充実してきた脆弱性診断サービス
※本記事はメールマガジン「3分で読める! 今週のITセキュリティ(2005/3/25号)」に掲載されたものです。
個人情報漏洩事件では、紛失や内部犯行など脆弱性とは別の側面からフォーカスされることも少なくない。とはいえ、インターネット上に脆弱性が存在し、攻撃者が常に狙っているのは以前と変わっていない。無論、脆弱性により機密情報が漏洩するケースも後を絶たない。
最近ではフィッシングなど、ウェブ上の詐欺事件も増えており、それらサイトの踏み台などに利用されるなど、被害も発生している。JPCERT/CCによれば、OpenSSHの脆弱性により攻撃され、フィッシングサーバの踏み台になった例だけでも、今年に入って10件以上報告されているという。IPAでも、Eコマースサイトにおける脆弱性対策をウェブ上で解説し、チェックリストを用意するなど、注意を呼びかけている。
JPCERTがOpenSSHの既知脆弱性について警告
http://www.security-next.com/001519.html
IPAがEコマースサイトの脆弱性対策をわかりやすく解説
http://www.security-next.com/001487.html
脆弱性は、日々新しいものが発見され、さらに脆弱性が関係するバージョンや製品など環境ごとに異なるため、管理は、専門家であっても骨の折れる作業だ。また、個別の製品における脆弱性は、ベンダーサイトで常に最新情報をチェックすれば良いが、複数製品を組み合わせ、ネットワークを設計する場合には、予想外の脆弱性が生まれることもあるし、設定時に人為的ミスが発生するなど、常に危険と隣り合わせだ。
さらにウェブアプリケーションなどを独自に開発した場合、バグや仕様上の問題によりセキュリティホールができてしまうケースもあり得る。実際、ウェブアプリケーションが稼動している環境においてセキュアな環境は10%以下という指摘もあるくらいだ。
脆弱性診断サービスの登場
そのような背景もあり、昨今、セキュリティベンダーによる脆弱性診断サービスが増えている。IPやデバイスごとに診断するサービスはもちろん、セキュリティポリシーの運用状況を確認するものなど、さまざまなサービスがある。概観を見てみよう。
まずは、インターネットやイントラネット上のウェブ、メール、DNSなどを提供しているサーバに対し、脆弱性をチェックするものだ。なかには疑似アタックを行うことで、脆弱性を見つけだすものもある。
NECネクサ、セキュリティホール情報と対処法を提供する新サービス
http://www.security-next.com/001564.html
パワードコムら、情報セキュリティの脆弱性診断サービスを提供開始
http://www.security-next.com/001282.html
NRIセキュア、継続的なセキュリティ向上を支援する診断サービスを提供
http://www.security-next.com/001338.html
ウェブに特化したサービスもある。HACKER SAFEは、あらゆるウェブサイトの脆弱性チェックをチェックできる。また、クリアしたサイトは、シールアイコン表示が可能で、TRUSTeやプライバシーマークのように利用者アピールすることも可能だ。また独自に保険も付帯している。
三和コムテックとAIU、HACKER SAFEに個人情報漏洩保険を付帯
http://www.security-next.com/000792.html
メンバーズの「企業 Web診断プログラム」は、ウェブサイト上に個人情報保護法やコンプライアンス的な問題がないか診断するものだ。さらにシマンテックでは、Windowsサーバを対象に個人情報保護法に即しているか監査するサービスを展開している。
メンバーズ、個人情報保護法への違反箇所を診断するプログラムを発売
http://www.security-next.com/001083.html
シマンテック、企業のセキュリティポリシー遵守状況を監査するサービス
http://www.security-next.com/001514.html
また、ウェブが万が一改ざんされてしまった際、自動的に復旧するシステムも登場した。改ざん検知の範囲や期間、報告形式や自動復旧を細かく設定できるのが特徴だ。
富士通SSL、ウェブサイトの改ざんを自動復旧するシステム
http://www.security-next.com/001304.html
サーバ管理において物理的な状況をチェックするサービスもある。不正アクセスや情報漏洩といった観点はもちろん、空調、耐震性など、サーバを保全するにあたって約50種類の診断が行われる。また、日本HPでは、脆弱性ではないが、ハードウェア障害が発生していないか遠隔からモニタリングするサービスを提供している。
サーバルームの安全性診断サービス - NTT西日本
http://www.security-next.com/001563.html
日本HP、ハードウェア障害の遠隔モニタリングサービスを無償提供
http://www.security-next.com/001359.html
外部の脆弱性診断サービスは、社内のチェック体制と異なり、客観的な視点で調査が行われるのが利点だ。また、数万円で利用できるサービスもある。企業のスタイルに合わせてぜひ利用したいサービスのひとつだ。
(Security NEXT - 2005/04/12 )
ツイート
PR
関連記事
住基台帳事務を放置、支援措置対象者の個人情報が流出 - 新潟市
「Versa Director」に深刻な脆弱性 - 「DB」の規定パスワードが共通
文字列関数のバグを自動修正する技術 - NTTと早大が共同開発
アンケートメール誤送信でメアド流出 - 子ども支援団体
協力工事会社のファイルサーバに不正アクセス - 東電グループ会社
熊本暴追センターでサポート詐欺被害 - 相談者情報流出の可能性
DDoS攻撃件数は減少するも、最大攻撃規模は拡大 - IIJレポート
スポーツCSチャンネルの通販サイトが改ざん - 個人情報流出の可能性
三越伊勢丹の宅配サービスにPWリスト攻撃 - 不正注文などに注意喚起
WordPress向けスパム対策プラグインに複数の脆弱性 - すでに攻撃も