ホワイトハッカーが疑似攻撃!診断結果で適切なセキュリティ対策が可能に|IT探偵しおんが解決!企業潜入調査物語

※この記事はCNET Japan 2019年3月掲載の記事を転載したものです。

外部から「疑似攻撃」で脆弱性を調べる 外部から「疑似攻撃」で脆弱性を調べる

 情報システムのセキュリティ診断にはさまざまな手法があります。

 例えば、ネットワーク機器の構成や設定のチェック、サーバーやDBシステムの設定確認や、最新パッチがあたっているかの確認、そしてWebアプリケーションの設計・ソースコードのレビューを行って、問題がないかを確認するなどです。

 しかし、これらの手法は時間や手間がかかり、その分、費用や担当者の負担が大きくなることは想像に難くありません。

 そこで、おすすめしたいのが、いわゆる「ホワイトハッカー」がインターネット経由で外部から、「本物のサイバー攻撃と同じ手法」を使って脆弱性を診断する手法です。

 ハッカー視点でさまざまな手法を使って攻撃、侵入を図る疑似攻撃によって、脆弱性を発見していくため、実際の「攻撃」にシステムがどこまで耐えられるのかを把握することが可能です。また、自社で診断を行うよりも手軽に診断を行うことができますので、時間もコストも削減できます。

 日立ソリューションズでは、専任技術者であるホワイトハッカーが疑似的に「攻撃」を行う「セキュリティ診断サービス」を提供しています。

 この「セキュリティ診断サービス」では、診断用ツールとともに、ホワイトハッカーが手動で診断を行います。診断項目はIPAの「安全なWebサイトの作り方」、「ウェブ健康診断仕様」やOWASP(Open Web Application Security Project)による「OWASP Top 10 2017」に基づいており、信頼性の高い診断となっています。

 また、診断の結果を「セキュリティ診断結果報告書」にまとめて提出します。再現手順などもわかりやすく詳細に記載されており、脆弱性の修正や、修正後の確認がしやすいようになっています。

10年以上にわたって実績のあるホワイトハッカーが、システムの弱点を洗い出す 10年以上にわたって実績のあるホワイトハッカーが、システムの弱点を洗い出す

 日立ソリューションズでは10年にわたりセキュリティ診断サービスを行っており、これまで中央官庁・自治体、大手企業を含め700あまりの省庁・団体・企業のセキュリティ診断を実施、数多くの脆弱性を発見し、報告してきました。

 近年は、お客さま企業のネットワーク内部に侵入して、情報の取得を試みる「ペネトレーションテスト」の実施も行っています。

 また、セキュリティ技術向上のため、世界中のハッカーが参加する、最も権威のある世界最大のハッキングコンテスト「DEF CON CTF」の予選や、国内最大のセキュリティコンテスト「SECCON」、情報セキュリティトレーニングのグローバルリーダーであるSANS Instituteが主催するハッキングコンテスト「SANS 日本NetWars」などに積極的に参加。Core NetWars 日本大会では2回優勝するなど、その技術力を常に磨いています。

 いつ狙われるか、いつ攻撃されるかわからないサイバー攻撃の脅威に対し、備えを固める第一歩として、日立ソリューションズの「セキュリティ診断サービス」の活用を検討してみてはいかがでしょうか。

後日・・・
しおん
「社長!この間は強力な助っ人をお客さまに紹介できましたね」
社長
「うむ!お客さまに最適な提案ができて本当に良かった」
しおん
「セキュリティの脆弱性にはホワイトハッカーが有効ですからね」
社長
「そうだね、私も頼んでいるからなぁ」
しおん
「私もエンジニアのときには診断サービスにはお世話になりました…」
社長
「日立ソリューションズのお陰でうちのWebサイトのセキュリティは万全だよ!」
しおん
「はい!やはりホワイトハッカーに任せるのが安心ですね!」
社長
「そうそう。心強いからなぁ~」

PDFダウンロード

「IT探偵しおんが解決!企業潜入調査物語」のデジタルデータを閲覧、ご活用いただけます。

トータルセキュリティソリューション コンテンツ一覧