近年、国内外を問わず大規模なサイバー犯罪が増加しています。昨年の日本国内のサイバー犯罪被害額は220億円と推計されています。また、警察白書(2021年版)によれば、2020年のサイバー犯罪の検挙数は9875件で過去最多を記録しました。海外ではサイバー攻撃によりパイプラインが止められる事件が発生。国内では、大手企業のサーバーが攻撃され、決算発表が延期になってしまったケースもありました。

こうしたリスクを軽減するための施策として、脆弱性診断を実施する企業が急増しています。しかし、「そもそも脆弱性診断を実施する必要性を十分に理解できていない」「各社のサービスの違いや費用対効果が不明瞭」というような疑念を感じる方も少なくありません。そこで、今回は脆弱性診断に関する基礎知識とアスエイト・アドバイザリーがお勧めする「自己脆弱性診断ツール(ASVD)」について説明します。

社内システムのリスクを診断する「脆弱性診断」とは

脆弱性診断とは社内ネットワーク、OS(Windows、Linux等)、ミドルウェア(Webサーバー、アプリケーションサーバー、データベース管理サーバー等)、Webアプリケーション(Word Press等のCMS)などに脆弱性がないかを診断することです。

サイバー攻撃から個人情報、機密情報、WEBサービスを守るためのセキュリティ対策を実施するためには、まずセキュリティの問題点(脆弱性)を見つけることが必要です。 脆弱性診断は、ウイルスソフトやOSのバージョンアップなどと同様に必要性が高く、短期間で実施することができます。

具体的な被害を受けてしまえば、会社に甚大な損害をもたらすのがサイバー攻撃です。脆弱性が存在するとそこから侵入され、マルウェアやファイルの改ざん等で情報を搾取されます。その手口は日々進化し金銭目的の犯罪も非常に増加しています。これらの脅威から会社を守るためには、定期的に脆弱性診断を行い、脆弱性やリスクを改善していくことが必須といえます。

 

脆弱性診断を実施する3つの目的とは

脆弱性診断を実施する目的は主として以下の3つを挙げることができます。

 

サイバー攻撃による情報漏洩等の被害を防ぐ

脆弱性診断の第一の目的は「セキュリティの穴」を発見し、サイバー攻撃などによる不正アクセス、機密情報漏洩、WEBサイトの改ざんなどを事前に防ぐことです。脆弱性診断によって検出された脆弱性に対して必要な措置を実施することで、システムのセキュリティレベルを向上することができます。

 

自社システムの脆弱性を知りセキュリティに対する意識を高める

自社システムの脆弱性を認識することで、社内ネットワーク全体を安心して使用できるベースを構築することが可能となります。自社システムの脆弱性は情報漏洩やセキュリティ攻撃など社内ネットワーク全体の安全性を揺るがしかねません。脆弱性診断を実施することは事故発生リスクを低減させ、結果的にセキュリティ対策コストの削減にもつながります。

 

自社WEBサイトを安全に外部へ提供するため

自社のWEBサイト利用者に安心して利用いただくためにも脆弱性を払拭する必要があります。安全なWebサイトであることを維持し続けるためには、脆弱性診断は欠かすことはできません。オンラインショップや自社開発システムなどは様々なプログラムが動作していて、特に脆弱性が発生しやすいからです。

 

一般的な脆弱性診断ツールとは異なる「自己脆弱性診断」でコスト削減

脆弱性診断は、診断の都度コストがかかってしまうことが一般的です。しかし、アスエイト・アドバイザリーが提供する「自己脆弱性診断(ASVD」を導入すれば、自社内でいつでも診断をすることができます。また、単に脆弱性診断ツールを提供するだけではなく、セキュリティエンジニアが貴社を全面的にバックアップします。メンテナンスは弊社が実施するため、常に最新の脆弱性情報を使用し、潜在的な脅威を発見することができるのです。

アスエイト・アドバイザリーが提供する脆弱性診断ツール「ASVD(Asueito Self Vulnerability diagnosis)」の特徴は以下の4点です。

 

知識ゼロでも安心できる簡単な操作性とチャットによる質問対応!

「ASVD」では、脆弱性診断の会社も使用しているツールを活用しながら「いつでも診断できる環境」を提供します。操作は非常に簡単。「ASVD」にアクセスし「診断実行」ボタンをクリックするだけです。また、画面操作や診断結果などで分からないことがあれば、チャットを使用して何度でも質問することが可能です。

 

圧倒的なコスト削減を実現!

「ASVD」は単なる脆弱性診断ではなく、弊社が貴社と並走して実施する診断サービスで、診断会社に作業を丸投げする一般的なサービスとは異なります。一般的な診断会社は、ツールを使う部分とエンジニアが手を動かす部分がありますが、私たちはツールの部分をオープンにして、お客様が活用することによって診断会社に丸投げではなくなるのでコストが抑えられます。この仕組みによって大幅にコストを抑えることが可能です。

 

広域な診断範囲

「ASVD」は、TCP ポートスキャン、UDP ポートスキャン、ICMP スキャン、公開されているシステム、OSの推測、OSの脆弱性、OSの設定不備、ミドルウェアの脆弱性 (Web サーバー、SMTPサーバー、SSHサーバー、FTPサーバー等)、ミドルウェアの設定不備

ネットワーク /IoT 機器の脆弱性、ネットワーク /IoT 機器の設定不備、パスワード総当たり攻撃(Brute Force)、DoS 攻撃成功の可能性、CMS ソフトウェア(含むプラグイン)脆弱性等 50項目以上の診断が可能です。

 

インシデントに強いセキュリティベンダー

アスエイト・アドバイザリーは、元サイバー捜査官や公認不正検査士などのプロフェッショナル集団です。平時のセキュリティ運用に加えて、インシデント発生時にはデジタル・フォレンジック調査の専門家が原因と被害範囲を特定し、かつ、再発防止策の提案・構築を実施します。

社内のセキュリティリテラシーを高めることが可能となり、外部診断と比べてコストも削減できる上、「いつでも」「何度でも」診断ができるため高い安全性も担保されるというのが「ASVD」の特徴です。導入方法・期間・費用・フォローアップ体制について弊社スタッフが分かりやすく説明いたしますのでお気軽にお問い合わせください。