Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。
ニュース 政府・業界動向 脆弱性 製品・サービス コラム 過去記事 メルマガ

充実してきた脆弱性診断サービス

※本記事はメールマガジン「3分で読める! 今週のITセキュリティ(2005/3/25号)」に掲載されたものです。

個人情報漏洩事件では、紛失や内部犯行など脆弱性とは別の側面からフォーカスされることも少なくない。とはいえ、インターネット上に脆弱性が存在し、攻撃者が常に狙っているのは以前と変わっていない。無論、脆弱性により機密情報が漏洩するケースも後を絶たない。

最近ではフィッシングなど、ウェブ上の詐欺事件も増えており、それらサイトの踏み台などに利用されるなど、被害も発生している。JPCERT/CCによれば、OpenSSHの脆弱性により攻撃され、フィッシングサーバの踏み台になった例だけでも、今年に入って10件以上報告されているという。IPAでも、Eコマースサイトにおける脆弱性対策をウェブ上で解説し、チェックリストを用意するなど、注意を呼びかけている。

JPCERTがOpenSSHの既知脆弱性について警告
http://www.security-next.com/001519.html

IPAがEコマースサイトの脆弱性対策をわかりやすく解説
http://www.security-next.com/001487.html

脆弱性は、日々新しいものが発見され、さらに脆弱性が関係するバージョンや製品など環境ごとに異なるため、管理は、専門家であっても骨の折れる作業だ。また、個別の製品における脆弱性は、ベンダーサイトで常に最新情報をチェックすれば良いが、複数製品を組み合わせ、ネットワークを設計する場合には、予想外の脆弱性が生まれることもあるし、設定時に人為的ミスが発生するなど、常に危険と隣り合わせだ。

さらにウェブアプリケーションなどを独自に開発した場合、バグや仕様上の問題によりセキュリティホールができてしまうケースもあり得る。実際、ウェブアプリケーションが稼動している環境においてセキュアな環境は10%以下という指摘もあるくらいだ。

脆弱性診断サービスの登場

そのような背景もあり、昨今、セキュリティベンダーによる脆弱性診断サービスが増えている。IPやデバイスごとに診断するサービスはもちろん、セキュリティポリシーの運用状況を確認するものなど、さまざまなサービスがある。概観を見てみよう。

まずは、インターネットやイントラネット上のウェブ、メール、DNSなどを提供しているサーバに対し、脆弱性をチェックするものだ。なかには疑似アタックを行うことで、脆弱性を見つけだすものもある。

NECネクサ、セキュリティホール情報と対処法を提供する新サービス
http://www.security-next.com/001564.html

パワードコムら、情報セキュリティの脆弱性診断サービスを提供開始
http://www.security-next.com/001282.html

NRIセキュア、継続的なセキュリティ向上を支援する診断サービスを提供
http://www.security-next.com/001338.html

ウェブに特化したサービスもある。HACKER SAFEは、あらゆるウェブサイトの脆弱性チェックをチェックできる。また、クリアしたサイトは、シールアイコン表示が可能で、TRUSTeやプライバシーマークのように利用者アピールすることも可能だ。また独自に保険も付帯している。

三和コムテックとAIU、HACKER SAFEに個人情報漏洩保険を付帯
http://www.security-next.com/000792.html

メンバーズの「企業 Web診断プログラム」は、ウェブサイト上に個人情報保護法やコンプライアンス的な問題がないか診断するものだ。さらにシマンテックでは、Windowsサーバを対象に個人情報保護法に即しているか監査するサービスを展開している。

メンバーズ、個人情報保護法への違反箇所を診断するプログラムを発売
http://www.security-next.com/001083.html

シマンテック、企業のセキュリティポリシー遵守状況を監査するサービス
http://www.security-next.com/001514.html

また、ウェブが万が一改ざんされてしまった際、自動的に復旧するシステムも登場した。改ざん検知の範囲や期間、報告形式や自動復旧を細かく設定できるのが特徴だ。

富士通SSL、ウェブサイトの改ざんを自動復旧するシステム
http://www.security-next.com/001304.html

サーバ管理において物理的な状況をチェックするサービスもある。不正アクセスや情報漏洩といった観点はもちろん、空調、耐震性など、サーバを保全するにあたって約50種類の診断が行われる。また、日本HPでは、脆弱性ではないが、ハードウェア障害が発生していないか遠隔からモニタリングするサービスを提供している。

サーバルームの安全性診断サービス - NTT西日本
http://www.security-next.com/001563.html

日本HP、ハードウェア障害の遠隔モニタリングサービスを無償提供
http://www.security-next.com/001359.html

外部の脆弱性診断サービスは、社内のチェック体制と異なり、客観的な視点で調査が行われるのが利点だ。また、数万円で利用できるサービスもある。企業のスタイルに合わせてぜひ利用したいサービスのひとつだ。

(Security NEXT - 2005/04/12 ) このエントリーをはてなブックマークに追加

PR

関連記事

「PAN-OS」脆弱性の詳細や悪用コードが公開済み - 攻撃拡大のおそれ
募金サイトで他人クレカ番号による少額寄付 - 利用できるか確認か
「PAN-OS」脆弱性、攻撃条件を修正 - 一部緩和策が「効果なし」に
Oracle、「Java SE」に関する脆弱性13件を修正
Oracle、四半期定例パッチを公開 - のべ441件の脆弱性に対応
メール誤送信で横断幕掲示応募者のメアド流出 - 飯塚オートレース場
WordPress向けプラグイン「InstaWP Connect」に脆弱性
Windows環境下の複数開発言語に脆弱性「BatBadBut」が判明
LINEヤフーに再度行政指導 - 報告受けるも対応や計画不十分
「Microsoft Edge」にアップデート - 「Chromium」の脆弱性修正を反映

ピックアップ
製品・サービスニュース
Security NEXTとは? | 広告掲載について | 利用規約・免責事項 | 二次利用について | 外部送信について | お詫びと訂正 | 運営会社概要
Copyright (c) NEWSGAIA Co.,Ltd. All rights reserved.