COLUMN COLUMN
2021.8.5 /
脆弱性診断サービスの選び方とは? やり方や対象項目を解説
目次
自社のWebサイトやECサイト、スマホの脆弱性を診断し、脆弱性を検出しセキュリティレベルを確認しておきたいニーズは年々増えています。脆弱性診断ツールやサービスを活用し診断することがBESTですが、世の中の多くの診断サービスにはそれぞれのやり方があります。診断の目的と各脆弱性診断サービスの特徴を整理していくことがサービス選定のヒントとなります。そこで脆弱性診断サービスの選び方と、そのやり方や対象項目について解説いたします。
脆弱性診断サービスの選び方とは?
ウェブサイトやスマホアプリ、IoT製品からのセキュリティ事故が増えています。サイト改ざん、情報漏えい、なりすまし、サイバー攻撃等の具体的なセキュリティ事故が事例として報告されているのです。その手法は特定の企業を狙った標的型攻撃や、一般サイトへの攻撃など、様々なパターンで狙われています。
このようなセキュリティ事故はウェブサイトやスマホアプリ、IoT製品のセキュリティホールから起きているケースが多いのです。そこで自社の製品・サービスのセキュリティ対策を強化するために、脆弱性診断を外部のベンダーに実施してほしい!というニーズが高まっているのです。しかし現在はDX(デジタルトランス・フォーメーション)実現へ向かう企業が多いため、IT業界は‘人’が不足しています。「脆弱性診断サービスを早くやりたいけど、自社にもシステム開発会社にも協力会社にも人がいない」ということが、セキュリティ対策を強化したい企業の共通の悩みと言えるでしょう。
そこで具体的な企業の要望として、ECサイトを運営する情報システム部門の担当者や、企業にスマホアプリを納入する開発ベンダー等が脆弱性診断を要求し、最適なサービスやツールを提供してくれる会社を探しているのです。そこで今回は脆弱性診断サービスの選び方と、そのやり方や対象項目をご紹介していきたいと思います。
脆弱性診断サービスのやり方や対象項目 一般的な価格も解説
脆弱性診断サービスは「Webアプリケーション診断」、「プラットフォーム診断」等と様々な名称や種類があります。脆弱性診断サービスの具体的なやり方にも多くの種類があります。例えば一般的に「アプリケーション診断」と呼ばれる脆弱性診断サービスは独自の診断ツールを使い、専門家による手動診断で提供されるやり方が一般的です。アプリケーションに潜在する脆弱性の有無を調査し、実際のハッカーと同じ視点で診断を行い、検出した脆弱性と対策方法を報告書に記載して提出します。
また一般的に「プラットフォーム診断」と呼ばれる脆弱性診断サービスは、サイバー攻撃の標的になりやすいサーバー類やネットワーク機器の構造上の欠陥・バグや、OSレベルの脆弱性を事前に把握し、セキュリティ診断後の対策案を提供するやり方になります。
では脆弱性診断サービスの対象項目や診断項目、チェック項目にはどんな内容があるのでしょうか。
【アプリケーション診断の主な対象項目や診断項目】
・クロスサイトスクリプティング(クロスサイトリクエストフォージェリ)
・SQLインジェクション、MXインジェクション
・セッション管理/認証、ファイル拡張子
・OSコマンドインジェクション
・ディレクトリトラバーサル
・権限昇格やパラメータ書き換え
・Webアプリケーション固有の問題についての診断
【プラットフォーム診断の主なチェック項目】
・OSの脆弱性のチェック
・ミドルウェアの脆弱性のチェック
・推測が容易なパスワードのチェック
・脆弱な通信暗号方式のチェック
・第三者中継メールのチェック
・Webサーバーにおける設定不備のチェック
脆弱性診断サービスはこのような対象項目や診断項目をチェックしていくのです。
一般的な価格は各ベンダーによって様々です。価格を算出する参考基準としては「1サイト(〇〇個の画面遷移) が〇十万円から○百万円」のケースや、個別見積で対応している場合が多いのではないでしょうか。少数の画面やアプリケーションの一部分のみを対象にしたい要望に適した、脆弱性診断サービスで価格算出するベンダーもあります。たくさん脆弱性診断サービスベンダーの価格や費用をご確認してみてください。
AI(人工知能)に対応した脆弱性診断サービスを選ぶ!CYBERGYM JAPAN(サイバージムジャパン)のImmuniWeb(イミュニウェブ)
脆弱性診断サービスにはこのような対象項目や診断項目、価格体系がありますので、様々なツールやサービスを比較して選んでみてください。もうひとつの選び方として、AI(人工知能)に対応した脆弱性診断サービスを選ぶ方法があります。脆弱性診断にAIを使って、生産性を上げてくれるサービスが登場しているのです!
株式会社サイバージムジャパンでは、製品・サービス名:ImmuniWeb(イミュニウェブ)という脆弱性診断サービスを提供しています。最大の特長はAI(人工知能)を使って、脆弱性診断サービスを実行する点です。そのため従来の脆弱性診断手法と違い、アプリケーション全体を対象とした網羅的な診断に適しています。
従来の脆弱性診断は、エンジニアがツールを使用しながら検証を進めていき、リクエストや画面遷移数単位で診断していく方法が一般的です。この手法ではアプリケーション規模が大きければ大きいほどエンジニア工数がかかるためコストが膨れてしまいます。またエンジニアの知見に頼ることが品質向上のポイントとなるため、最新の脆弱性診断情報の取得やその対策は‘人’に頼ることになります。
そこでImmuniWeb(イミュニウェブ)は、世界の最新のセキュリティガイドラインや脆弱性情報を学習しているのAIを使い、脆弱性診断を行います。常に学習し続けるAIアルゴリズムと膨大な検査データによって選択される脅威シナリオで脆弱性診断を実行していくので、最新の攻撃手法に対応することができます。そしてAIアルゴリズムでの診断実行により、従来の人間が行う脆弱性診断の約3倍という速いスピードで脆弱性を検出します。そして暗号通信強度やWebサーバーを一括診断し、検出された脆弱性は必ずエンジニアが再現性確認などのチェックを行います。まさに「AIとエンジニア」の良いところを組み合わせた次世代型の脆弱性診断サービスとなります。導入事例は国内企業(社会インフラ企業、金融、製造業、公共自治体)や海外でも豊富な診断実績があります。
AIアルゴリズムを使って、素早い脆弱性診断を可能にするため、すべて‘人’で行う脆弱性診断よりも価格を安く抑えることができます。遅くとも3営業日中にはお見積書のご提出が可能です可能ですので、ぜひお問い合わせください。
まとめ
脆弱性診断サービスの選び方とは?と題し、そのやり方や対象項目を解説してきました。このように脆弱性診断サービスは、サイバーセキュリティの観点から必要性が高まっています。あなたの会社のウェブサイトも脆弱性診断を行い、サイバーセキュリティ対策を考えなければならないかもしれません。
先ほどご紹介した弊社CYBERGYM(サイバージムジャパン)は、急速にサイバー環境の拡大が進む昨今において、サイバーセキュリティを前提としたリスクマネジメントの重要性の高まりを受け、設立されました。サイバーセキュリティ業界で最先端の技術とノウハウを有するイスラエルのCYBERGYM社と提携し、日本及びアジアで、各種サイバーセキュリティトレーニングを弊社専用アリーナでご提供しています。対応チームの構築や強化、組織内レッドチーム養成、脆弱性診断等のサイバーセキュリティトータルソリューションを展開しています。
「AI 脆弱性診断サービス ImmuniWeb(イミュニウェブ)基本ガイドブック」は、世界の最新セキュリティガイドラインをAIが機械学習し、AIのアルゴリズムで実行するので、診断スピードが速いサービスをご紹介しています。ウェブサイトやECサイト、スマホ等の脆弱性診断ツールで正確に速く、コストを抑えて実施したいニーズのある方は、ぜひ、当サイトより資料をダウンロードください。
-
2021.3.10
サイバーセキュリティの必要性とは?サイバースペースでの「第三次世界大戦」の危機
-
2021.8.30
脆弱性診断とペネトレーションテストとの違いとは? 日本とアメリカでの違いと必要性をご紹介