選び方1. 診断対象を確認する
システムリスクやネットワークの脆弱性を外部から診断することで、見過ごしていたセキュリティホールや設定ミスに気づくことができます。その診断対象は次の3種類です。まずは対象を確認し、必要とするセキュリティ診断を絞り込んでいきましょう。
Webアプリケーション診断
オープンにされているため最も危険性が高いとされるWebアプリケーションを診断します。また診断項目としてはサイバー攻撃に対する脆弱性、セッション管理診断、ユーザ認証診断、パラメータ操作診断、暗号化方式の診断、画面設計の診断などがあります。
ラットフォーム(サーバやネットワーク)診断
サーバやネットワーク機器の安全性を診断します。具体的には外部あるいは内部からの不正アクセスなどの脆弱性を洗い出し、改善策を提案します。また主な診断項目に、ネットワークスキャン、ポートスキャン、アプリケーションバナー情報の調査、メールサーバの不正利用、スパムリレーやセキュリティホールのチェック、OSとアプリケーションのセキュリティなどがあります。
データベース診断
データベースの安全性に特化して診断します。サービスによっては、プラットフォーム診断に含まれることもあります。また診断項目には、パスワードやアクセス権限の設定、不要なアカウント、ストアドプロシージャの有無、監査設定やネットワーク接続の設定などがあります。
選び方2. 診断方法とアフターケアを確認する
診断方法にはツールによる診断と手動(マニュアル)による診断があります。両者を組み合わせた診断を提供している場合もありますのでコストとリスクを考慮して選びましょう。
ツール診断
市販あるいは独自の診断ツールを用いて診断します。ツール診断のメリットとしては安価で網羅的に診断ができる点が挙げられます。また診断も標準化されているため、誰がやっても同じ結果を得ることができます。自社でツールを購入して行うことも可能な点はメリットですが、その場合は操作の習熟と結果を読み取るスキルが必要になるので注意しましょう。
手動(マニュアル)診断
なりすましなどの脅威に対する脆弱性はツールでは検出が困難です。このような脆弱性を発見するためには、専門家による手動の診断が必要です。具体的には擬似的な攻撃パターンの実行を目視で確認し脆弱性を発見します。このように人手を使うため、ツール診断に比べ時間もコストもかかるものの、高い精度が期待できる点はメリットでしょう。
また診断後、改善策の相談に乗ってくれるかも重要な選択ポイントです。提示された期間内であれば再診断を無償で提供する事業者もあるので確認しましょう。特に定期的に診断を提供してくれるところもあるため、かかりつけの医師のように利用することができます。
選び方3. サービス提供事業者の技術レベル
手動(マニュアル)診断では、サービス事業提供者の技術レベルが重要となります。特に同じ社内でも担当者によっても熟練度は異なるので注意しましょう。またツール診断においても、報告や改善策の指導は力量に左右されてしまいます。
この技術者のレベルを判断するには実績を確認するとよいでしょう。具体的には経験年数や診断数、資格、受講歴、職歴などを確認します。また技術レベルは診断書にも現れるので、どのような報告書が提供されるのかサンプルを入手することをおすすめします。
セキュリティ診断で脆弱性を発見しよう!
IoT時代といわれ、身近な機器がネットワークに接続される今、どこに情報漏えいのリスクが潜んでいるかわかりません。しかし自社のネットワーク機器の脆弱性を発見できるセキュリティ診断を利用することで、情報漏えいをはじめとするセキュリティ事故をふせぐことができます。
ぜひこの機会にセキュリティ診断で社内ネットワーク機器の脆弱性をみつけ、将来の危機を予防しましょう。また以下の記事では、セキュリティ診断の方法や診断項目について詳しく解説していますので参考にしてください。
