脆弱性管理、診断|知る×学ぶ
失敗しない脆弱性診断サービスの選び方
脆弱性とは、コンピュータのOS、ソフトウェアまたはWEBアプリケーションにおいて、プログラムの不具合や設計上の問題、或いは設定のミスが起因する情報セキュリティ上の欠陥・弱点です。
脆弱性を利用して不正アクセスやコンピュータウィルスを仕掛けてくる攻撃者からビジネスを防衛するために、企業は外部の脆弱性診断サービスを利用して、WEBアプリケーションをはじめ、サーバ、ネットワーク機器を対象に脆弱性の有無を診断しています。
しかし、いざ脆弱性診断サービスを探そうとしても、何を基準にサービスを選定したら良いのか、何をどこまで診断したらよいのか見当がつかない方も多いはずです。
そこで本記事では、脆弱性診断サービスを選ぶ際のポイントについてお伝えします。
▼ 目次
・脆弱性診断サービスを選ぶ際のポイント
・迷ったときは実績と総合力から脆弱性診断サービスを選ぶ
1. 脆弱性診断サービスを選ぶ際のポイント
外部の脆弱性診断サービスを受けようと思っても、どのような基準で選んだらよいかわからないことがあると思います。
予算が限られているからといって、料金だけで脆弱性診断サービスを選んでしまい、市販のセキュリティツールでスキャンした結果(内容は英語、誤検知もある)をそのまま報告書として提出され、どう解釈・対策してよいかわからずに後悔するというようなケースについても聞きます。
診断対象数が多く、誤検知があっても良いので、比較的に見つけやすくて危険度の高い脆弱性を見つけたいという場合にはそれでも良いと思いますが、そうでない場合、脆弱性診断サービスを選ぶ際は以下のポイントに着目することをお勧めします。
1-1. 診断の手法(ツールのみか、専門家による手動診断の有無)
脆弱性診断の手法には以下の 3 種類があります。
- ツールのみの診断
- 専門家による手動診断
- ツール診断と手動診断の組み合わせ
それぞれの特長と長所・短所をあげると、
ツール診断は、診断パターンを用いた高速な診断で、機械的に判定可能な脆弱性の診断に適しています。
- 長所
- 高速に診断を実施できる
- 短所
- パターンを用いた診断のため、診断項目が限られる
手動診断は、WEBアプリケーションのロジックや設計に起因する脆弱性の診断に適しています。
- 長所
- 専門家がWEBサイトの通信内容を解析し、サイト特性に応じた診断を実施できる
- 全ての診断項目を診断できる
- 短所
- 診断の実施に時間を要する
伊藤忠テクノソリューションズ(以下、CTC)が提供する脆弱性診断サービスでは、ツール診断と専門家による手動診断の長所を組み合わせた診断を提供しています。
また、CTCの脆弱性診断知見を独自の分析ツールに組み込んだコストパフォーマンスに優れた診断サービスも提供しています。
1-2. 報告書の内容
脆弱性診断サービスの報告書の内容に、下記が記載されているか確認してください。
- 診断対象システムの脆弱性の概要、および詳細説明
- 具体的な改修方法
- 参考となる脅威情報
図 1. 脆弱性診断サービスの報告書イメージ
加えて、診断結果報告書をもとに報告会が実施されるかについても確認してください。
報告会では、診断を実施した技術員の同席のもと、診断結果の報告をはじめとして、暫定対策や是正方法の説明を受け、専門家とリスクや改修に関する意見交換を実施することをお勧めします。
また、危険度の高い脆弱性を検出した際に、速報を受け取れるかについても重要です。
CTCが提供する脆弱性診断サービスでは、初期分析の過程で危険度の高い脆弱性を検出した場合、診断終了日から3営業日を目途に報告いたします。
1-3. 改修後の対応有無、期間
設定変更やプログラムの修正などで脆弱性を改修した後は、直したつもりでも直っていないということがありますので、再び脆弱性診断を受けていただくことをお勧めします。
従いまして、脆弱性が解決されていることを確認する再診を受けられるかについても確認してください。
2. 迷ったときは実績と総合力から脆弱性診断サービスを選ぶ
脆弱性診断サービスの選定に悩まれる際は、実績と総合力を評価することをお勧めします。
CTCの「脆弱性診断サービス」の主な強みは下記になります。
2-1. 豊富な診断実績
これまでにCTCは様々な業種・業態・対多種多様なITシステムの脆弱性診断を実施し、お客様のビジネスを脅威から防衛することに努めています。
直近5年間におけるWEBサイトの診断実績は下記の通りです。
- 2021年度に診断した機器 2,800IP、WEBページ 5,000以上
- 2020年度に診断した機器 2,000IP、WEBページ 5,000以上
- 2019年度に診断した機器 1,600IP、WEBページ 3,200以上
- 2018年度に診断した機器 3,000IP、WEBページ 3,700以上
- 2017年度に診断した機器 1,300IP、WEBページ 6,500以上
2-2. 総合的なサポート力
ネットワークやセキュリティ等の様々な分野の主要ベンダーと強固なパートナーシップを結ぶCTCは、マルチベンダーサポートで培ったノウハウをもとに、診断により明らかになったセキュリティ課題を解決するセキュリティ・ソリューションのご提案から、設計、導入、運用保守までを、ワンストップでご提供する体制と技術力があります。
お客様にてカスタマイズが可能な独自の脆弱性情報管理サービス(有償サービス)も提供しており、お客様システムのセキュリティレベルをさらに高めることができます。
2-3. 様々な環境への対応
テレワーク環境やWi-FiやIoT機器に対しても、固有環境を把握し、特性に応じた診断を実施します。
脆弱性診断に加え、高度なセキュリティ専門知識を必要とする「ペネトレーションテスト」、「設定検査」、「パブリッククラウドのセキュリティ設定診断」等も提供可能です。
2-4. 最新のサイバーセキュリティ情報を把握、迅速な対応が可能
国内外の幅広いサイバーセキュリティに関する情報収集により、最新セキュリティ技術や攻撃手法の調査・分析・実務化を行っています。
脆弱性診断の結果は、最新セキュリティ情報やシステム特性と照らし合わせて分析を行います。
図 2. 診断と分析
診断対象システムの脆弱性の概要および詳細説明と、具体的な改修方法、参考となる脅威情報を記載し、改善に役立つ報告を行います。
図 3. CTC脆弱性診断サービスの報告書
CTC脆弱性診断サービス紹介資料は、以下よりダウンロードいただけます。
さいごに
WEBサイトの改ざん、個人情報を搾取といった被害は後を絶たず、社会に対して与える影響が深刻である事から、脆弱性の放置はビジネスとってに危険であると言わざるを得ません。
従って、悪意のあるサイバー攻撃者に狙われるようなセキュリティホールは無くすべきであることは自明であり、サイバー犯罪と隣り合わせの今日においてITシステムの脆弱性診断と対策は必要不可欠です。
本記事では脆弱性診断サービスを選ぶ際のポイントについてお伝えしました。
- 診断の手法(ツールのみか、専門家による手動診断の有無)
- 報告書の内容
- 改修後の対応有無、期間
- 実績と総合力
また、企業が課題の解決に向け、外部の脆弱性診断サービスをどのように活用したか、そして獲得した効果についてもご参考にしていただけたかと思います。
システムの脆弱性診断を定期的に実施したいと検討されている方は、お気兼ねなくご相談ください。