Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

充実してきた脆弱性診断サービス

※本記事はメールマガジン「3分で読める! 今週のITセキュリティ(2005/3/25号)」に掲載されたものです。

個人情報漏洩事件では、紛失や内部犯行など脆弱性とは別の側面からフォーカスされることも少なくない。とはいえ、インターネット上に脆弱性が存在し、攻撃者が常に狙っているのは以前と変わっていない。無論、脆弱性により機密情報が漏洩するケースも後を絶たない。

最近ではフィッシングなど、ウェブ上の詐欺事件も増えており、それらサイトの踏み台などに利用されるなど、被害も発生している。JPCERT/CCによれば、OpenSSHの脆弱性により攻撃され、フィッシングサーバの踏み台になった例だけでも、今年に入って10件以上報告されているという。IPAでも、Eコマースサイトにおける脆弱性対策をウェブ上で解説し、チェックリストを用意するなど、注意を呼びかけている。

JPCERTがOpenSSHの既知脆弱性について警告
http://www.security-next.com/001519.html

IPAがEコマースサイトの脆弱性対策をわかりやすく解説
http://www.security-next.com/001487.html

脆弱性は、日々新しいものが発見され、さらに脆弱性が関係するバージョンや製品など環境ごとに異なるため、管理は、専門家であっても骨の折れる作業だ。また、個別の製品における脆弱性は、ベンダーサイトで常に最新情報をチェックすれば良いが、複数製品を組み合わせ、ネットワークを設計する場合には、予想外の脆弱性が生まれることもあるし、設定時に人為的ミスが発生するなど、常に危険と隣り合わせだ。

さらにウェブアプリケーションなどを独自に開発した場合、バグや仕様上の問題によりセキュリティホールができてしまうケースもあり得る。実際、ウェブアプリケーションが稼動している環境においてセキュアな環境は10%以下という指摘もあるくらいだ。

脆弱性診断サービスの登場

そのような背景もあり、昨今、セキュリティベンダーによる脆弱性診断サービスが増えている。IPやデバイスごとに診断するサービスはもちろん、セキュリティポリシーの運用状況を確認するものなど、さまざまなサービスがある。概観を見てみよう。

まずは、インターネットやイントラネット上のウェブ、メール、DNSなどを提供しているサーバに対し、脆弱性をチェックするものだ。なかには疑似アタックを行うことで、脆弱性を見つけだすものもある。

NECネクサ、セキュリティホール情報と対処法を提供する新サービス
http://www.security-next.com/001564.html

パワードコムら、情報セキュリティの脆弱性診断サービスを提供開始
http://www.security-next.com/001282.html

NRIセキュア、継続的なセキュリティ向上を支援する診断サービスを提供
http://www.security-next.com/001338.html

ウェブに特化したサービスもある。HACKER SAFEは、あらゆるウェブサイトの脆弱性チェックをチェックできる。また、クリアしたサイトは、シールアイコン表示が可能で、TRUSTeやプライバシーマークのように利用者アピールすることも可能だ。また独自に保険も付帯している。

三和コムテックとAIU、HACKER SAFEに個人情報漏洩保険を付帯
http://www.security-next.com/000792.html

メンバーズの「企業 Web診断プログラム」は、ウェブサイト上に個人情報保護法やコンプライアンス的な問題がないか診断するものだ。さらにシマンテックでは、Windowsサーバを対象に個人情報保護法に即しているか監査するサービスを展開している。

メンバーズ、個人情報保護法への違反箇所を診断するプログラムを発売
http://www.security-next.com/001083.html

シマンテック、企業のセキュリティポリシー遵守状況を監査するサービス
http://www.security-next.com/001514.html

また、ウェブが万が一改ざんされてしまった際、自動的に復旧するシステムも登場した。改ざん検知の範囲や期間、報告形式や自動復旧を細かく設定できるのが特徴だ。

富士通SSL、ウェブサイトの改ざんを自動復旧するシステム
http://www.security-next.com/001304.html

サーバ管理において物理的な状況をチェックするサービスもある。不正アクセスや情報漏洩といった観点はもちろん、空調、耐震性など、サーバを保全するにあたって約50種類の診断が行われる。また、日本HPでは、脆弱性ではないが、ハードウェア障害が発生していないか遠隔からモニタリングするサービスを提供している。

サーバルームの安全性診断サービス - NTT西日本
http://www.security-next.com/001563.html

日本HP、ハードウェア障害の遠隔モニタリングサービスを無償提供
http://www.security-next.com/001359.html

外部の脆弱性診断サービスは、社内のチェック体制と異なり、客観的な視点で調査が行われるのが利点だ。また、数万円で利用できるサービスもある。企業のスタイルに合わせてぜひ利用したいサービスのひとつだ。

(Security NEXT - 2005/04/12 ) このエントリーをはてなブックマークに追加

PR

関連記事

MS、2017年最後の月例セキュリティ更新 - 脆弱性32件を修正
「Adobe Flash Player」にセキュリティアップデート - 深刻な脆弱性は含まれず
Apple、「macOS High Sierra 10.13.2」などであわせて脆弱性22件を修正
企業向け認知度調査、もっとも高い「WannaCrypt」でさえ4割満たず
不正アクセスで停止していた関連サイト、3カ月ぶりに再開 - 府中市
行政書士試験の一部答案用紙が所在不明に
ATM記録紙の紛失が判明、誤廃棄の可能性 - 高知銀
パーソナルデータを利活用する「情報銀行」の実証実験 - DNP
制御システムのセキュリティや脅威がテーマのカンファレンス - 2月に都内で
「SECCON Beginners 2018」の支援団体を募集 - SECCON