Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。
ニュース 政府・業界動向 脆弱性 製品・サービス コラム 過去記事 メルマガ

充実してきた脆弱性診断サービス

※本記事はメールマガジン「3分で読める! 今週のITセキュリティ(2005/3/25号)」に掲載されたものです。

個人情報漏洩事件では、紛失や内部犯行など脆弱性とは別の側面からフォーカスされることも少なくない。とはいえ、インターネット上に脆弱性が存在し、攻撃者が常に狙っているのは以前と変わっていない。無論、脆弱性により機密情報が漏洩するケースも後を絶たない。

最近ではフィッシングなど、ウェブ上の詐欺事件も増えており、それらサイトの踏み台などに利用されるなど、被害も発生している。JPCERT/CCによれば、OpenSSHの脆弱性により攻撃され、フィッシングサーバの踏み台になった例だけでも、今年に入って10件以上報告されているという。IPAでも、Eコマースサイトにおける脆弱性対策をウェブ上で解説し、チェックリストを用意するなど、注意を呼びかけている。

JPCERTがOpenSSHの既知脆弱性について警告
http://www.security-next.com/001519.html

IPAがEコマースサイトの脆弱性対策をわかりやすく解説
http://www.security-next.com/001487.html

脆弱性は、日々新しいものが発見され、さらに脆弱性が関係するバージョンや製品など環境ごとに異なるため、管理は、専門家であっても骨の折れる作業だ。また、個別の製品における脆弱性は、ベンダーサイトで常に最新情報をチェックすれば良いが、複数製品を組み合わせ、ネットワークを設計する場合には、予想外の脆弱性が生まれることもあるし、設定時に人為的ミスが発生するなど、常に危険と隣り合わせだ。

さらにウェブアプリケーションなどを独自に開発した場合、バグや仕様上の問題によりセキュリティホールができてしまうケースもあり得る。実際、ウェブアプリケーションが稼動している環境においてセキュアな環境は10%以下という指摘もあるくらいだ。

脆弱性診断サービスの登場

そのような背景もあり、昨今、セキュリティベンダーによる脆弱性診断サービスが増えている。IPやデバイスごとに診断するサービスはもちろん、セキュリティポリシーの運用状況を確認するものなど、さまざまなサービスがある。概観を見てみよう。

まずは、インターネットやイントラネット上のウェブ、メール、DNSなどを提供しているサーバに対し、脆弱性をチェックするものだ。なかには疑似アタックを行うことで、脆弱性を見つけだすものもある。

NECネクサ、セキュリティホール情報と対処法を提供する新サービス
http://www.security-next.com/001564.html

パワードコムら、情報セキュリティの脆弱性診断サービスを提供開始
http://www.security-next.com/001282.html

NRIセキュア、継続的なセキュリティ向上を支援する診断サービスを提供
http://www.security-next.com/001338.html

ウェブに特化したサービスもある。HACKER SAFEは、あらゆるウェブサイトの脆弱性チェックをチェックできる。また、クリアしたサイトは、シールアイコン表示が可能で、TRUSTeやプライバシーマークのように利用者アピールすることも可能だ。また独自に保険も付帯している。

三和コムテックとAIU、HACKER SAFEに個人情報漏洩保険を付帯
http://www.security-next.com/000792.html

メンバーズの「企業 Web診断プログラム」は、ウェブサイト上に個人情報保護法やコンプライアンス的な問題がないか診断するものだ。さらにシマンテックでは、Windowsサーバを対象に個人情報保護法に即しているか監査するサービスを展開している。

メンバーズ、個人情報保護法への違反箇所を診断するプログラムを発売
http://www.security-next.com/001083.html

シマンテック、企業のセキュリティポリシー遵守状況を監査するサービス
http://www.security-next.com/001514.html

また、ウェブが万が一改ざんされてしまった際、自動的に復旧するシステムも登場した。改ざん検知の範囲や期間、報告形式や自動復旧を細かく設定できるのが特徴だ。

富士通SSL、ウェブサイトの改ざんを自動復旧するシステム
http://www.security-next.com/001304.html

サーバ管理において物理的な状況をチェックするサービスもある。不正アクセスや情報漏洩といった観点はもちろん、空調、耐震性など、サーバを保全するにあたって約50種類の診断が行われる。また、日本HPでは、脆弱性ではないが、ハードウェア障害が発生していないか遠隔からモニタリングするサービスを提供している。

サーバルームの安全性診断サービス - NTT西日本
http://www.security-next.com/001563.html

日本HP、ハードウェア障害の遠隔モニタリングサービスを無償提供
http://www.security-next.com/001359.html

外部の脆弱性診断サービスは、社内のチェック体制と異なり、客観的な視点で調査が行われるのが利点だ。また、数万円で利用できるサービスもある。企業のスタイルに合わせてぜひ利用したいサービスのひとつだ。

(Security NEXT - 2005/04/12 ) このエントリーをはてなブックマークに追加

PR

関連記事

フィッシング攻撃支援サブスクの関係者を一斉検挙 - 利用者は約1万人
iOS向けLINEアプリの「金融系モジュール」に脆弱性 - アップデートで修正済み
能登半島地震被災地域の登録セキスペ、登録更新申請期限迫る
添付ファイルと宛先の確認不足が重なる誤送信が発生 - 大塚商会
福岡飲食店のECサイトに不正アクセス - 個人情報流出の可能性
WP向け操作ログ記録プラグインにSQLi脆弱性 - パッチ未提供
グリコでシステム障害、冷蔵食品を出荷停止 - 再開は5月中旬予定
2024年1Qの脆弱性届け出は243件 - 前四半期比約2割減
教員や学生宛てのメールで個人情報含むファイルを誤添付 - 山口大
「Node.js」向けMySQLクライアントにRCE脆弱性

ピックアップ
製品・サービスニュース
Security NEXTとは? | 広告掲載について | 利用規約・免責事項 | 二次利用について | 外部送信について | お詫びと訂正 | 運営会社概要
Copyright (c) NEWSGAIA Co.,Ltd. All rights reserved.