よくあるご質問

脆弱性診断はあくまでもリスクの可視化です。
可視化したリスクを解決するためには、診断結果に基づいた適切な対策と継続的な強化が必要です。

脆弱性診断は、脆弱性が潜在している可能性を可視化するものです。
ペネトレーションテストは、それらの脆弱性を悪用して実際にシステムへの侵入が可能かどうかテストを行うものです。

診断できる項目が異なります。
ログインの作りやタイミングなどを検査する上で技術者による判断が必要な診断カテゴリがありますので、ツール診断だけでは不足する項目があります。

平日10:00-18:00に診断作業を実施します。

診断作業は1日5ページ程度の進捗で進めていきます。
例）対象30ページの場合は 6営業日 になります。

診断完了後３営業日以内に報告書を提出します。

お客様とスケジュール調整の上1時間程度の報告会を実施します。

再診断は診断完了後3ヶ月以内にスケジュール調整のうえ実施いたします。
2営業日以内に報告書を提出します。

クラウドは、IaaS、PaaS、SaaS等にて責任範囲が変わります。
オンプレの場合は、原則すべてがお客様資産になりますので、システムのレイヤーすべてにおいてお客様での対策実施が必要です。
クラウドは、IaaS、PaaS、SaaS等にて責任範囲が変わります。特に自由度が高い分、お客様側で対策すべき範囲が広い IaaS領域は注
意が必要です。
また、クラウドの場合は、すべてネットワーク経由での利用が前提になるので、常にリスクに晒されているという意識が必要です

守るべき情報資産の価値がどれくらいかを正しく評価する必要があります。
まずは、
・守るべき情報資産の価値がどれくらいか？
・万が一のセキュリティインシデントの際の想定被害額はどれくらいか？
それらをアセスメントで正しく評価する事が重要です。
セキュリティ対策が想定損害額を上回るような投資はある意味過剰とも言えます。

①リスクの可視化：リスクアセスメント／脆弱性診断／ペネトレーションテスト／クラウド設定診断などを実施
②評価／可視化されたリスクに対し、対策すべきもの、許容するものなど、企業の情報セキュリティポリシーに沿って評価
③対策内容策定／優先順位策定／脆弱性診断等の実施結果に基づき、脅威のレベルに対策、実施計画を策定
④強化／対策実施： ③で策定した内容・計画に基づきシステムの改修、ヴァージョンアップ、アプリの改修等を実施。
これらの工程を継続的に実施する事で安心・安全な環境が保たれます。

原則としては、日々継続的に行う事が理想ですが、PCI-DSS等のガイドラインでは、少なくとも四半期に一度は確認する事が推奨されています。
また、OSやミドルウェア等に多く利用されているOSS（オープンソースソフトウェア）に関しては、日々新たな脆弱性が公開されます。
定期的に高頻度でリスクの把握、管理が出来る仕組みの導入が推奨されます。

ビジネス上の利害関係者への見せ方など、認証を取得しておいた方がメリットがある事も事実ですので、取得するかしないかは経営判断に依存するところもあります。
認証を取得しない場合においても、セキュリティ運用を継続的に実施する為のガイドライン、フレームワークとして、ISMSMやPマーク等の基準を利用にする事は非常に有効です

まずは、現状のアセスメントを実施し、理想とする姿とのギャップを正確に把握する事が重要です。
その後に、ギャップを埋める為に必要な対策、体制を検討していきます。
また、経営層がリーダーシップをとってプロジェクトを推進していく事も必要です。