プラットフォーム診断とは?
プラットフォーム診断とは、サーバやネットワーク機器の状態を診断しOSやミドルウェア、ソフトウェアデータベースに潜む既知の脆弱性を洗い出す営みです。
近年高度化された攻撃手法や次々と発見されるセキュリティホールにより、システムが抱えるセキュリティリスクはますます複雑化しています。セキュリティ事故を未然に防ぐには、システムが抱えるリスクを把握し、都度適切な対策を行う事が重要となります。
プラットフォーム診断では専門家がシステムに潜む脆弱性の調査を行い、脆弱性とリスクの可視化と改善策の提案といったサービスを受けることができます。これらのサービスにより洗い出された脆弱性やリスクに適切に対策することでシステムをサイバー攻撃から守ることが可能になります。
プラットフォーム診断の診断対象
プラットフォーム診断の対象となるのは、主に以下のようなシステム及び機器です。
- Web、Mailサーバ、FWなどの公開システム
- ファイル共有サーバなどの社内システム
- 開発・運用ベンダーのみがアクセス可能なステージング/開発環境のシステム
プラットフォーム診断の種類
プラットフォーム診断には、インターネット経由で診断する「リモート診断」と、内部セグメントから診断する「オンサイト診断」の2種類があります。
リモート診断
インターネットを経由して機器を診断します。公開セグメント上のサーバに対する脆弱性、ファイアウォールやルータ等のアクセス制限(ルール設定)の適切性などを確認します。インターネットから見た脆弱性を洗い出す目的で実施する診断です。
オンサイト診断
セキュリティ専門家がお客様のオフィスやデータセンタを訪問し、お客様の内部ネットワークなどから診断します。内部ネットワークに接続された機器の脆弱性、ファイアウォール等によるアクセス制御がない状態(単体)でのサーバなどの脆弱性を確認します。リモート診断よりもサーバやネットワーク機器単体にフォーカスしてより詳細な診断が可能です。
また、一般的な診断項目としては、以下のような項目があります。診断事業者ごとに大きな違いはありません。
ポートスキャン | 対象機器のTCPやUDP(弊社指定ポート)を検査します。 |
ホスト情報収集 | 対象のOSやアプリケーション情報を収集し、プロダクトバージョン等に問題ないか検査します。 |
脆弱性検査 | 信頼性の高い複数の診断ツールを用いて、OSやソフトウェアに内在する既知の脆弱性の状況を検査します。 |
手動検査 | 検出された脆弱性について、手動で追加検査を行います。 |
サービス設定検査 | 不要なディレクトリが公開されていないか、サーバ設定に不備が無いかなどを検査します。 |
アカウント検査 | FTP、Telnet等、一般的に利用されている汎用サービスにおいて、推察可能なアカウントやパスワードが使われていないかどうか検査します。 |
プラットフォーム診断の料金
プラットフォーム診断では、IPアドレスあたりの料金体系をとっている診断事業者が多いようです。診断対象が多ければボリュームディスカウントが適用されるケースもあります。また、リモート診断とオンサイト診断を比較すると専門家の出張作業費がかかるオンサイト診断はどうしても割高になります。このことから、対象システムのセキュリティ要件によって必要な診断サービスを検討することになるかと思います。
プラットフォーム診断のフロー
プラットフォーム診断は一般的に以下の流れで実施されます。
ヒアリング → 診断 → 解析 → レポート → 結果報告・改善提案
ヒアリング
診断サービスを実施する業者がヒアリングを通じてサイトの構成や管理、制約事項について詳細を把握し、調査の対象範囲、診断に用いる手法、診断項目、スケジュール、費用を提示します。
診断
対象システムに対し、ツールと手動で事前に定義した対象範囲に対して診断項目の検査を実施します。
解析
検出された脆弱性や設定ミスなどを列挙し、リスクを洗い出します。もし緊急性が高い脆弱性が発見された場合は、結果をまとめる前に通知されます。
レポート
洗い出した脆弱性やリスクに重大度や対策方法などをとりまとめ、レポートで作成します。顧客の求める記載内容にオーダーメイドで答えるケースあります。
結果報告
文書によるレポートと報告会を通じて、ユーザー企業に結果を開示します。
専門家の知見が診断精度を上げる
現在、多くの国内業者が「プラットフォーム診断」のサービスを提供していますが、診断項目、手法(ツールと手動を併用)、フローに大きな違いはありません。
各社の特徴が表れる部分としては、サイバーセキュリティの専門家のスキル、診断範囲、分析レポートのカスタム対応、業態に特化したオプションメニューなどが挙げられます。
プラットフォームの脆弱性を狙うサイバー攻撃は、サービスダウン、機密情報の漏えい、閲覧者をマルウェア感染させるサイト改ざん、攻撃の踏み台などの深刻な被害を与えます。損害賠償による金銭的被害や社会的信用失墜に伴う売上減少により、事業継続が困難になる被害企業も少なくありません。
こうした被害を防ぐためにも、プラットフォーム診断は“コスト”ではなく、企業活動を維持・成長させるための“投資”と考えてみてはいかがでしょうか。
Spin & Companyでは、プラットフォームの脆弱性診断サービスを提供しています。安全なシステムのプロフェッショナル集団としての知見を活かし、お客さまのシステムに最適な脆弱性診断を実施いたします。
プラットフォームのセキュリティ、脆弱性診断については、ぜひSpin & Companyへお問い合わせください。