セキュリティ診断の基本機能とは?
セキュリティ診断サービスは診断対象によって、独自開発したWebアプリケーションを対象とする「Webアプリケーション診断」、サーバやネットワーク機器を対象とした「ネットワーク(プラットフォーム)診断」、データベースの安全性を診断し、セキュリティ上の問題点を発見する「データベース診断」という3つに分類できる。
Webアプリケーション診断の主な診断項目は、セッション管理診断、認証診断、パラメータ操作診断(クロスサイトスクリプティング、SQLインジェクション、パラメータ改ざん等の診断)、暗号化方式の診断、画面設計の診断など。
ネットワーク診断では、ネットワークスキャン、ポートスキャン、アプリケーションバナー情報の調査、スパムリレーやセキュリティホールのチェックなどが主要項目となる。
データベース診断では、アカウント・パスワードやアクセス権限の設定、不要なアカウント、サービス、ストアドプロシージャ(データベース管理システムに保存されている、データベースに対する一連の処理をまとめたプログラム)の有無、監査設定やネットワーク接続の設定、バッチの適応状況のチェックなどが行われる。
セキュリティ診断の導入メリットとは?
万が一、情報漏洩が発生してしまうと、自社の被害だけにとどまらず、関係者への謝罪や賠償などの事後対応に加え、社会的信頼の失墜など多くの代償が生じる。セキュリティ診断サービスを受けることは、こうした企業価値損失の未然防止につながる。情報システム部門がセキュリティ対策を行っていたとしても、日々進化する攻撃手法をウォッチし、常に対策を施し続けるのは難しい。常に最新の攻撃手法を監視し、その対応策を開発し続ける専門家に託すほうが得策という見方もある。脆弱性の発見だけにとどまらず、対策手段やその優先順位を提案してくれるサービス事業者も多いため、脆弱性発見時の迅速な修正対応が可能という点もメリットと言える。
