Webサイトやネットワークの脆弱性を「人の手」で徹底チェック 危険を事前に回避できるセキュリティ診断サービス | ScanNetSecurity
2020.10.28(水)

Webサイトやネットワークの脆弱性を「人の手」で徹底チェック 危険を事前に回避できるセキュリティ診断サービス

もはや企業の標準的なインフラとなったインターネットを含むネットワークには、さまざまな脆弱性が存在し、それを悪用されると致命的なダメージを受ける危険性がある。そこで活用したいのが「セキュリティ診断サービス」。株式会社ラックのセキュリティ診断サービスは、

特集 特集
もはや企業の標準的なインフラとなったインターネットを含むネットワークには、さまざまな脆弱性が存在し、それを悪用されると致命的なダメージを受ける危険性がある。そこで活用したいのが「セキュリティ診断サービス」。株式会社ラックのセキュリティ診断サービスは、きめ細かな診断と、最新情報、豊富な経験と知識で、セキュリティリスクを徹底的に洗い出す。ここでは事例を交えてサービスの内容をご紹介しよう。

●潜在的なセキュリティリスクの放置は厳禁

ネットワークをベースとした企業システムが一般的になり、Webサイトが販売や営業の窓口として大きな割合を占めるようになっている。しかし、インターネットを含むネットワークにはさまざまな潜在的なセキュリティリスクが存在し、それを悪用されると個人情報の漏洩やサイトの改ざん、サーバの停止、乗っ取りなどの攻撃を受ける可能性があり、攻撃によってなりすましによるクレジットカードの悪用など実害につながる可能性も高く、簿外債務の発生や利用者の激減など、致命的な事態に発展しかねない。

インターネットで提供されるサービスの多様化によって、使用される技術も複雑化している。攻撃する側も次々に新たな手法を編み出し、以前主流であった愉快犯な攻撃から、ビジネスを目的とした攻撃に変化し、それに伴い質も向上している。これは、たとえば企業のサーバに侵入して盗み出した個人情報が高値で売れるといった、ネット犯罪のビジネス化が影響しているようだ。

●最新の攻撃手法を反映するラックのセキュリティ診断サービス

そこで活用したいのが、あらかじめ企業のネットワークなどに疑似攻撃を実施し、安全性を確認する「セキュリティ診断サービス」だ。疑似攻撃を実際に行うことによって、潜在的なセキュリティリスクを徹底的に洗い出すことが可能だ。ラックが提供するセキュリティ診断サービスには、サーバセキュリティ診断サービスとホームページ情報漏えい診断サービスの2種類が用意されている。

サーバセキュリティ診断サービスは、ネットワーク機器やサーバなどのインフラ機器に対して行うもので、外部からの攻撃を想定したものと、内部からの攻撃を想定したものがある。ホームページ情報漏えい診断サービスは、ネットビジネスを展開しているホームページに対して行うものとなっている。特にWebアプリケーションによってサービスを提供しているケースが多い現在、ホームページ情報漏えい診断サービスは有効な診断手段といえるだろう。しかも、409,500円/1日、819,000円/3日という日数と価格設定は魅力的だ。

診断サービスは各社から数多く提供されており、診断期間も短く低価格なものも存在する。しかし、ただ診断用ツールを実行するだけのものが多いことも事実。このようなサービスは、ツールの診断機能を一通り実行するだけなので、手間がかからず効率はいいものの、ツール自体に診断の「穴」が存在し完全でないことがあったり、誤検知や過検知の発生もあり、最悪の場合にはシステムを壊してしまうこともあり得る。

ラックが提供しているサーバセキュリティ診断サービスおよびホームページ情報漏えい診断サービスはツールを使用するだけでなく、さらにセキュリティ専門スタッフの手作業によって診断が行われることが最大の特徴だ。手作業のため、誤検知や過検知が発生せず、しかも実際に行われている攻撃手法を使用することで、適切で柔軟な診断を行えるのだ。さらに特筆すべきは、セキュリティ監視センタであるJSOCや、研究機関であるコンピュータセキュリティ研究所で発見された最新の攻撃手法や脆弱性を、診断手法に反映していること。これによって、より現実に発生しうる事象に即した最新の診断を行うことができ、将来影響が発生するリスクも洗い出すことが可能となる。

●事例に見るセキュリティ診断サービスの効果

ここ3年間のデータでは、Webアプリケーションを導入している企業の50%以上のWebサイトに重大な問題が存在するという結果が出ている。しかも、この割合は3年間ほとんど変わっていない。このデータは、セキュリティ意識の高い組織が利用するラックが診断を行った企業を対象としたものである。したがって、現実にはセキュリティ上で重大な問題のあるWebサイトは、さらに大きな割合を占めるだろう。また、大企業でもセキュリティ上の重大な問題が発見されることが多いという。

ショッピングモールのほか、キャンペーン専用サイトや一部の流通商品をWeb上で販売するサイトなど多数のWebサイトを運営するA社。A社ではインフラに対する診断は定期的に行っていたが、Webアプリケーション診断の結果、複数のページにわたって非常に緊急度の高い問題点が検出された。しかも、信用情報を含む顧客情報をすべて抜き出すことが可能な状態であり、Webサイトの利用者側からサーバを自由に操作できることも判明したのだ。A社のIT担当役員は、「数万の顧客のことを考えると背筋が凍る思いがした。診断を行ったことでセキュリティリスクを事前に把握でき、対策を取ることが出来た。」と語った。

また、ポータルサイト企画・運営のIT関連業者であるB社では、市販ツールを使った定期的な監査に加え、年に一度の第三者からの診断とシステムリリース時の最終的なチェックに、ラックの診断サービスを利用している。これにより、定期診断では見つからない問題点が見つけられることがあるという。B社では、ネットワーク上のリスクは、詰まるところ悪意のある"人間"が行うことと認識している。その点においてラックの診断サービスは文字通り"攻撃者の視点"から診断を実施することで、リスクを完全、的確に洗い出すことができるのだ。

【株式会社ラック SNS営業本部 http://www.lac.co.jp/ 】
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★10/15~11/30迄 創刊22周年記念価格提供中★★
★★10/15~11/30迄 創刊22周年記念価格提供中★★

2020年10月15日(木)~11月30日(月) の間 ScanNetSecurity 創刊22周年記念価格で提供。

×