潜在リスクを洗い出すセキュリティ診断(脆弱性診断)とは

更新日 : 2020年08月05日

9262-00027-1.jpg不正アクセスなど悪意ある行為は日々新しい手口が現れるため、一時は十分に思えるセキュリティ対策を施したとしても油断はできません。自社の情報システムに潜むリスクを測る方法のひとつに、「セキュリティ診断(脆弱性診断)」があります。

今回は、潜在的なリスクを洗い出すために重要なセキュリティ診断(脆弱性診断)とはどのようなものなのかをご紹介します。不正アクセスやハッキング対策としてセキュリティ診断の実施を検討されている方は、ぜひご覧ください。



セキュリティ診断(脆弱性診断)とは

セキュリティ診断とは、Webサイトや社内用の業務システム、ネットワーク、ハードウェア、OSなどを調査し、それぞれの脆弱性やリスクを診断するものです。

悪意ある第三者は、プログラムや機器などの脆弱性を突いて高度な手法で攻撃を行ってきます。そういった脆弱性をカバーする対策ができていない場合、企業側に個人情報の漏えいや、Webサイトの改ざんなどの被害が発生してしまう可能性があります。

セキュリティ診断を外部の組織が行うことで、自社では気づかなかった潜在的な情報システムの脆弱性や設定ミスの発見が可能となります。



セキュリティ診断がなぜ必要なのか

企業ではファイアウォールやUTM(統合脅威対策)などのセキュリティ対策が広く利用されていますが、ツールを導入したからといって必ずしも安全とはいえません。セキュリティ診断を実施したほぼ100%の企業で、何らかの潜在的なリスクが発見されています。

また、Webサイトへの攻撃でもSQLインジェクションやクロスサイトスクリプティングなどのように、既存のセキュリティ対策では検知できない未知の脅威も存在します。

SQLインジェクション攻撃については、2019年1月に、あるWebサイトから個人情報が流出した事例があります。

詳しくは、何者かがツールを悪用してSQLインジェクション攻撃を仕掛け、サーバー内に侵入しました。その結果、Webサイトの利用者がキャンペーン応募の際に入力した63,000件あまりのメールアドレスや氏名、住所といった個人情報が流出することとなったのです。サイトの運営企業では、顧客へのお詫びや関係官庁への報告などの対応を実施し、今後の再発防止策として情報セキュリティ管理体制およびインフラの強化を挙げていました。

ひとたび情報セキュリティ事故が起こると、企業イメージの低下は免れません。事故を回避するためには、定期的に情報セキュリティ対策を見直すこと、また見直しのためにセキュリティ診断を通して、現在の対策の有効性を知る必要があるのです。


セキュリティ診断でできること

セキュリティ診断では、基本的に以下のような方法で実施されています。

脆弱性のチェック

脆弱性のチェックは、主に以下の手段で実施されます。

  • ネットワークセキュリティを調査するために次世代ファイアウォールを設置して一定期間モニタリングする
  • ツールを用いて基本的な脆弱性を診断する
  • 高度なセキュリティ技術を持つ専門家がハッキングと同じ技術を用いて脆弱性を突く攻撃を行い、結果を分析する


このような手段を通じて、企業のWebサイトや社内システムの脆弱性が厳重にチェックされます。



レポートで脅威を可視化

脆弱性チェックの結果、情報漏えいの可能性のあるアプリケーション、マルウェアやその他攻撃にさらされた状況などがレポートとしてまとめられます。レポートを元に、潜在リスク軽減のために行うべき施策が提示されることもあります。



セキュリティ診断サービスの選び方

セキュリティ診断サービスは、さまざまな企業が展開しています。サービスを選ぶ際は、以下のようなポイントを押さえておきましょう。

診断対象を確認

ネットワークや企業の情報システムや、クラウドサービスなど、調べたい事柄によって診断サービスは異なります。まずは診断対象を決め、対応するサービスを知るところからスタートしましょう。

診断方法と価格

診断ツールを用いる診断の場合、比較的安価で網羅的に脅威を分析することができます。専門家による手動の診断は時間や費用は掛かりますが、より高い精度が期待できるので、専門家の経験年数や実績も加味して考慮したいところです。

サポート体制

セキュリティ診断の結果を受けて、対策を講じるのは自社の情報システム部門です。対策のためには部門の担当者がセキュリティ診断の結果を正確に理解する必要があります。分析レポートの解説や対策の詳細説明など、セキュリティ診断後のサポート体制も確認しておきましょう。



まとめ

今回は、自社の情報セキュリティに関する見えないリスクを顕在化させる、セキュリティ診断(脆弱性診断)についてご紹介しました。

第三者からの診断で情報セキュリティ対策の現状をチェックすれば、より効果的な施策にコストをかけることにもつながります。

自社のセキュリティ対策に不安がありながらも、セキュリティ診断自体が未実施であれば、1度診断を受けることを検討してみてはいかがでしょうか。



関連サービス

多発するWebサイトの脆弱性をついた攻撃から身を守る方法とは

本記事では、攻撃を受けると重大な被害につながる可能性のあるWebサイトの脆弱性をついた攻撃から自社Webサイトをを守る方法についてご紹介します。

詳しく »