脆弱性診断の重要性　１

インターネットを利用したサービスの普及に伴い、毎日のように新たなサイバー被害が報じられています。攻撃者はソフトウェアの「脆弱性」を探し出し、様々な攻撃を試みます。脆弱性とは、別名「セキュリティホール」とも呼ばれ、OSやアプリケーションに存在するセキュリティ上の弱点の事です。バグやヒューマンエラー、ソフトウェアの設計ミス等により生じるものです。人が制作するものなので、どうしてもミスが発生してしまい、それが脆弱性に繋がる危険があります

攻撃者に脆弱性を突かれた時に受ける被害として以下が挙げられます。

・ウイルス感染
・不正アクセス
・サイト改ざん
・システムダウン
・パソコンへの侵入、システム破壊
・情報漏洩　など

脆弱性を放置しておくと、上記のような様々な被害を受ける可能性が高くなってしまいます。また一度サイバー攻撃を受けてしまうと、本来の機能を取り戻すまでに膨大な時間がかかります。個人情報の漏洩などが起こった場合は、企業イメージの低下に繋がる場合もあり、収益にも大きく影響を与える可能性も念頭に置いておく必要があります。お客様との信頼関係を築く為にも、セキュリティ対策は一つの重要な要素だと言えるでしょう。

また、脆弱性攻撃の中には攻撃の痕跡を残さずに攻撃を実行出来る場合もある為、被害拡大が懸念されます。他にも、利用者がファイルのダウンロードなどを行わなくても、ウェブサイトを閲覧しただけで攻撃を実行出来る場合もあります。

このような被害を受けないようにするには、どのような脆弱性が存在しているのかを知り、その上で脆弱性のタイプごとに対応を検討する必要があります。企業のネットワークは、一般的にOS、アプリケーション、サーバー、ファイアーウォール、不正侵入検知システム（Intrusion Detection System, IDS）などから構成されています。その全てに精通し、日々報告される脆弱性の全てを、自社で確認、対応するのはほぼ不可能といっても過言ではないでしょう。ネットワークセキュリティ分野は留まる事なく日々変化するものなので、継続した関心と学ぶ姿勢が必要です。また多くの企業では、脆弱性診断が出来る技術者、担当者がいないことも多いのではないでしょうか。サイバー攻撃も日々進化しています。被害を未然に防ぐ為にも、最近では専門の脆弱性診断サービスの利用が広がっています。

脆弱性診断とは、別名「ぺネトレーションテスト」とも言われます。データベースに蓄積された情報を基に、セキュリティ専門知識を持った人材が脆弱性（セキュリティホール）を突き止め、対策する為の情報を提供するものです。この診断を通じて、情報セキュリティの三大要件であるネットワークの機密性（Confidentiality）、完全性（Integrity）、可用性（Availability）を把握することが出来ます。

一般的に脆弱性診断（ぺネトレーションテスト）は、検査対象システムに対する情報収集から開始します。次にシステム準備段階として、対象システムに既に知られている脆弱性が存在するかどうかを検査します。この準備段階を経て、最後に検査報告へと移ります。発見された脆弱性を重大、中、低と危険度を判別し、対象システムのセキュリティを向上させる方法（脆弱性の危険を最大限低める方法）を模索する段階へと進みます。

シングテルでは子会社であるTrustwave社と共に脆弱性診断（ぺネトレーションテスト）サービスを提供しております。
シングテルの脆弱性診断（ぺネトレーションテスト）サービスについてはこちらから

シングテルのぺネトレーションテストでは蓄積された脆弱性の情報と共に、経験豊富なセキュリティ専門の人材が、どこに脆弱性が存在するのか、どのような脆弱性なのかを突き止め、対策の実施を容易にする事を狙いとしています。まずどこに問題があるのかを把握した上で対策を講じる事で、より効果的に自社のセキュリティを高める事が出来ます。

次回のブログでは、より具体的にシングテルが提供する脆弱性診断（ぺネトレーションテスト）サービスについてご説明いたします。