後悔する前に「セキュリティ診断サービス」

この記事をtweetする このエントリーをはてなブックマークに追加

製品の基礎をきちんと理解! IT製品解体新書

後悔する前に「セキュリティ診断サービス」

2009/01/26


 個人情報保護法の施行をきっかけに、新聞などでも情報漏洩に関するニュースを目にする機会が増えている。そんなセキュリティに対する意識や関心の高まりとともに、現在では何のセキュリティ対策も講じない企業は極めて少なくなってきてはいる。しかし、漏洩事件は後を絶たない。そこで注目されているのが、企業の情報システムに潜むセキュリティ上の問題を発見し、適切な対策を提案してくれる「セキュリティ診断サービス」。である。今回は、脆弱性の実態や被害および、代表的なセキュリティ診断サービスの概要を解説していく。

セキュリティ診断サービス

※「セキュリティ診断サービス/後悔する前に「セキュリティ診断サービス」」の記事を一部ご紹介します。会員登録を行い、 ログインすると、「セキュリティ診断サービス/後悔する前に「セキュリティ診断サービス」」の記事全文がお読みいただけます。

会員登録はこちら(無料)

セキュリティ診断サービスの選び方ガイドへ


1

セキュリティ診断サービスを解体しよう!

1-1

脆弱性の現状と企業のセキュリティ対策の実態

 セキュリティに対する世の中の目が厳しく、高いレベルでのセキュリティ対策が法律やガイドラインなどでも要請されている昨今、ほとんどの企業で対策の必要性は認識され、何らかの対策も講じられている。しかしながら、漏洩事件は後を絶たない。例えば2008年4月には楽器や音響機器販売を手掛けるA社が、2006年からの不正アクセスに気づかず、9万7000件を超えるカード情報が流出した可能性があることが、カード会社からの指摘で分かったという。また2008年8月には、アウトドア商品や釣具の通販サイトを運営するB社でも、65万件にも及ぶカードの情報が流出した可能性があることを、これもカード会社からの指摘で分かったことが報告されている。
  NRIセキュアテクノロジーズが2008年7月に発表したレポートによると、同社が調査を実施した169のWebサイトのうち、41%に「重要情報に不正アクセスできる」などの致命的な欠陥があることが確認されたという。

図1 年度別Webサイトのセキュリティ診断結果
図1 年度別Webサイトのセキュリティ診断結果
(資料提供:NRIセキュアテクノロジーズ)

 特に問題が多く発見されているのが、なりすましや権限昇格による管理者機能へのアクセス、SQLインジェクションやクロスサイトスクリプティングなどである。なりすましは年々、発見頻度が減少している一方、SQLインジェクションやクロスサイトスクリプティングの発見割合は一定、もしくは増加傾向にある。

図2 主要な問題別の発見割合
図2 主要な問題別の発見割合
(資料提供:NRIセキュアテクノロジーズ)

 現在、ほとんどの企業でファイアウォールを設置し、OSやサーバプログラムの設定をセキュアにする、セキュリティパッチを随時適用する、などの一般的なセキュリティ対策を施している。しかし、いかに細心の注意を払おうとも、人手に頼ることも多いシステム開発において、完全なセキュリティ対策を実施することは難しいのが現状だ。例えば、WebアプリケーションへのアクセスはHTTP/SSLなどのプロトコルが用いられるが、これらはファイアウォールを素通りする。もし脆弱なWebアプリケーションがあれば、それを足がかりに情報漏洩が発生してしまう可能性が広がる。もちろん、サーバやルータ、ファイアウォールの設定ミスも皆無でない場合もあるだろう。これらのセキュリティ対策漏れの発見に有効なのがセキュリティ診断サービスなのである。

図3 一般的なセキュリティ対策の脆弱性
図3 一般的なセキュリティ対策の脆弱性
(資料提供:NTTデータ・セキュリティ)

…この記事の続きは、会員限定です。  会員登録はこちら(無料)

続きを読むには…
会員登録いただくと自動的にこの記事に戻り、続きが読めます。

会員登録(無料)・ログイン

このページの先頭へ

セキュリティ診断サービス/後悔する前に「セキュリティ診断サービス」」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「セキュリティ診断サービス」関連情報をランダムに表示しています。

セキュリティ診断サービス」関連の製品

WAF/DDoS対策サービス TrustShelter/WAF 【NTTソフトウェア】
WAF
簡単かつ低コストに、Webサイトセキュリティを強化できる、WAF/DDoS対策サービス。クラウド型WAFなら運用も導入企業側で行わずにすむ。オンプレミス型WAFの提供も可能。

セキュリティ診断サービス」関連の特集


カード情報は現状どう取り扱われているのか?データをひもときつつ、他業種でも参考にできるPCI DSS…



企業へのサイバー攻撃は、日増しに巧妙化している…。セキュリティ対策不足は情報漏洩等、大きなリスクにつ…



Webアプリやネットワークに「疑似攻撃」を実施することで、脆弱性を発見する「セキュリティ診断サービス…


「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

セキュリティ診断サービス/ 後悔する前に「セキュリティ診断サービス」」の記事を一部ご紹介しました。
会員登録を行い、ログインすると、「セキュリティ診断サービス/ 後悔する前に「セキュリティ診断サービス」」の記事の続きがお読みいただけます。


Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2


30002925


IT・IT製品TOP > ネットワークセキュリティ > セキュリティ診断 > セキュリティ診断のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ