手法を生み出すと、その攻撃を可能にしているソフトの状態が脆弱性と呼ばれるようになります。あらかじめソフトに存在する脆弱性を攻撃者が「発見」することもありますが、むしろ攻撃者が脆弱性を突く手法を研究し、「攻撃手法を発明」していると考える方が実態に近いのです。

    従って、ソフト開発者が、あらゆる攻撃手法を事前に想定して入力データをチェックすることは事実上不可能と言えます。

脆弱性診断を第三者が行うワケ

ソフト開発者は、脆弱性対策として入力データのチェックやWebサーバの設定など、様々な処置を行いますが、開発者が構築した環境を自ら診断を行った場合、その結果は信頼できるものと言えるでしょうか。ソフト開発者はシステム構築のプロですが、セキュリティのプロではないケースが多く、しかも自らが診断をしたのでは、信頼性が乏しいのは言うまでもありません。

そこで、セキュリティのプロである独立した第三者が脆弱性診断を実施し、客観的な評価を行い、問題を指摘することで効果的な改善につなげることができます。また、診断結果は外部監査の報告としても有効です。

脆弱性診断サービスの構成

img_sec06.png

脆弱性診断の手法

脆弱性診断の手法を大きく分類すると手動診断とツール診断の2種類があり、お客様が求める精度、時間、コスト等を踏まえて併用することになります。

【ツール診断】
手動診断に比べると、診断の速度が速く、多くのテストを短い期間で行える点がメリットで、人的負担も少なく、コストも削減できます。但し、あらかじめ決められた条件での判断となるため、手動に比べると柔軟性は低く、細かな点までチェックが及ばない点がデメリットです。

【手動診断】
その名の通り人が手動で行う診断で、実際に人の目で確認しながら行うため、細かく柔軟な対応が可能な点がメリットです。一方デメリットは、テストに要する時間がツールに比べてかかること、人員の確保が必要なためコストも高くなることです。

脆弱性診断サービスのフロー

img_vul05.png

脆弱性診断の効果・実施メリット

  • お客様の業務を妨げることなく、安心してWebサイトやWebアプリケーションを利用して頂くことができ、事業継続を維持することができます。
  • 開発設計時などの上流工程にセキュリティ要件を組み込んでおいたり、テスト工程で脆弱性診断を実施したりすることで、システムリリース後に脆弱性が出にくい傾向になります。その結果、システムに対して手戻りが減り、情報セキュリティ対策コストが減るということにも繋がります。
  • セキュリティインシデントを引き起こしてしまうと、被害者だけではなくDoS攻撃の踏み台になるなど加害者になってしまうこともあります。これにより、顧客のみならず、株主、関係会社、取引先等のステークホルダーへも多大な影響を及ぼし、信用と信頼を損ね、経営への大きなダメージを与える事態を回避するリスク対策に役立ちます。

支 援 実 績

  • 地方公共団体におけるWebサイト、Webアプリケーション診断
  • サーバホスティングサービス会社へのプラットフォーム診断