セキュリティ診断(脆弱性検査)とは?おすすめのサービス7選
今回紹介するセキュリティ診断サービスを一括で比較したい方はこちらからどうぞ!
あなたの会社のシステムのセキュリティ対策は万全でしょうか?
最近Webを利用したビジネスが増えていますが、公開サーバーやWebアプリケーションの設計や開発の不備を利用するサイバー攻撃が後をたちません。
スタンダードなセキュリティ対策以外に何をすればいいの?と思う方も多いと思いますが、サイバー攻撃からシステムを守るには、まずどこが攻撃される可能性があるのかを正確に知る必要があります。それを行うのがセキュリティ診断です。
セキュリティ診断とは何かやその必要性をまとめ、どのようなセキュリティ診断サービスがあるかをご紹介します。
目次
セキュリティ診断とは
セキュリティ診断とは、サイバー攻撃されやすいネットワーク機器のOS、ミドルウェア、Webアプリケーションなどのシステムを調査して、攻撃の対象となる欠陥を検出する作業やサービスです。
脆弱性診断・脆弱性検査とも呼ばれます。サイバー攻撃者は、脆弱性があるサーバーを常にネットワーク上で探し回っていますから、脆弱性の早期検出とその対処は、大切な情報の漏出や、自社のサーバーが不正に使用されないようにするために非常に重要です。
ではセキュリティ診断の対象となる「脆弱性」とは何でしょうか?
脆弱性とは
脆弱性とは、コンピューターのOSやソフトウェアなどのシステムに存在する弱点のことで、セキュリティホールとも呼ばれます。
弱点とは、プログラムの不具合や設計ミスによる情報セキュリティにおける「欠陥」のことで、不正アクセスやウィルス感染を引き起こす危険性があります。
通常は、欠陥がみつかるとソフトの開発者が更新プログラムを作成して配布しますが、ソフトが実際に市場で使われ始めた後に脆弱性が発見されるのが現状ですから、更新プログラムがリリースされる前に攻撃されてしまうこともあり得ます。
なお、脆弱性とは単なるプログラム上の欠陥ではなく、サイバー攻撃が悪用しうる任意のスクリプトやコマンド、コードの実行などのユーザーが意図しない動きをする欠陥です。
では、脆弱性はなぜ発生し、脆弱性によってどのような被害を受けるのでしょうか。
脆弱性の原因
脆弱性が発生する原因には、以下のものがあります。
Webサーバーやアプリケーションの設計ミスや開発ミス
単なる設計上の間違いだけでなく、設計時に予測しきれずに対策がとれなかったことも指します。脆弱性が、攻撃者によって故意に仕掛けられている
すでに脆弱性が発見されているものを、更新修正しないで使い続ける
ソフトウエアの欠陥だけでなく、情報管理方法や管理体制の不備
脆弱性による被害
また脆弱性により受ける被害には、以下のものがあります。
サーバーへの不正アクセスによるWebサイト改ざん
他のコンピュータへのウイルスの二次、三次被害
自社の機密情報だけでなく、顧客や個人の情報の漏出
サーバーのシステム破壊によるサーバーダウン
いつでも侵入可能な裏口の構築
またこれらの被害により、企業にとっては対処に追われて業務が進まなくなったり、企業の信用が失われてしまうという結果につながります。
以下の記事でも脆弱性診断について詳しく解説していますので、ぜひご覧ください。
セキュリティ診断の種類2つ
セキュリティ診断には、どこを診断するのかによって以下の種類にわかれます。
Webアプリケーション診断
会員サイトやモバイル向けサイト、ショッピングサイトなど、構築されたWebアプリケーションを中心に脆弱性がないかを、攻撃者のさまざまな攻撃手法を使ってセキュリティの安全性を調べる診断です。
なお、これまでに届け出られている脆弱性の約7割がWebサイトに関するものとなっており、ユーザーや顧客のニーズが多様化によりWebアプリケーションも複雑化していますから、Webアプリケーション診断の必要性が高まっています。
プラットフォーム診断
サーバーやネットワーク機器の脆弱性を、ネットワークの外側と内側の両方から診断するものです。
外部からインターネット経由サーバーの脆弱性やアクセス制限が適切かを診断するリモート診断と、内部のネットワーク経由ネットワークに接続されている機器の、社内での脅威に対する脆弱性を診断するオンサイト診断とあります。
セキュリティ診断の診断方法
診断方法としては、以下の手法があります。
ツール診断
自動化された単一の診断ツールを使った診断で、基本的な脆弱性をシステム全体で広範にわたって診断するものです。大量のパターンを診断できますが、Webサイトの構成が複雑だと、誤診断や誤検知も生じます。
手動診断
通常複数のツールを使った専門家によるマニュアル診断です。単一のツールでは見つけにくい脆弱性を診断するもので、診断の柔軟性と精緻度は高くなりますが、ツール診断のように一度に多くを診断できないので時間がかかり、よりスキルの高い専門家を依頼するとコストも高くなります。
まずツール診断で全体をチェックし、特に重要な部分を手動診断とするというやり方もありますが、セキュリティ診断の目的や費用対効果を考慮して選択する必要があります。
セキュリティ診断の必要性
システムの脆弱性による被害について説明しましたが、単に自社のシステムがダウンして業務に支障がでることだけでなく、重要な顧客の情報の漏えいにより、企業にとって多額の損失を引き起こすことにもつながります。
企業のリスクには、災害や事故によるリスクの他、訴訟リスク、利益に関わるリスクなどがありますが、情報システムの問題から発生するシステムリスクもその一つです。企業をとりまくいろいろなリスクには予測が困難なものもありますが、システムリスクはセキュリティ診断により事前に回避が可能です。
ソフトウェアの更新やサーバーへのファイアウォール設置、パーミッションの正しい設定だけでは回避できないシステムリスクに対しては、セキュリティ診断で万全の対策をとり、企業のリスク管理の強化が必要です。
セキュリティ診断のメリット
セキュリティコストの削減
システム全体に闇雲にセキュリティをかけても、コストがかかるばかりです。必要のない余分なセキュリティも含まれているかもしれません。セキュリティ診断をすることにより、特定の脆弱性に対する一番効果的な対策にのみ費用をかけることができます。
企業のリスク回避・信頼の獲得
リスクマネジメントで企業の損失につながる潜在的なリスクを回避できるほか、自社のシステムのセキュリティ対策による品質保証で、顧客からの信頼が得られます。
気がつきにくいリスクの発見
典型的な外部からのリスクだけでなく、社内で使っているいろいろなデバイスのセキュリティも含めて、内部からのリスクにも気がつくことができます。
おすすめのセキュリティ診断サービス7つ
では、おすすめの7つのセキュリティ診断サービスをご紹介します。
Webセキュリティ診断
- 定期的に脆弱性や改ざんの有無を診断
- 結果をメールで通知
- 診断結果レポートの提供
Webセキュリティ診断は、NTT東日本が提供する脆弱性や改ざんの有無をシステムから定期的に診断するサービスです。
脆弱性診断は月に1度、改ざん検出は毎日行い、診断結果をメールで通知してくれます。さらにPDFで診断結果レポートをダウンロード可能です。
初期費用は無料で月額5,000円というお手頃な料金設定なので、気軽に導入でき安心して長期利用できます。
SCT SECURE
- ワンタイム診断や定期診断などのニーズに合わせた診断を提供
- 安全なWebサイトに安全認証マークを配信
- カード業界のセキュリティ基準であるPCI DSS ASV資格保有
三和コムテックのSCT SECUREでは、クラウドスキャンやインターナルスキャン・モバイルアプリ診断・管理リスク検査・Webサイト脆弱性監視サービスなど、さまざまなメニューが取り揃えられています。またASV資格を毎年更新し、法品質のサービスが保証されています。
SiteScanシリーズ
- 詳細な脆弱性レポート
- 過去の診断結果と比較したレポートを提供
- 脆弱性評価基準CVSS/CVE準拠
SiteScanシリーズは脆弱性評価基準であるCVSS/CVEに検査エンジンによるネットワーク・OS・アプリケーション層のセキュリティ診断ができます。
実際に起こるアクセスに近い状態で検査を行うために、事前ヒアリングで得た情報を元に診断を実施します。発見された脆弱性を「緊急・高・中・低」に分類し、レポートを提供してくれるので優先順位を付けて対策を実施することが可能です。
また過去の診断結果との差分レポートも提供してくれるため、その期間中に実施された設定変更などによる影響を把握できます。
SiteLock
- 初心者でも簡単に始められる
- 検知から処置や復旧作業まで任せられる
- 安全性を視覚的に伝えることができる機能
SiteLockはアプリの脆弱性診断、改ざん監視、マルウェア検知・駆除などを1サービスで提供しているWebセキュリティです。
幅広い診断メニューを揃えており、最適な実施頻度を選ぶことができます。セキュリティの脅威を検知するだけでなく、問題発生時の処置から復旧作業までを任せることができます。またWebサイトの安全性を視覚的に伝えることができる安全シールをサイトに設置することができます。
LAC(ラック)
- 調査・診断・コンサルティングの多方面サービス提供
- NTT東日本のWebセキュリティ診断に技術協力
- エキスパート集団によるサイバー救急センターもあり
LACでは、Webアプリケーション診断やプラットフォーム診断の他、パフォーマンス診断やスマートフォンアプリケーション診断、独自に開発した疑似攻撃マルウェアを使ったAPT攻撃耐性新サービスも提供。
緊急対応サービスや情報漏えい調査、情報セキュリティに関するコンサルティングサービスも対応しています。
Symantec(シマンテック)
- 世界中のネットワークで最新の脅威に対応
- ツール診断とマニュアル診断を組み合わせて診断をスピードアップ
- Webアプリケーション診断と、プラットフォーム診断の代表的な項目を診断するクリックウェブ診断あり
世界にネットワークを持つセキュリティのプロであるSimantec(シマンテック)は、専門技術者により常に最新の脅威に対応。金融機関やECサイトのセキュリティ診断の実績が豊富で、運営中のシステムで脆弱性やマルウェアを検出するサービスも90日間無料で提供されています。
NRIセキュア
- トップレベルの専門家による診断
- セキュリティ設計や開発も支援
- 診断結果を3日でフィードバック
NRIセキュアは、金融機関や東証一部上場企業で多数の実績あり。Webアプリケーション診断やプラットフォーム診断に加え、データ診断やスマートフォンアプリケーション診断、デバイス・セキュリティ診断も提供。その他、セキュリティ設計や開発支援、事故への迅速な復旧も支援しています。
Googleアカウントのセキュリティ診断
個人向けのセキュリティ管理として、Googleアカウントのセキュリティ診断がありますので、番外編としてご紹介します。
Googleセキュリティ診断とは
GoogleアカウントはGmailやYouTubeなどを利用する際に必要なアカウントですが、不正ログインでクレジットカードが不正使用されたりする危険が伴います。IDとパスワードの他に確認コードでログインする2段階認証を設定されている方がほとんどと思いますが、これ以外にセキュリティ診断も提供されています。数分でできますから、定期的に診断しておきましょう。
Googleセキュリティ診断の使い方
1. Googleアカウントにログインする。
2. マイアカウントのダッシュボードの画面内で、「セキュリティ診断」を選択。
3. アカウント復旧情報の追加
予備の電話番号を追加する。追加した電話番号にコードがMMSで届くので、それを入力して確認。
これにより不正アクセスの疑いがあった場合には、MMSで通知が登録された電話番号に通知がくることになります。
4. 端末の確認
あなたのGoogleアカウントに接続できるデバイスをチェックします。Googleアカウントで使っているデバイスのリストに覚えがない端末が入っていたら、「覚えがない」を選択してパスワードを変更します。
5. アカウント権限の確認
あなたのGoogleアカウントを使って利用しているアプリやサービスの一覧が表示されます。使ったことがないものや、今後使う必要がないものは削除します。
6. 2段階認証の診断
Googleアカウントにログインするたびに、指定の携帯電話にコードが送られ、そのコードを入力しないとログインできないよにする認証方法です。2段階認証を使っている場合は、この診断もできます。2段階認証の登録内容が表示されるので、確認して問題なければ完了をクリックします。
セキュリティ診断で潜在リスクを未然に防ごう
セキュリティ診断は、病気になる前に注意しないと病気になりそうなところを見つけたり、病気にならないような予防措置をとるための健康診断と同じといってもよいでしょう。面倒と思わずに、後で後悔しないために定期的なセキュリティ診断を行って、潜在的なサイバー攻撃のリスクを防ぎましょう。
ボクシルとは
ボクシルとは、「コスト削減」「売上向上」につながる法人向けクラウドサービスを中心に、さまざまなサービスを掲載する日本最大級の法人向けサービス口コミ・比較サイトです。
「何かサービスを導入したいけど、どんなサービスがあるのかわからない。」
「同じようなサービスがあり、どのサービスが優れているのかわからない。」
そんな悩みを解消するのがボクシルです。
マーケティングに問題を抱えている法人企業は、ボクシルを活用することで効率的に見込み顧客を獲得できます!また、リード獲得支援だけでなくタイアップ記事広告の作成などさまざまなニーズにお答えします。
ボクシルとボクシルマガジンの2軸を利用することで、掲載企業はリードジェネレーションやリードナーチャリングにおける手間を一挙に解消し、低コスト・高効率・最小限のリスクでリード獲得ができるようになります。ぜひご登録ください。
