【ネットアシストニュースレター | Vol.42  】

セキュリティ診断の種類と診断の選定基準

世界的なコロナウィルスの流行が始まった2020年を節目に、不正アクセス等のサイバー攻撃は年々増加の一途を辿っており、その技術や手法はますます多様化・巧妙化している状況です。
それに伴い、セキュリティサービスのお問合せが占める割合も年々増えてきました。特に、ここ数年は「脆弱性診断サービス」の需要が伸びています。
こちらのニュースレターでも「脆弱性診断についてのおはなし」として計2回、脆弱性診断の必要性をお伝えいたしました。
今回は、脆弱性診断と混同されやすいペネトレーションテストなどの、セキュリティ診断の種類とその比較、また脆弱性診断の手法や選定基準についてご案内いたします

そもそも脆弱性とは

セキュリティ診断の種類と違い

WEBアプリケーションやシステムプラットフォームに関するセキュリティ診断は、大別して３種類に分類できます。

③クラウドサービス利用等における「コンプライアンス診断」

クラウドサービスの急速な普及に伴い、設定ミスによるセキュリティインシデントの発生も増加の一途を辿っています。
ID／PWの設定不備や、クラウドストレージの閲覧権限設定不備等に起因する重要情報の漏洩等が代表的な被害です。このような事故を未然に防ぐ為に、各クラウドサービスにはそれぞれベストプラクティスとされているガイドラインが存在します。コンプライアンス診断は、それらの著名なガイドラインとの照合を実施し、その適合状況を可視化するものです。

高いセキュリティレベルを保ったシステム運用を実現するためには、これら3種類の診断を組み合わせて適切な診断を定期的に実施することが重要です。

適切な診断手法とは

診断サービスを検討する際は、守るべき情報資産や企業価値などを考慮し、万が一セキュリティ事故が発生した際の損害等を見据えた内容で実施する事が推奨されます。
現状のアセスメントをしっかりと実施し、想定される被害や想定損害額などを把握し、それらを未然に防ぐために必要な診断を、適正な費用で実施する事が重要です。

①エンジニアによる手動診断、ペネトレーションテスト

高度な専門性を持ったエンジニアが、対象システムの診断を手動で実施し、実際の脆弱性を悪用した攻撃が可能かどうか確認します。
対象システムの規模にもよりますが、熟練のエンジニアが担当する為、費用も高額になる事が多いですが、ECサイトのようなクレジットカード情報を扱うシステムや、大量の個人情報を保有しているようなシステムの場合は、必ず実施する事が推奨されます。新規に開発したシステム等に関しても、初回公開前には手動での診断を実施する事が望ましいと考えます。

②ツールによる自動診断

対象システムによって向き不向きはありますが、安価に費用対効果の高い診断を実施したいような際はツールによる自動診断もおすすめです。
システムの規模やサイトの画面数等に依存せず、定額での診断が可能です。且つ、手動診断と比較すると短納期で診断結果を得る事が出来ます。
急に診断が必要になった際にまずは実施してみるという場面や、過去に手動診断を実施したシステムへの定期診断等でのご利用にも最適です。
ただし、手動診断と比較した場合、ツールではカバーしきれない項目もあり、複雑な構成のシステム等においては、細部までの診断が出来ない事もあります。

◎各手法のメリットデメリット

◎診断レベルとコストによる最適な診断の選び方

ネットアシストの脆弱性診断サービス

弊社では総合セキュリティ事業者である株式会社M&K社と提携し、SecurityBlanketという脆弱性診断サービスをご提供しております。
診断対象はWebアプリケーション、ネットワーク（OS/ミドルウェア）ともに可能であり、診断手法も手動・自動・ハイブリッドの3つから、ご予算や診断対象によってご選択頂けます。また、ペネトレーションテストの実施も可能です。

◎診断プラン料金

【12月11日（水）】
セキュリティセミナーを開催いたします！

この度、Webサイト制作会社様や自社サイトの管理や運営をされている企業のご担当者様を対象に、セキュリティのスペシャリストであるサイバーセキュリティクラウド社と合同でセミナーを開催いたします。ご参加お待ちしております！

リスクと手間を最小限に！
脆弱性対策の効率化とサーバーセキュリティの強化