「セキュリティ診断」に関する製品情報やサービスの比較・事例、セミナーやニュース

セキュリティ診断

セキュリティ診断サービスとは、セキュリティの専門家が擬似的な攻撃をツール、あるいは人手を介して実施し、情報システムのセキュリティの中に潜む脆弱性を調査するサービス。調査の結果報告だけではなく、発見された問題についての改善策まで提示することが多い。大部分の企業では既に多様なセキュリティ対策を施しているはずだが、情報漏洩事件が後を絶たないことからも分かるように、完全な防御を実現することは難しい。そこで、セキュリティの対策漏れや設定ミスの発見に有効な手段として用いられている。

セキュリティ診断の新着カタログ

セキュリティ診断の新着記事

セキュリティ診断の基本機能とは?

セキュリティ診断サービスは診断対象によって、独自開発したWebアプリケーションを対象とする「Webアプリケーション診断」、サーバやネットワーク機器を対象とした「ネットワーク(プラットフォーム)診断」、データベースの安全性を診断し、セキュリティ上の問題点を発見する「データベース診断」という3つに分類できる。
Webアプリケーション診断の主な診断項目は、セッション管理診断、認証診断、パラメータ操作診断(クロスサイトスクリプティング、SQLインジェクション、パラメータ改ざん等の診断)、暗号化方式の診断、画面設計の診断など。
ネットワーク診断では、ネットワークスキャン、ポートスキャン、アプリケーションバナー情報の調査、スパムリレーやセキュリティホールのチェックなどが主要項目となる。
データベース診断では、アカウント・パスワードやアクセス権限の設定、不要なアカウント、サービス、ストアドプロシージャ(データベース管理システムに保存されている、データベースに対する一連の処理をまとめたプログラム)の有無、監査設定やネットワーク接続の設定、バッチの適応状況のチェックなどが行われる。

セキュリティ診断の導入メリットとは?

万が一、情報漏洩が発生してしまうと、自社の被害だけにとどまらず、関係者への謝罪や賠償などの事後対応に加え、社会的信頼の失墜など多くの代償が生じる。セキュリティ診断サービスを受けることは、こうした企業価値損失の未然防止につながる。情報システム部門がセキュリティ対策を行っていたとしても、日々進化する攻撃手法をウォッチし、常に対策を施し続けるのは難しい。常に最新の攻撃手法を監視し、その対応策を開発し続ける専門家に託すほうが得策という見方もある。脆弱性の発見だけにとどまらず、対策手段やその優先順位を提案してくれるサービス事業者も多いため、脆弱性発見時の迅速な修正対応が可能という点もメリットと言える。