脆弱性診断サービスを検討しているものの、自社に何が合うのかわからない、選び方のポイントが知りたい!という方向けの記事です。脆弱性診断サービスについて解説し、選び方の5つのポイントを初心者の方でもわかりやすく説明します。
脆弱性診断とは?
脆弱性診断とは、Webアプリケーションやネットワーク、サーバーなどに対し、システムにセキュリティ上の欠陥(脆弱性)がないかを調査することです。脆弱性診断を実施することで、システムのセキュリティを確認でき、サイバー攻撃や情報漏洩などのリスクを未然に防ぐことができます。
脆弱性診断の必要性や事例についてもっと詳しく知りたい方は以下の記事もご覧ください。
3分でわかるセキュリティ診断とは? 必要性や事例、脆弱性診断サービスをご紹介
脆弱性診断を選ぶ時の5つのポイントとは?
その1. 診断方法の選び方
脆弱性診断の方法には、専用の脆弱性診断ツールで行うツール診断と診断士が行う手動診断があります。
この2つの診断方法の特徴は以下になります。
- ツール診断
自動検査ツールによって脆弱性の診断を行う方法です。診断パターンを用いた診断で、短時間かつ低コストで結果を知ることができます。診断を行う対象のシステム構造が複雑な場合、高い精度の結果が得られないこともありますが、手軽に始めることができます。 - 手動診断
セキュリティの専門家が診断を行う方法です。診断士が対象のサイトに合った方法で検査を行うため、ツールだけでは難しい処理にも対応することができます。手動診断の実施には時間とコストがかかりますが、対象のシステム構造にあわせて柔軟に診断できるメリットがあります。
診断の目的によって、ツールと手動診断を組み合わせて行う場合もあります。
自組織のシステムの診断を行う場合には、目的に合わせてツール診断と手動診断の使い分けや組み合わせを検討してみましょう。
その2. 診断の範囲を確認する
脆弱性診断を選ぶ際には、診断できる範囲が自組織のニーズに合っているか確認することも大切です。診断の範囲には、大きく分けてWebアプリケーション診断とプラットフォーム診断があります。
Webアプリケーション診断はWebサイトやアプリケーションの脆弱性を診断します。具体的な項目としては、本来は意図していない不正なSQL文が作成され、データベースの操作をされる危険がないか調べるSQLインジェクションや、OSのコマンドを不正に使用できないか検査するOSコマンドインジェクションなどがあります。
プラットフォーム診断はOSやミドルウェアの脆弱性の有無を調べる検査です。OSやプロダクトの情報を収集し、プロダクトのバージョンなどに問題がないか調べます。また、外部接続可能なポートを確認し、不要なポートがオープンになっていないかなどを検査します。
診断範囲についても、診断方法と同様に自組織のニーズに合わせた診断範囲や項目を確認して選ぶようにしましょう。
その3. 診断の深度と信頼性
ツールと手動診断では診断の深さが異なります。たとえば、手動診断であれば、専門の診断士が対象の構造を確認した上でその対象にあった検査を実施することが可能です。ツールでは診断が難しい、権限に関する診断やシナリオ設定が必要な診断を手作業で実施するため、より網羅的な検査が可能になります。
また、ツール診断でも診断サーバーによってセキュリティ基準が異なります。三和コムテックでは、クレジットカード業界のセキュリティ基準 PCIDSS ASV資格を持った、信頼のある診断エンジンを使用しています。
クリアしなくてはいけない項目や初めての診断のためしっかり行いたいなど希望がある場合は、事前に伝えておきましょう。
その4. スケジュールを確認
ツール診断と手動診断では診断にかかる時間が異なります。ツール診断は任意のタイミングで比較的早く診断ができますが、手動診断の場合は診断士のリソースを確保しなければなりません。三和コムテックでは、ツール診断はヒアリングシート受領から最短3営業日で診断開始が可能です。事前に、報告書が欲しいタイミングを確認しておきましょう。
また、おすすめの診断頻度は、ツールの場合、対象がプラットフォームであれば毎日診断をかけることが可能ですので、毎日診断を行うことで常に最新の状況を確認することができます。Webページであれば、サイトを公開する前に一度診断をかけると良いでしょう。
診断自体が初めてという場合は、一度専門の診断士に手動診断をしてもらうことをおすすめします。
その5. アフターサポート
リスクを発見したことで満足せず、リスクに対応するまでが重要です。知見がなく、初めて診断を行う場合であれば、技術者にリスクについて質問したいという方も多いでしょう。気になる方は、診断実施後もサポートしてもらえるのかを事前に確認しましょう。また、診断結果のレポートは分かりやすく書かれているのか、どのようなことが記載されているのかも重要なポイントです。
三和コムテックでは、サポート体制をご用意しているほか、ツール診断「クラウドスキャン」のレポートでは、過去の履歴や、検知された脆弱性情報、CVSSと呼ばれる国際標準の脆弱性評価のスコアなどを確認できます。また、診断結果をPDFとして出力することも可能で、検知された脆弱性と、その対応方法なども記載されているので、脆弱性解決の参考として活用できます。
- トピックス:
- セキュリティ