サイバートラスト
脆弱性診断サービス
サイバー攻撃で狙われる脆弱性
脆弱性とは、セキュリティホールとも呼ばれ、OS やソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となるセキュリティ上の欠陥のことです。この脆弱性に対して適切な対応を実施しないと、サイバー攻撃による情報システムへの侵入や改ざん、情報漏洩などの被害が発生することにつながります。
サイバートラストの「脆弱性診断サービス」が情報システムの問題点を発見
サイバートラストが提供する「脆弱性診断サービス」は、情報システムに対し、最新のサイバー攻撃を熟知した専門のセキュリティエンジニアが、攻撃者の視点で情報システムの 脆弱性を徹底的に調査。情報システムの潜在的な問題点を洗い出し、適切な対策を講じるために情報システムの安全性を確認・評価します。
長年の経験と蓄積された知識に裏打ちされた「脆弱性診断サービス」の3つの特長
- 認証局の運営から生み出される豊富な実績
- サイバートラストは、高度なセキュリティが求められる認証局を長年にわたり自社で運営。この経験から導きだされる、攻撃や脆弱性に関する知識と経験を活かした豊富な診断実績でサービスを提供します。
- セキュリティスペシャリストによる高精度の診断
- サイバートラストのサービスは、高度な知識と経験を持つセキュリティスペシャリストによるマニュアル診断が最大の強み。「匠の技」として磨き上げた診断技法を通じ、診断ツールだけでは達成できない脆弱性診断を実施します。
- 安心のお客様フォロー体制
- 専門のセキュリティエンジニアによる報告会の実施や質疑応答、システム改修後の再診断といったサービスもご用意。また、診断期間中に高リスクの脆弱性が確認された場合は、即日の速報レポートを提供します。これにより、早急に脆弱性対策が行えます。
サイバートラストの「脆弱性診断サービス」は 4 つの領域に対応
サイバートラストの脆弱性診断サービスは、お客様が運用・管理している情報システムに対し、攻撃者の視点から様々な手法によりシステムに内在する脆弱性を徹底的に調査し、検出された問題に対する最適な対策を提案します。脆弱性診断サービスの診断項目は、IPA をはじめとしたセキュリティ機関の勧告およびサイバートラストの脆弱性診断の実績に基づき選定しています。この診断項目により、広く脆弱性を網羅した診断を実施します。現在、利用度、重要度の高い「Web アプリケーション診断」「ネットワーク診断」「スマートフォンアプリケーション診断」「IoT デバイス診断」の 4 つの脆弱性診断を提供しています。
Web アプリケーション診断
Web サイトの動的ページに対して診断作業を実施いたします。
ネットワーク診断
システムネットワークを構成する OS、ミドルウェアなどに対して診断を実施いたします。
スマートフォンアプリケーション診断
スマートフォンアプリケーションの脆弱性を調査します。
IoT デバイス診断
IoT システムを構成するデバイスに対して様々な視点から診断を行います。
IoT 脆弱性診断サービス
IoT 脆弱性診断サービスは、IoT デバイス診断に加え、システムを構成するネットワーク、Web アプリケーションなどの診断を横断的に診断いたします。これにより IoT サービス全体の総合的な脆弱性診断サービスをご提供します。
サイバーセキュリティは経営問題
顧客管理や在庫受発注管理の基幹系システム、EC サイトやコーポレートサイト――。情報システムはすでに企業・個人にとって欠かすことができないものになりました。クラウドやモバイルといったテクノロジーを活用することで情報システムの利用範囲もさらに広がり、その重要度は加速度的に増していきます。システムにアクセスするエンドポイントデバイスも企業内 PC だけでなく公衆回線を利用したタブレット・スマートフォンなど多様化が進んでおり、今後は RFID やセンサーなどの IoT デバイスの活用も増加するでしょう。
しかし、独立行政法人情報処理推進機構(IPA)の調査※によれば、約 40 %の企業がサイバー攻撃を受けた経験があるものの、サイバー攻撃の発覚経緯の約半数は外部からの指摘によるものとされています。つまり、多くの企業は、実際にはサイバー攻撃による被害を受けていても、そのことに気づいていない場合が多いのです。さらにその被害は、企業だけにとどまらず、取引先、顧客などさまざまなステークホルダーに対しても損害を与えます。被害は場合により、経営責任や法的責任も問われる可能性が高まっています。そのため、経済産業省は、最新の『サイバーセキュリティ経営ガイドライン』(2017)において、「サイバーセキュリティリスクに対応するための仕組みを構築」することが重要と指摘しています。
では、「サイバーセキュリティリスクに対応するための仕組みを構築」するには、どのようにすればよいでしょうか?
その第一歩は、現状を理解し、やるべきことを明確にする『脆弱性診断』を行うことなのです。
※企業の CISO や CSIRT に関する実態調査 2016 調査報告書
現実社会を襲うサイバー空間からの脅威
脆弱性診断の流れと各段階で行う内容
脆弱性診断の流れは、大きく4 つの段階に分かれます。それぞれの段階で最上のメニューを用意し、お客様が納得できる、ワンランク上の「脆弱性診断サービス」を提供します。
- ヒアリング
-
迅速かつ的確に診断内容とお見積りを提供
- お申込み前に必ずお客様へのヒアリングを行います。
- ヒアリングでは、お客様の抱える課題や希望する診断サービスの種類、希望するオプションサービス、契約前に開示していただける情報、日程などについて伺い、後日、お見積りを提出します。
- お申込
-
じっくりと内容を協議した上でのお申込み
- お申込み前に、見積書と利用規約(契約内容)を確認していただきます。
- 診断日程の調整を行います。
- 診断
-
ヒアリングシートに基づいた的確な診断
- お客様から提示された「ヒアリングシート」に記載された診断対象にについて、診断作業を実施します。
- 「ヒアリングシート」の受領と確認
「ヒアリングシート」記載の診断対象に事前アクセスを行い、診断対象の確認と接続の確認を行います。 - 診断作業
ヒアリングシートに基づき、診断作業を実施します。診断作業は平日 9 時 ~ 18 時に行います。診断期間中は、作業開始時と作業終了時にメールにて連絡します。 - 速報レポート
診断中に高いリスクが確認された場合は、診断期間の終了まで待たずに即日の「速報レポート」を提供します。
- 報告
-
利用目的に合わせて2種類の報告書を用意
- 診断終了後に「診断報告書」を提出します。また、要望によって報告会や再診断といったオプションサービスも提供可能です。
- 診断報告書
診断作業の終了日からおよそ 5 ~ 10 営業日をめどに診断報告書をメールで送信します。診断報告書には、確認された脆弱性やその対策などを記載し、お客様が改善すべき事項を明確に提示します。なお、ハードコピーの診断報告書については、別途、郵送あるいは報告会開催日に提出します。診断報告書には、経営層向けの「エグゼクティブサマリー」と管理者向けの「詳細レポート」の 2 種類があります。診断報告書の内容に関する質問は、メールや電話などで受け付けています。 - 報告会(オプションサービス)
脆弱性診断のスペシャリストによる報告会を実施します。診断によって確認されたリスクや対策方法などについての報告を行います。 - 再診断(オプションサービス)
お客様が修正した脆弱性に関して再診断を実施し、根本的な改修が行われているかどうかを確認します。