2021年06月08日

脆弱性診断とは?

開発部だより 第429回


こんにちは、クライフです。

今回は、脆弱性診断についてお話します。

脆弱性診断とは、システムやネットワーク内を調査し、システム上に潜む脆弱性やサイバー攻撃に対する問題点や耐久度を診断するサービスです。

セキュリティの専門家が、攻撃手法の研究結果や実際の運用経験のフィードバックを基に、攻撃者の視点で、さまざまな擬似攻撃を行い、脆弱性や耐性を診断するものです。

サイバー攻撃の被害件数は年々増加傾向にあり、攻撃手法自体も高度化、複雑化しています。又、攻撃基盤のサービス化などにより、攻撃に必要なコストやスキルは低下しつつあると言われています。

この様な攻撃者優位の情勢において、守り側である企業があらゆる脅威に備えるのであれば、莫大な投資を継続することを強いられることになります。

その状況を回避するために、守り側は限られたリソースを最も効果の高いリスクに対して割り当てることが求められます。
この最も効果の高いリスクを主にシステム観点から洗い出すのが脆弱性診断です。

脆弱性診断を効果的に実施するために知っておきたい、ツール/サービス選択のポイントは以下となり、診断対象範囲は大きく分けて3個あります。

(1)Web アプリケーション診断
Web アプリケーション内にフォーカスした診断です。
診断項目には、サイバー攻撃に対する脆弱性、セッション管理診断、ユーザ認証診断、パラメータ操作診断、暗号化方式の診断、画面設計の診断などがあります。

(2)プラットフォーム診断
サーバやネットワーク機器の安全性を診断します。
診断項目には、ネットワークスキャン、ポートスキャン、アプリケーションバナー情報の調査、メールサーバの不正利用、スパムリレーやセキュリティホールのチェック、OS とアプリケーションのセキュリティなどがあります。

(3)データベース診断
データベースの安全性に特化して診断します。
診断項目には、パスワードやアクセス権限の設定、不要なアカウント、ストアドプロシージャの有無、監査設定やネットワーク接続の設定などがあります。

最後に、SATT製品である、学び〜とsmart Force大学支援システム等について
脆弱性診断は必須で実施しています。
常に顧客ファースト・高品質な製品を提供し続ける事が、高い信頼性のある
企業と認識される様に考えられています。

☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆
SATTでは様々な無料セミナー・研修を開催しています。
お気軽にお問い合わせ下さい。
☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆
posted by クライフ at 15:11
ニュース・教育トピックス | コメント(0)
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。