最適な脆弱性診断とは?
みなさま、こんにちは。
以前、このコラムでセキュリティ対策の考え方の基本について考察した事があります。
詳細は、以下にて記載しておりますが、今回は最適な脆弱性診断とはどういったものなのか?というテーマでお話したいと思います。
参考:キュリティ対策の考え方の基本
脆弱性診断って何?
まずは、基本的なところですが、「脆弱性診断って何?」という方もいらっしゃるかもしれません。
改めて、最初にご説明しておきます。
「脆弱性」とは、WebアプリケーションやOS/ミドルウェア、ネットワーク等のシステムプラットフォームに潜在するセキュリティ上の弱点や欠陥のことです。
これらの脆弱性を悪用すると、外部の第三者がシステムに侵入できたり、本来は閲覧できないはずの重要な情報を見る事ができてしまったりという事が起こり得ます。
「脆弱性診断」とは、このような被害を未然に防ぐ為にシステムに潜在する脆弱性の有無を診断し、リスクの可視化、必要な対策の洗い出しを目的に実施します。
専用のエンジニアによる高度な診断を提供する手動診断や、ユーザ側にて手軽に実施可能なツール診断など様々なタイプの脆弱性診断が存在します。
詳しくは、以前のコラムでも紹介していますので参考にして頂けますと幸いです。
参考:脆弱性診断とは何か?そもそも脆弱性って?
参考:セキュリティ診断の種類と違い
最適な脆弱性診断とは?
基本的な内容は、上記の通りなのですが、実際に「脆弱性診断」を実施しようと思った時、
・何をどうすれば良いの?
・実施の方法は?
・費用は?
など、色々と疑問が沸いてくるのではないでしょうか?
私たちM&Kが考える最適な診断とは、守るべき情報資産や企業価値などを考慮し、万が一セキュリティ事故が発生した際の損害等を見据えた内容で実施すべきであるとご提案しています。
現状のアセスメントをしっかりと実施し、想定される被害や想定損害額などを把握し、それらを未然に防ぐために必要な診断を、適正な費用で実施する事が重要です。
参考:セキュリティインシデント発生時の損害は?
エンジニアによる手動診断、ペネトレーションテスト
高度な専門性を持ったエンジニアが、対象システムの診断を手動で実施し、実際の脆弱性を悪用した攻撃が可能かどうか確認します。
対象システムの規模にもよりますが、熟練のエンジニアが担当する為、費用も高額になる事が多いですが、ECサイトのようなクレジットカード情報を扱うシステムや、大量の個人情報を保有しているようなシステムの場合は、必ず実施する事を推奨しています。
新規に開発したシステム等に関しても、初回公開前には手動での診断を実施する事が望ましいと考えます。
もし個人情報が流出したら?といった最悪のケースを想定した場合、顧客や株主等からの信頼失墜、世間のブランドイメージの低下など、影響は図りしれません。 年々企業を狙った攻撃も巧妙さを増しており、これらの診断を実施していたからと言って100%安全であるとは言い切れませんが、被害にあった際に「何の対策もしていなかった」という事態は、絶対に避けるべきです。
ツールによる自動診断
セキュリティ対策の重要性は理解しているが、可能であれば手軽に、費用も安価に実施したいとうご要望も良く聞きます。
対象システムによって向き不向きはありますが、そのような場合は、ツールによる自動診断がおすすめです。
システムの規模やサイトの画面数等に依存せず、定額での診断が可能です。
且つ、手動診断と比較すると短納期で診断結果を得る事が出来ます。
急に診断が必要になった際にまずは実施してみるという場面や、過去に手動診断を実施したシステムへの定期診断等でのご利用にも最適です。
ただし、手動診断と比較した場合、ツールではカバーしきれない項目もあり、複雑な構成のシステム等においては、細部までの診断が出来ない事もあります。 ログイン機能を有するシステムにおける認証機能の有効性確認や、ECサイト等におけるセッション管理機能などの診断はツールでは出来ません。
エンジニア手動診断 | ツール自動診断 | |
推奨される診断対象 | ・ECサイト ・大量の個人情報を扱うシステム ・医療/金融関連システム ・新規公開前のシステム ・ログイン機能の有効性確認 ・セッション管理機能の有効性確認 | ・企業のコーポレートサイトなど、攻撃による影響が小規模と想定されるサイト ・静的なコンテンツのみのサイト ・定期的な継続診断利用 |
メリット | ・細部まで精度の高い診断が可能 ・実施の攻撃手法に沿った診断により、セキュリティ対策の有効性が確認可能 | ・安価で網羅的な診断が可能 ・オンデマンドでいつでも実施可能 ・診断期間が短い(数時間から1日程度) ・診断結果が即時出力可能 |
デメリット | ・エンジニアが稼働する為、費用が高額になるケースが多い ・診断期間が長い(数日から数週間) | ・診断項目に制限があり、細部まで診断できない事がある |
M&Kの脆弱性診断
上記の通り、それぞれ推奨される対象の違いや、メリット、デメリットが存在します。
守るべきものを正しく評価し、最適な診断を実施する事が大切です。
M&Kでは、経験豊富なコンサルタント、エンジニアが企業のセキュリティ対策に関するご支援を行っております。
診断対象のアセスメントから最適な診断を適正な費用でご案内しております。
適材適所に、エンジニアによる手動診断とツールによる自動診断を組み合わせた費用対効果の高いハイブリッド診断もご評価を頂いております。
M&Kのセキュリティ診断
セキュリティ対策は、現状を正確に把握し、その評価結果に基づいた強化・対策を継続して実施して、理想とする姿に近づけていく事が重要です。
何かお悩みの点がございましたら、お気軽にご相談ください。