セキュリティ診断サービスについて

security_2059

セキュリティ診断サービスとは、専門ツールや技術者自らが攻撃者の視点になり様々なペネトレーションテスト(疑似攻撃)を行い、Webアプリケーションやネットワークなどに危険な脆弱性がないか調査するサービスです。

現状のセキュリティレベル、存在する脆弱性と対策方法を報告書にまとめ提出します。

脆弱性とは
「悪意ある者に攻撃されやすいセキュリティ上の欠点」のことです。

脆弱性があると、本来はできないはずの操作ができたり、第三者に見えてはならない情報が見えてしまったりするなどの不具合がでます。すると開発者の予想を超えた使われ方をされてしまい、悪意のある第三者がウイルス感染や不正アクセスを実行できてしまいます。

脆弱性が見つかれば被害に遭わないように対策を行うことができます。改ざん、情報漏えい、サービス停止の事態に陥らないために、セキュリティ診断サービスは有効です。

ここでは、弊社が提供するセキュリティ診断サービスについて紹介します。

1. セキュリティ診断サービスの内容

Webアプリケーション診断

Webアプリケーション診断とは、お客様のWebアプリケーションにセキュリティ上の問題がないか、擬似的な攻撃を行い診断、調査するサービスです。

ロードマップでは、セキュリティエンジニアが手動や一部ツールを利用し、webサイトの仕様や特性を加味しながら診断を行います。診断後はレポートと対策をご提案いたします。

詳細は『Webアプリケーション診断サービス』をご覧ください。

Webアプリケーション診断のメリット

  1. ウイルス対策ソフトで防げない部分の問題がわかる

    Webサイトからのサイバー攻撃は、Webサイトに特殊な文字を送るなどの手口が考えられます。よって、ウイルスを使わずできるので、ウイルス対策ソフトで検知・駆除できません。

    また、ウイルス対策ソフトの検出率も実は45%以下(ノートン発表)。あくまでお守り程度なのです。このように目で見えないような問題も、Webアプリケーション診断では発見・対策することができます。

  2. 重大な問題を早期発見できる場合がある

    じつは「知らないうちに、ずっとWebサイトが改ざんされていたというケースが多くあります。というのも、見た目で一切判断できないためです。

    改ざんされたWebサイトにアクセスするとウイルス感染する危険があるので、早急な対応が必要です。このような問題も、すぐ対処することで被害を最小限に抑えることができます。

ネットワーク診断

ネットワーク診断は、お客様のネットワークに接続されたサーバー、ネットワーク機器、OS、 ミドルウェア、サーバーソフトウェアにセキュリティ上の問題がないかを診断、調査するサービスです。

詳細は『ネットワーク診断サービス』をご覧ください。

2. セキュリティ診断を受ける必要性

いまや情報システムやインターネットは、企業や組織の運営に欠かせないものになりました。

しかし、現在の企業や組織は、情報システムへの依存による利便性の向上と引き換えに、大きな危険性を抱え持つことになってしまいました。

情報システムの停止による損失、顧客情報の漏えいによる企業や組織のブランドイメージの失墜など、情報セキュリティ上のリスクは、企業や組織に大きな被害や影響をもたらします。また、多くの場合、被害や影響は取引先や顧客などの関係者へも波及します。

日本ネットワークセキュリティ協会(JNSA)の調査報告書を見ると2008年からインシデント(セキュリティ事故)の件数が増えています。

警察庁が発表しているデータでもサイバー犯罪の件数は増えていることがわかります。

出典:

出典:警察庁「平成26年中のサイバー空間をめぐる脅威の情勢について」

企業のWebサイトやネットワークを狙うサイバー攻撃は、今後も増えていくでしょう。
Webサイトとネットワークが被害を受け大切な個人情報や機密情報が漏えいすれば会社の信用は落ちます。

それだけでなく、Webサイト、ネットワーク、PC、サーバなどの復旧にも費用はかかります。
このように信用問題だけでなく、金銭的にも非常に大きな痛手となります。

また、IPAが発表した企業が注目するセキュリティ脅威のトップ10(2016版)からもセキュリティ対策の必要性が高まっていることがわかります。

3. セキュリティ診断の需要が増えている理由

企業の機密情報、顧客情報の防衛

ハッカーは企業の機密情報や顧客情報を狙っています。そのような情報を狙う理由は「お金になる」からです。

個人情報

クレジットカード情報、SNS等の利用サイト(交友関係)、電話帳、メールや電話等の通信履歴等。
情報の内容によって価値は変わりますが、1件当たり日本円換算で5,000円~30,000円と言われています。

会社の情報

製品の開発情報、取引先の情報(取引額・内容・担当者の情報)等、競合会社が欲しがる情報。
情報の内容によって価値は変わりますが、主に設計データやソースコード等で数十万円。

企業価値を守るため、情報漏えいを未然に防ぐために、セキュリティ診断・対策は必要です。

多額の損失リスクを回避

2013年に発生したサイバー犯罪による全世界の被害額は、約11兆3000億円でした。損失のリスクを回避するためにサイトの安全性をチェックすることが大切です。

第三者から客観的な意見をもらえる

セキュリティチェックは多くの人に見てもらうことで抜け漏れが少なくなります。これまでセキュリティ対策を実施している場合、今の状態で問題ないかチェックすることができます。

診断から対策のトータルサポート!相談もできる

診断の結果、セキュリティの問題が発見された場合は対処方法もレポートで解説してくれます。そのため、対策の材料にそのまま活かすことができます。

また、対応に関する依頼・相談もできるので、相談相手がいない、なにをしたらよいか分からない方はプロのアドバイスを受け、対策に取り組めます。

お客様に安全なサービスを提供

お客様に安心してサービスを利用してもらうためには、セキュリティ対策をきちんと実施しておかなければなりません。セキュリティ対策を怠っているサービスをお客様は利用したくないと思っています。お客様に安全なサービスを提供するためにセキュリティ診断は必要です。

大切な情報を守るために

セキュリティ対策を怠ると、「顧客情報の流出」「機密情報の漏えい」「Webサイト改ざん」などが発生します。

結果、以下のようなリスクを負う事になります。


  1. 運営サイトの休止・廃止
  2. 対策にようする時間、人的リソース、高額な費用の発生
  3. 顧客情報が流出したときの損害賠償
  4. サイト運営法人の信頼性失墜

「何を相談していいか分からない」という理由で、興味がありつつもご利用にならない方がおられます。

しかし、被害に遭ってから「やろうと思っていた」では遅いのです。

そうならないために、まずはご相談からお気軽にお問い合わせください。