セキュリティ診断の種類と違い
WEBアプリケーションやシステムプラットフォームに関するセキュリティ診断は、専門のエンジニアが実施する手動のタイプや、ユーザ側にて手軽に実施できるツールタイプのものなど様々なものがありますが、大別して3種類に分類できます。
①システムに潜在するリスクを可視化する「脆弱性診断」
WEBアプリケーションのソースコードや、システムプラットフォームに使われているOS/ミドルウェア、ネットワークに潜在する「脆弱性を可視化」するものです。
可視化された脆弱性は適切な対策を施す事により、セキュリティインシデントのリスクを大幅に減らす事が可能です。
②セキュリティ対策の有効性を検証する「ペネトレーションテスト(侵入テスト)」
脆弱性診断があくまでもリスクの可視化であるのに対し、ペネトレーションテストは、専門のエンジニアが実際の攻撃に用いられる手法を使い、対象システムへの侵入を試みる疑似攻撃を実施します。
現時点でのセキュリティ対策の有効性や、脆弱性診断で可視化されたリスクへの対処状況などを把握する事が可能となり、システムの堅牢性が明確になります。
③クラウドサービス利用における管理項目の「セキュリティ設定診断」
クラウドサービスの急速な普及に伴い、設定ミスによるセキュリティインシデントの発生も増加の一途を辿っています。ID/PWの設定不備や、クラウドストレージの閲覧権限設定不備等に起因する重要情報の漏洩等が代表的な被害です。 このような事故を未然に防ぐ為に、各クラウドサービスにはそれぞれベストプラクティスとされているガイドラインが存在します。セキュリティ設定診断は、現在のクラウド利用における設定をガイドラインと照合し、その適合状況を可視化するものです。
| 脆弱性診断 | ペネトレーションテスト | クラウドセキュリティ設定診断 | |
|---|---|---|---|
| 目的 | 潜在する脆弱性やリスクの可視化 | システムへの侵入可否の確認 | クラウド利用時のセキュリティ設定状況の可視化 |
| 診断方法 | 手動診断とツール診断の組み合わせが主流 | 主にエンジニアによる手動診断が主流 | 主にツール診断が主流 |
| 効果 | 診断結果に基づいた適切な対応が可能 | セキュリティ対策の有効確認、明確化 | クラウド利用におけるガイドラインとの適合状況把握 |
