経済産業省では、情報セキュリティサービスについて、一定の品質の維持・向上に努めていることを第三者が客観的に判断し明らかにするための基準として、情報セキュリティサービス基準 を設けて公表しています。
サイバートラストの脆弱性診断サービスは、この「情報セキュリティサービス基準」に準拠し、認定登録されています。
IPA (独立行政法人情報推進機構) は、IT 社会の安全を目的としてサイバー攻撃情報やセキュリティ対策情報を発信している機関です。
IT の利便性の向上と同時に起こるサイバー攻撃の増加と多様化へ対処するため、IPA ではサイバー攻撃から企業・組織を守る取り組みを行っています。
その取り組みの一つとして、IPA は届出を受けた脆弱性関連情報を基に、ウェブサイト開発者や運営者が適切なセキュリティを考慮したサイトを構築するための資料「安全なウェブサイトの作り方 」を公開しています。
サイバートラストでは、このチェックリストに準拠した診断サービスを実施・提供しております。
また、その他のセキュリティガイドライン (WASC、OWASP TOP10、OWASP ASVS) も加味した診断項目でサービスを提供しております。
サイバートラストが提供する「脆弱性診断サービス」は、情報システムに対し最新のサイバー攻撃を熟知した専門のセキュリティエンジニアが、攻撃者の視点で情報システムの脆弱性を徹底的に調査。情報システムの潜在的な問題点を洗い出し、適切な対策を講じるために情報システムの安全性を確認・評価します。
サイバートラストの脆弱性診断サービスは、お客様が運用・管理している情報システムに対し、攻撃者の視点から様々な手法によりシステムに内在する脆弱性を徹底的に調査し、検出された問題に対する最適な対策を提案します。脆弱性診断サービスの診断項目は、IPA をはじめとしたセキュリティ機関の勧告およびサイバートラストの脆弱性診断の実績に基づき選定しています。この診断項目により、広く脆弱性を網羅した診断を実施します。
従来までのネットワーク診断に加え、クラウドやオンプレミスのホストなどのメニューを加え、新たにプラットフォーム診断として生まれ変わりました。
PCI DSS v4.0 で必須となる認証スキャンに対応した『ホスト診断』もこちらでご案内しております。
ペネトレーションテストとは、実際の攻撃を想定した疑似攻撃を行いシステムに対して侵入を試みることで、脆弱性のチェックをはじめとしたセキュリティ耐性や、あるいは設計上の問題などをテストする手法のことです。
企業システムや商用システム向けのペネトレーションテストに加え、専門性の高いペネトレーションメニューもご用意しております。
企業が保有する顧客情報や技術情報等を狙うサイバー攻撃は増加傾向にありその手口は巧妙化しています。
企業戦略として、IT やセキュリティに対する投資等をどの程度行うかなど、経営者による判断が必要となっています。
経済産業省では、IPA とともに、大企業及び中小企業の経営者を対象に、サイバーセキュリティ対策を推進するため、サイバーセキュリティ経営ガイドライン を策定しています。
サイバートラストは、経営課題として取り組むべき組織のセキュリティ体制の監査及びソリューションについての様々なサービスを、サイバーセキュリティ経営診断サービスとしてご提供しています。
脆弱性診断,ツール診断,AI人工知能
サイバー攻撃, Log4j,セキュリティインシデント事例
脆弱性対策,サイバーセキュリティ対策,企業セキュリティ
顧客管理や在庫受発注管理の基幹系システム、EC サイトやコーポレートサイト――。情報システムはすでに企業・個人にとって欠かすことができないものになりました。クラウドやモバイルといったテクノロジーを活用することで情報システムの利用範囲もさらに広がり、その重要度は加速度的に増していきます。システムにアクセスするエンドポイントデバイスも企業内 PC だけでなく公衆回線を利用したタブレット・スマートフォンなど多様化が進んでおり、今後は RFID やセンサーなどの IoT デバイスの活用も増加するでしょう。
しかし、独立行政法人情報処理推進機構(IPA)の調査※によれば、約 40 %の企業がサイバー攻撃を受けた経験があるものの、サイバー攻撃の発覚経緯の約半数は外部からの指摘によるものとされています。つまり、多くの企業は、実際にはサイバー攻撃による被害を受けていても、そのことに気づいていない場合が多いのです。さらにその被害は、企業だけにとどまらず、取引先、顧客などさまざまなステークホルダーに対しても損害を与えます。被害は場合により、経営責任や法的責任も問われる可能性が高まっています。そのため、経済産業省は、最新の『サイバーセキュリティ経営ガイドライン』(2017)において、「サイバーセキュリティリスクに対応するための仕組みを構築」することが重要と指摘しています。
では、「サイバーセキュリティリスクに対応するための仕組みを構築」するには、どのようにすればよいでしょうか?
その第一歩は、現状を理解し、やるべきことを明確にする『脆弱性診断』を行うことなのです。
※企業の CISO や CSIRT に関する実態調査 2016 調査報告書
