脆弱性を突く攻撃が広まるなか、Webサイトに脆弱性が存在しないかを診断してくれるサービスのニーズが高まっている。なかでもアズジェントの「セキュリティ診断サービス」は、無償のオンサイト報告会や再診断など、特徴的なサービスとなっている。今回と次回の2回にわけて、セキュリティ診断サービスを紹介していく。
脆弱性攻撃を受けセキュリティ診断のニーズが急増
アズジェント 技術本部 セキュリティ・サービス部 シニアアナリスト 田中慎太郎氏 |
「セキュリティ診断を受けるのは、かつては大規模なECサイトやブランドサイトを運営する企業が中心でした。しかしここ1、2年は中小規模の企業が増えています。情報漏洩事故が身近になり、『ウチには関係ない』という意識から『ウチもいつやられるかわからない』という意識に変わったことが背景にあります」
そう話すのは、アズジェントの技術本部セキュリティ・サービス部シニアアナリストの田中慎太郎氏だ。田中氏が言うセキュリティ診断とは、アズジェントが提供している外部からWebサイトなどに脆弱性がないかをチェックしてレポートを提供するサービスのことだ。脆弱性診断などとも呼ばれることがある同サービスは、ここにきて利用が拡大しているのだという。
田中氏が指摘するように、ここ数年は脆弱性を突いた攻撃が一気に"身近になった"感がある。特に今年4月以降は、OpenSSL、Apache Struts、Internet Explorerに関して致命的な脆弱性が相次いで見つかり、対応に追われる企業が多かった。実際に被害を受けた企業の規模もさまざまで、「狙われるような情報を持っていないから大丈夫」といった考えが通用しなくなってきたことをまざまざと見せつけることになった。
そんななか、事件が起こってから事後的に対応するのではなく、セキュリティ診断を利用して情報を事前に守ろうという動きが活発化してきたのだ。
脆弱性を診断することによって得られる3つのメリット
セキュリティ診断にはどんなメリットがあるのだろうか。田中氏によると、大きく3つに分けられるという。
1つは、脆弱性を把握することで対策コストを低減できる点だ。脆弱性を把握できていない場合、現実のシステムや業務を反映していないセキュリティポリシーを作ってしまったり、やみくもにセキュリティ製品を導入したりといったことが起こりがちだという。結果として、チェックの漏れや対策コスト増につながったりする。
2つめは、サービス利用者への安全配慮だ。不正アクセスや標的型攻撃を受けた結果、顧客情報を漏洩させたり、ユーザーにウイルスを感染させたりすれば、利用者のサービスへの信頼はガタ落ちになる。事故が起こったときの金銭的な補償に加え、ブランドや企業価値の毀損による損害も多大だ。近年では、脆弱性の存在を把握していない状況を放置していたことへの責任を問う利用者の声も大きくなっている。セキュリティ診断サービスで指摘された点に対策をとっておけば、それが利用者の安全を守ることにつながることになる。
3つめは、第三者による評価が得られることだ。脆弱性診断を自社で行うこともできるが、経験値が少なく、適切なリスク判断ができない場合がある。また、社内にIT専門の部署をもたない組織では、対策の実行まで至らないケースも少なくない。さまざまなサイトの脆弱性をチェックしてきた第三者の目によるチェックを受けられるメリットは大きい。
「どこにどの脆弱性があるかを把握することは重要です。それにより、すぐに対策すべきなのか、月例のアップデートで大丈夫なのか、リスクの影響度や重要度を踏まえた効率のよい対策を行うことができます。結果として対策コスト全般を押し下げることになり、社内システムのセキュリティを向上させることになります」(田中氏)
無償で受けられるオンサイト報告会や再診断サービス
では、セキュリティ診断はどういったタイミングでどのように利用すればいいのだろうか。
田中氏によると、企業の状況によってさまざまで、たとえば、新サービスの立ち上げ前に行ったり、定期的に利用して改善活動につなげたりするケースがあるという。
そのうえで田中氏は、「テストのできるだけ早い段階で実施することをおすすめしています。サービスインしてからは脆弱性を修正するのが困難なケースがあるためです」とアドバイスする。
もっとも、一般的な脆弱性診断では、システムの総開発費に対して見合わない価格になるケースがある。また、価格を抑えるために一部だけの診断にとどめた結果、脆弱性の発見が遅れてしまうこともある。アズジェントでは、こうしたさまざまな企業の状況を見ながら、できるだけ利用しやすいサービスとして提供しているという。
アズジェントのセキュリティ診断サービスには、ユニークな特徴がいくつかある。たとえば、無償で提供される「オンサイト報告会」だ。これは、セキュリティ専門アナリストが顧客に直接訪問し、初回の診断結果をもとに、レポート内容の説明や考察を含めた診断結果を報告するもの。「レポートを見て終わり」ではなく、具体的な対策として実行できるようにアドバイスをしてもらえるわけだ。
また、診断後に無償で提供される「再診断サービス」や「30日間のQAサポート」も特徴的だ。再診断サービスでは、初回診断から30日以内であれば、初回診断時に検出された脆弱性部分が改修されているかどうかを再診断できる。攻撃に対して不安を解消するとともに、システムの安全性をより高めることに貢献する。
また、30日間のQAサポートは、最終報告書を納品した後の30日間、記載内容に関する疑問点や不明点を30日間無償でサポートするものだ。診断を実施したセキュリティアナリストが対応することで、社内システムの問題点を適切に把握できるようになる。
予算とニーズに合わせて、”2+α”のサービスを提供
アズジェントのセキュリティ診断サービスは、Webアプリケーションの脆弱性を診断する「Webアプリケーション診断サービス」と、ネットワークの脆弱性を診断する「ネットワーク診断サービス」の2つがある。また、ライト診断といったより手軽に診断できるメニューも提供している。診断方法に関しては、インターネットを経由して遠隔から診断する「リモート診断」と、お客様環境に診断機器を持ち込んで診断する「オンサイト診断」の2種類から選択可能である。
次回は、実際にどのような検査項目があるのか、診断の流れはどうなっているのか、確認した項目をどう活用すればいいのかなど、セキュリティ診断サービスをより詳しく紹介する。