ECサイトなど顧客情報を扱うWebアプリケーションはもちろんですが、企業情報をまとめた静的なWebサイトであっても、油断は禁物です。個人情報漏洩、Webサイト改ざん、サーバーを踏み台にされ、攻撃の加害者になっていた…など大きな問題に発展しかねません。にもかかわらず、脆弱性が放置されたままのWebサイトは想像以上に多いのです。
実際に、日立ソリューションズの「セキュリティ診断サービス」でWebサイトを診断・分析したところ、下表のとおり多くの企業で重大な脆弱性が発見されました。
上記表の企業はそれぞれ業界を代表する一流企業です。これらの企業は「セキュリティ診断サービス」によって脆弱性を発見し対処することができましたが、自社のWebサイトに潜んでいるかもしれない脆弱性を放置している企業は少なくないと思われます。Webアプリケーション開発時に脆弱性テストを実施しているケースもあるとは思いますが、攻撃手法は日々進化しており、いつ顧客情報や機密情報などを抜き取られてもおかしくない状況といえます。
Webサイトがセキュアかどうか現状を分析するにはさまざまな方法があります。本格的に精査するとなると、システムやサーバーの設計資料やログをすべて用意し、ソースコードを解析し…と時間もコストもかかるのが実情です。このように“内部”から分析する方法に対し、比較的手軽に実施できるのが“外部”から疑似攻撃によるブラックボックステストを実施することで、脆弱性の有無を診断するセキュリティ診断です。まずは、重要なWebサイトだけでも診断してみることをお勧めします。
ひと言にセキュリティ診断と言ってもさまざまで、手軽に使える「フリーの簡易診断ツール」も存在します。しかし、こういったツールはあくまで簡易的なもので、脆弱性を見逃す可能性があります。これに対し、「高度な診断ツール」による診断と専任技術者(ホワイトハッカー)による手動診断を組み合わせることで、しっかりとした診断を実現するのが日立ソリューションズの「セキュリティ診断サービス」です。以下では、15年間にわたり630社以上(2017年4月時点)の実績を誇る同サービスをご紹介します。
高度な診断ツールを用いたWebアプリケーションの網羅的な診断に加えて、専任技術者(ホワイトハッカー)による手動診断を実施します。10年クラスのキャリアを持ち、セキュリティやネットワークに関して高度な知識を持つスペシャリストがそれぞれのWebアプリケーションごとの特性や“攻撃しやすそうな”ポイントを踏まえ診断。ツールでは発見できない脆弱性に対応します。
※ホワイトハッカーによる手動診断が含まれないメニューもございます。詳しくはお問い合わせください。
一般的に、ツールによるWebアプリケーション診断では「チェックしたものの結果が専門用語だらけで結局どんな状況なのか分からない」という声も聞かれますが、日立ソリューションズの「セキュリティ診断サービス」はその報告書も特長的です。発見された脆弱性についてその危険度や、再現手順まで記載。どういった攻撃で、どのような被害が発生するのかが明確で、問題点を理解しやすい。さらには修正方法に関する情報についても説明があり、どう対応すればよいのか分かりやすいと好評です。
基本的には「ツール+手動」での診断を推奨しますが、まずはスピードを重視してツールだけの診断を選ぶことも可能です。さらに報告書に加えて、セキュリティのプロによる報告会や、脆弱性修正後の再診断などのオプションも用意されています。Webアプリケーションに加えて、Web APIやiOS/Androidアプリ(※)の診断にも対応。そもそもどこから始めればよいのか分からない…という方向けに、診断対象画面の選定も支援可能ですので、お困りでしたらまずはご相談ください。
※Web API診断、アプリ診断は条件によります。詳しくはお問い合わせください。
※iOS/Androidのスマホアプリ診断は、グローバルセキュリティエキスパート株式会社との協業サービスです。
「セキュリティ診断サービス」では、Webアプリケーション診断のほか、サーバーやネットワークデバイスのセキュリティホールなどを診断する「ネットワーク型診断サービス」、OSやミドルウェアのセキュリティを診断する「ホスト型診断サービス」をあわせて提供しており、統合的なセキュリティを診断することができます。
「うちのセキュリティは大丈夫なのか?」となんとなく不安を感じながらも、そのままになっていませんか。どんな企業であってもWebサイトを公開している以上、攻撃のリスクはあります。情報漏洩やWebサイト改ざんなどの被害に遭ってからでは手遅れです。「セキュリティ診断サービス」はお問い合わせも多く、人気サービスの1つとなっています。気になる方は、まずはとにかく1度ご相談ください。
