セキュリティ診断の実施ポイント!気になった時に実施すべき診断

毎日のように情報漏洩などのニュースが出ておりますが、自社のセキュリティ対策が大丈夫か不安に思っていませんか?セキュリティ対策が必要とはわかっていても、何から始めたら良いかわからない方は、まずはセキュリティ診断を行うことが効果的です。この記事ではセキュリティ診断の実施を検討している方が、まず何を行うべきか?何を知っておく必要があるかを整理しておりますので、ぜひ最後までご覧ください。

セキュリティ診断とは

お客様のシステム(OS、ミドルウェア、Webアプリケーション)に対してハッカーの視点から様々な擬似攻撃を行い、脆弱性がないかを診断するサービスのことで、情報システムを保守・運用していく上で重要な機能に対して、今後行われるだろうサイバー攻撃を様々な観点から考察し、対処する事でセキュリティを高める事を意味します。

セキュリティ診断の必要性

Webをはじめとした企業が持っているシステムに脆弱性があると、サイト閲覧者をはじめとした多くの人に対して大きな被害を与えてしまう可能性があります。また被害を与えてしまった場合、企業としての信頼の低下などが懸念され、風評被害などにより本業に差し支える危険性もあります。

特に多くの企業で持っているWebサイトなどへのシステムを脅かす脅威は多く存在しており、自社の保有する重要な機密情報や個人情報を外部に流出させる事が無いようにするには、情報システムの脆弱性やセキュリティが堅実なのかを確認しておく必要性があります。「個人情報漏えい」、「Webサイトの改ざん」、「システムダウンやアクセス障害」、「踏み台化」などの被害が後を絶ちません。安心してWebサイトをご利用いただくために、脆弱性を払拭し、安全な環境をご提供するためにセキュリティ診断は必要となります。

セキュリティ診断を行うメリット

企業がセキュリティ診断を行うメリットとしては下記のようなものがあります。どれも、自社のシステムのセキュリティを考える上では必要なことになります。

  • 自サイトの既知の脆弱性を把握できる。
  • Webサイトの改ざんのリスクを把握できる。
  • 客観的な外部アクセスによるリスクを把握できる。
  • Webアプリケーション経由による情報漏洩リスクを把握できる。
  • ファイアウォールでは防げないリスクを把握できる。

セキュリティ診断を行うべき4つの項目

多くの企業がお持ちのWEBサイトを外部からの攻撃から守るためにセキュリティ診断を行うことが、セキュリティ対策の第一歩です。下記の4つの項目は確実に診断をしておきましょう。

「SQLインジェクション」からWEBサイトを守る

権限のない者がデータベースのデータを閲覧・改ざんすることが可能となり、個人情報漏洩にも結びつく脆弱性です。

SQLインジェクションとは?

「クロスサイトスクリプティング」からWEBサイトを守る

見た目上の改ざんや、悪意あるサイトへの転送が可能で、対策を行っていないサイトが原因でユーザの個人情報漏洩やユーザになりすますことが可能になる脆弱性です。

クロスサイトスクリプティングとは?

「認可制御の不備」

権限のない者が機密情報や他ユーザの個人情報を取得することが可能になる脆弱性です。

「WAF機能の回避」

WAF導入だけでは防御できない脆弱性もあり、また有効に機能していないケースも多くWAF導入による一時しのぎの対策ではなく、脆弱性の本質的な解決を目指す必要があります。

  • WAFによる対策は一時しのぎに過ぎない。
  • WAF導入は脆弱性の本質的な解決にはならない。
  • WAFでは防御できない脆弱性も多く存在する。
  • WAFが有効に機能していないケースが多くある。

セキュリティ診断の後の対策の進め方

セキュリティ診断には下記のようなサービスがあります。
Webアプリケーション診断サービス

これらのアルファネットの「セキュリティ診断サービス」は、診断後全ての検出項目について危険度別に仕分けを行い、さらに一般的な対処方法の解説付きの報告書をもらうことができます。例えば脆弱性診断ツールを使えば、すぐにツールが診断レポートを生成してくれます。但し、ツールが発行するレポートは誤検知が含まれるケースが多く、また専門用語による難解なレポートとなります。当社の診断報告書は、全ての検出項目を専門技術者が精査した上で分り易く纏めご提出しております。

この診断書の中で、「危険度の高い」と診断されたものから優先順位をつけて対策を実施すると良いでしょう。

新規リリースが近いものは、WAFにより一時的にリスクを軽減する方法もあるが、WAFだけでは高いセキュリティ対策を行ったとは言いがたい状況ですので、WAFは一時しのぎと考え、しっかりと対策を行うようにしましょう。
しかし、必ずしもすべてを対策するという選択だけではな不必要なく機能を廃止するということによるセキュリティも考えられますので、その点は専門家に相談するのが一番です。

まとめ

ファイアウォールに頼るセキュリティ防御はもう時代遅れです。JavaScriptが多様される時代は、クライアントサイドも含めたセキュリティ防御が必要な時代になっており、Webアプリケーションからの情報漏洩リスクは、セキュリティ診断をしないとわからない点も多くあります。WAFでも防げない脆弱性や回避する方法は存在するので、まずはセキュリティ診断で、あなたの会社でどのような対策が必要かを見極めることが必要です。
Webアプリケーション診断サービス

関連記事

ピックアップ記事

  1. IPA(独立行政法人 情報処理推進機構)から発表された「情報セキュリティ10大脅威 2018」では組…
  2. 忙しいWebアプリケーションエンジニアのためのWebセキュリティ第一歩 Webセキュリティをどこで…
  3. 「ローカルプロキシツール(BurpSuite)の紹介」 ローカルプロキシツールの有効性 We…
ページ上部へ戻る