セキュリティ診断とはどのようなものかよくある事例と併せてご説明します。
弊社のツール診断や手動診断、モバイルアプリ診断、情報漏洩調査の各サービスについてポイントを解説します。
セキュリティ診断とは?
セキュリティ診断とはどのようなサービスか?
セキュリティ診断とは、Webアプリケーションやネットワーク、サーバーなどに対し、システムにセキュリティ上の欠陥(脆弱性)がないかを調査することです。ハッカーによる外部からの攻撃や、個人情報を狙った内部からの犯行などさまざまなセキュリティリスクを洗い出します。個人情報漏洩やサイバー攻撃などによる多大な被害を未然に防ぐ、非常に費用対効果の高いセキュリティ対策です。
脆弱性とは?
脆弱性(ぜいじゃくせい)とは、セキュリティホールとも呼ばれ、情報セキュリティ上の問題点のことです。Webアプリケーションやネットワーク、OS、サーバーなどのプログラムの不具合や設計上のミスが原因となって発生します。
バグとは違い、仕様通りに作られたプログラムでも、攻撃に弱い部分は脆弱性に含まれます。脆弱性の対策を行わないままでいると、不正アクセスに利用されたり、ウイルスに感染したり、攻撃された際に重大な損失を被るリスクがあります。脆弱性が見つかった場合、すぐに対処をしましょう。
セキュリティ診断が必要な理由とは?
セキュリティ診断の目的は、脆弱性の現状を把握し危険度を知ることで、必要な対策方法を理解することです。システムのセキュリティの現状を確認することで、情報セキュリティ対策のコスト低減できたり、サイバー攻撃や情報漏えいなどのリスクを未然に防ぐことで、企業やエンドユーザーを守ることができます。
セキュリティ診断を行うおすすめの頻度は?
サイバー犯罪者たちは、常に新しく、高度な手法を使い、攻撃対象も日々変化しています。そのため、Webサイトのセキュリティを守るためには、常に脅威に備えておく必要があります。開発段階、リリース後も安全なシステムを提供するためには、以下のタイミングで診断を行うことをおすすめします。
- リリース前
脆弱性を残したままWebアプリケーションをリリースしてしまうと、ハッカーに狙われやすくなってしまいます。セキュリティ診断を行い、プログラムの脆弱性を改善しておきましょう。 - 公開後も定期的な診断を
WebアプリケーションやOS、サーバーなどのネットワークに関する脆弱性は日々世界中で発見されています。定期的な診断で脆弱性に対するリスクを減らしましょう。
定期的な脆弱性診断を実施すれば、自社だけでなくサプライチェーン全体のセキュリティを安全に保つことができます。自社だけでなくサプライチェーン全体のセキュリティをより安全に運用することができます。
脆弱性があるとどうなるのか?
セキュリティ被害を受けてしまう
主に、不正アクセス、個人情報の流出、ウイルス、マルウェアへの感染、信頼喪失による企業イメージへの被害などが例としてあげられます。
昨今のサイバー攻撃では、企業の規模を問わずにランサムウェアなどの被害にあっています。特に、セキュリティ対策費用を割けない中小企業では、あきらめて身代金を払ってしまっているのが現状です。定期的に診断を行い、常に安全な環境にしておくことが求められます。
三和コムテックのセキュリティ診断サービスについて
専用ツールを使ったクラウドスキャン
診断専用ツールを使用したSCT SECURE診断サービスは、クラウドサービスのため、アプリケーションのインストールやハードの設置などは不要で、簡単に診断を始められます。
お好きな時間帯で毎日診断を実施することが可能です。診断結果はポータル画面から閲覧でき、レポートの出力も行えます。クレジットカード業界の安全基準であるPCI DSSに準拠した診断ツールを使用しており、
また、安価に診断サービスをご提供しています。
専門の診断士による手動診断
お客様から頂いた情報をもとに、専門の診断士が手動で診断を行います。
プラットフォーム診断、Webアプリケーション診断に加えて、各ペネトレーション診断も対応可能です。ペネトレーション診断とは、脆弱性を検証するテスト方法の1つで、実際にネットワークに接続し、システムへの攻撃が成功するか検証を行います。
複数の診断やツールにて、定期的なスキャナー変更要望にも対応可能です。一例として、様々な作りのWebサイトにも、診断士がお客様のWebサイトに合った方法で丁寧に検査を行います。また、ツールだけでは難しい完了処理にも対応いたしますので、ツール診断よりもさらに深く診断することができます。
PCI DSS準拠やOWASPトップ10の脆弱性対策など、様々なお客様の設定基準に準拠した診断サービスをご提供します。
診断結果も脆弱性情報から、対策方法やソリューションまで分かりやすいレポートにて提供します。
スマホアプリの脆弱性を調べるモバイルアプリ診断
SCT SECUREモバイルアプリ診断サービスでは、スマートフォンアプリの脆弱性診断を行います。
iOS/Android 両方のモバイルアプリに対応しており、アプリのバイナリファイル(.apkまたは.ipa)をwebポータルにアップロードすることで簡単に診断を開始できます。
Mobile OWASP Top10とPCIDSSに準拠したレポート表示も可能です。
ツール診断(静的診断・動的診断)や手動診断、API診断も実施可能です。
ワンタイム診断や、再診断、継続的な診断(定期診断)も対応可能ですので、ご希望に合わせた診断をご提供できます。
オープンソースインテリジェンスのOSINT
OSINT(オシント)とは、インターネットなどの公開情報(オープンソース)から対象に関するデータを検索・収集・分析する手法のことです。
アカウントやパスワードの漏洩、企業の外部評価の調査を行うことで、なりすましなどの適切な対策を置かなうことができます。
SCT SECUREのOSINTサービスでは、オープンソースの中から、個人情報や機密情報が流出していないか、外部評価及びSNS調査など、専門のセキュリティチームが調査を実施します。
調査範囲は、特定の設定やソフトを使用しなければアクセスできないダークネットに存在するウェブコンテンツである、ダークウェブも含みます。
常に情報収集されたデータベースとAIによる最適な分析化により短期間での情報提供が可能です。
ご注文いただいてから約1か月で日本語の調査結果レポートをご提供いたします。
クラウド環境のリスク可視化
SCT CSPMサービスは、クラウド環境のセキュリティ状況を解析するサービスです。
クラウド環境を継続的にモニターし、その時点でのセキュリティ状況を分析します。
モニター結果は、CISベンチマークのセキュリティ基準に沿って判断されます。
スケジュールされたチェックで推奨されない設定などのセキュリティリスクやリスクの内容を修正方法とともに報告します。
マルチクラウド(AWSやAzure、GCP)のクラウドプラットフォームを横断的に解析し、統一的なセキュリティ対策を可能にします。コンテナへの診断も可能です。
