情報システムのセキュリティ診断にはさまざまな手法があります。
例えば、ネットワーク機器の構成や設定のチェック、サーバーやDBシステムの設定確認や、最新パッチがあたっているかの確認、そしてWebアプリケーションの設計・ソースコードのレビューを行って、問題がないかを確認するなどです。
しかし、これらの手法は時間や手間がかかり、その分、費用や担当者の負担が大きくなることは想像に難くありません。
そこで、おすすめしたいのが、いわゆる「ホワイトハッカー」がインターネット経由で外部から、「本物のサイバー攻撃と同じ手法」を使って脆弱性を診断する手法です。
ハッカー視点でさまざまな手法を使って攻撃、侵入を図る疑似攻撃によって、脆弱性を発見していきますので、実際の「攻撃」にシステムがどこまで耐えられるのかを把握することが可能です。また、自社で診断を行うよりも手軽に診断を行うことができますので、時間もコストも削減できます。
日立ソリューションズでは、専任技術者であるホワイトハッカーが疑似的に「攻撃」を行う「セキュリティ診断サービス」を提供しています。
この「セキュリティ診断サービス」では、診断用ツールとともに、ホワイトハッカーが手動で診断を行います。診断項目はIPAの「安全なWebサイトの作り方」、「ウェブ健康診断仕様」やOWASP(Open Web Application Security Project)による「OWASP Top 10 2017」に基づいており、信頼性の高い診断となっています。
また、診断の結果を「セキュリティ診断結果報告書」にまとめて提出します。再現手順などもわかりやすく詳細に記載されており、脆弱性の修正や、修正後の確認がしやすいようになっています。
日立ソリューションズでは10年にわたりセキュリティ診断サービスを行っており、これまで中央官庁・自治体、大手企業を含め700あまりの省庁・団体・企業のセキュリティ診断を実施、数多くの脆弱性を発見し、報告してきました。
近年は、お客様企業のネットワーク内部に侵入して、情報の取得を試みる「ペネトレーションテスト」の実施も行っております。
また、セキュリティ技術向上のため、世界中のハッカーが参加する、最も権威のある世界最大のハッキングコンテスト「DEF CON CTF」の予選や、国内最大のセキュリティコンテスト「SECCON」、情報セキュリティトレーニングのグローバルリーダーであるSANS Instituteが主催するハッキングコンテスト「SANS 日本NetWars」などに積極的に参加。Core NetWars 日本大会では2回優勝するなど、その技術力を常に磨いています。
いつ狙われるか、いつ攻撃されるかわからないサイバー攻撃の脅威に対し、備えを固める第一歩として、日立ソリューションズの「セキュリティ診断サービス」の活用を検討してみてはいかがでしょうか。