セキュリティ診断は定期的に！ ぜい弱性が発覚した事例を紹介

サイバー攻撃が進化し続ける中、セキュリティ対策はより強固なものが求められ、専門ツールや専門家によるセキュリティ診断の重要性も高くなっています。

第三者による評価でぜい弱性等の状態を把握し、対処すべき内容や優先度を明らかにしましょう。

今回は、日立ソリューションズ・クリエイトが提供する「セキュリティ診断サービス」の担当者に、サービスの内容や、これまでにどのようなぜい弱性が見つかってきたのかの実例を紹介してもらいます。

＜話を聞いた人＞

平岡豊さん：日立ソリューションズ・クリエイト所属のホワイトハットハッカー。セキュリティ診断サービスにおいて手動によるセキュリティ診断や、診断前後の相談対応などを担当する。

1. セキュリティ診断サービスの概要や利用企業の傾向
2. セキュリティ診断によって、こんなぜい弱性が発覚します！
3. セキュリティ診断サービス実施に適したタイミングとは
4. 「セキュリティ診断サービス」のご案内

セキュリティ診断サービスの概要や利用企業の傾向

―まず、セキュリティ診断サービスの概要について教えてください。

平岡さん
「セキュリティ診断とは、Webアプリケーションやネットワーク機器のぜい弱性の有無や内容を、疑似攻撃によって調査することです。

このサービスの内容は主にふたつあります。ひとつは、Webアプリケーション診断といって、ホームページなどのWebコンテンツに対するぜい弱性を診断するものです。

もうひとつはネットワーク型診断で、お客さまのネットワーク機器に対して、稼働しているサービスなどのぜい弱性をネットワーク経由で診断します。サーバーやファイアウォールなど、IPアドレスが付与されているネットワーク機器に対するぜい弱性が確認できるのが特徴です。

これらの診断には、スタンダードとプロフェッショナルという、ふたつの診断レベルを用意しています。スタンダードは専用ツールによる診断のみですが、プロフェッショナルではツール診断に加え、私のようなホワイトハットハッカーによる手動での診断も行います」

―セキュリティ診断の結果は、どのような形でフィードバックされるのでしょうか？

平岡さん
「スタンダードではツールが自動生成した診断結果を、プロフェッショナルでは検出したぜい弱性の内容に加え、ホワイトハットハッカーが対策の重要度、今後の対処方法などを、お客さまにお渡ししています」

―サービスを利用されるのはどのような企業で、どのような意向があるのでしょうか？

平岡さん
「セキュリティ対策は全業種に共通する課題なので、幅広い業種の企業から依頼をいただきます。強いて言えば、銀行など金融機関の利用が多いかもしれません。

依頼されるお客さまは『第三者的な目線でチェックしてほしい』という意向が強い印象です。エンジニアの中ではセキュリティ診断はすでに普及しているので、自身で対策している企業も多くあります。しかしそれでも『きちんとぜい弱性を取り除けているのか』『安全なシステムになっているのか』という点を外部からチェックしてほしい、というニーズがあるのです」

セキュリティ診断によって、こんなぜい弱性が発覚します！

―セキュリティ診断サービスでは、実際にどのようなぜい弱性や問題が見つかっていますか？

平岡さん
「発見されるぜい弱性は企業によってさまざまです。『ぜい弱性』の種類は世界共通で定められていますが、それ以外の部分でもツールでは検出できないシステム的な不備が発見され、お客さまに喜ばれることも比較的多いです。

もちろんぜい弱性が発見されないケースもあります。セキュリティ対策に力を入れているお客さまや、定期的にセキュリティ診断を実施されているお客さまに多いです」

実例その1：ホームページのログイン権限に関するぜい弱性の発覚

平岡さん
「ある企業のホームページでは、一般ユーザーがログインして閲覧できるページ、管理者だけがログインして閲覧できるページに分かれていました。しかし『ユーザー権限』のアカウントでも『管理者だけがログインして閲覧できるページ』に入ることができてしまいました。アクセス権限に不備があったという事例です。

これはツールではなく手動による診断で発見しました。経験上『もしかしたら』と試した結果、問題が見つかることもよくあります」

実例その2：ネットワークに関するぜい弱性の発覚

平岡さん
「ある企業のネットワークに対して診断を実施したところ、本来なら作動するはずのないサービスが稼働していたというケースがありました。どうやら、お客さまがそのシステムを補修する際に、そのサービスを本番環境に上げたままにしていたのが原因だったようです。

お客さまはその不要なサービスを停止し、保守マニュアルに再発防止策を盛り込んでいました」

実例その3：暗号強度に関するぜい弱性の発覚

平岡さん
「ある企業のホームページで使われている暗号強度が弱く、その強度を高めるような指摘をしたケースもあります。こうした場合、サーバー設定などの調整が必要です。

暗号強度が弱いと、ハッカーなどに暗号を解読されて通信内容を閲覧・取得されてしまうリスクに繋がります。つまり情報漏洩の原因になるのです」

セキュリティ診断サービス実施に適したタイミングとは

―セキュリティ診断サービスはどのようなタイミングで実施するのがおすすめですか？

平岡さん
「まず、ホームページやネットワーク機能を改修・リリースする前です。新しい要素が入るタイミングでは、どうしてもセキュリティにぜい弱性が生まれやすくなるので、発表する前にチェックすることをおすすめしています。

次に、四半期毎や半期毎など、定期的にチェックすることも重要です。サーバーやアプリケーションなどは、利用を続けていると次第にぜい弱性が発見され増えていきます。そのため、人間の健康診断のように定期的に確認する必要性があるのです。さらに、定期的に診断するお客さまの3割ほどからは、ぜい弱性に対する修正作業が終わってから再診断も申し込まれています。

この他、実際にサイバー攻撃を受け、インシデントが発生してから依頼される場合もあります。こうしたお客さまは、これまでセキュリティ対策にあまり力を入れられなかった企業が多い印象です。しかし攻撃を受けてからだと、業務を停止して損失が膨らんだり、その先のお客さまにも迷惑をかけてしまったりしている場合が多いので、そうした事態が起きる前にセキュリティ診断を受けてほしい、という思いがあります」

―セキュリティ診断サービスのスタンダードとプロフェッショナルは、どう使い分けたらよいのでしょうか。

平岡さん
「初めてセキュリティ診断を行う場合や、新しくホームページやネットワーク機能をリリースする場合では、ぜい弱性が見つかる可能性が高いので、プロフェッショナルをおすすめしています。このタイミングで多くのぜい弱性が発見できると、お客さまに喜ばれますね。一方、何度目かの定期診断であれば、スタンダードでの利用でも問題ないと思います。こうした診断レベルの選択に関しては、申込みの前にご相談いただけます。

また、一般に公開していない社内ネットワークを診断する場合には、お客さま先まで伺って対応する場合もあります。古いOSやアプリケーションからぜい弱性が多く見つかることも多いです。この場合、お客さまにもよりますが、システムを新しいバージョンに一新する対応を取ることもあります」

―日立ソリューションズ・クリエイトのセキュリティ診断サービスならではの強みを教えてください。

平岡さん
「当社は従来から、セキュリティ診断の提供やホワイトハットハッカーなどセキュリティ技術者の育成に注力しています。そのため、対応実績や対応した案件のバリエーションが豊富です。こうした背景や実績を信頼して、セキュリティ診断サービスをご依頼いただくことが多いと感じます。

また、手動によるセキュリティ診断の内容には、オードソックスな項目以外に、ホワイトハットハッカーの長年の経験による観点も加わります。経験に基づく高度なセキュリティ診断をお望みの企業様には、ぜひ当社のサービスをご利用いただきたいです」

「セキュリティ診断サービス」のご案内

日々使用するWebアプリケーションやネットワーク機器や、これからリリースする新しいWebアプリケーションなどに関するぜい弱性を診断できるのが、日立ソリューションズが提供する「セキュリティ診断サービス」です。診断内容には、長きにわたり培ったホワイトハットハッカーの経験や実績が大いに反映されています。セキュリティ診断サービスに興味のある方はお気軽に問い合わせてください。

「セキュリティ診断サービス」の詳しい説明やお問い合わせはこちらから
・セキュリティ診断サービス

あわせて読みたい

• 【ビジネスコラム】セキュリティに関する記事はこちら