不正アクセスや情報流出のトラブルを未然に回避!脆弱性診断サービスならQT PRO
公開:2019年11月22日
目次
1. セキュリティ対策の必要性
1.1. サイバー攻撃はICT技術と比例して増加
ICT技術が進歩し、日常生活でもビジネスシーンでもインターネットが当たり前のように活用されている。ところが、インターネットの活用の裏側にあるのが、セキュリティの脆弱性をついたサイバー攻撃である。
情報処理推進機構(IPA)脆弱性対策情報の登録状況資料によると、セキュリティの脆弱性の深刻度別報告数は年々増加。特に2015年は28件だったのが2016年は5,127件、2017年は13,769件と近年急増している。これに比例して、サイバー攻撃の数も増加しているのだ。
セキュリティの脆弱性を狙ったサイバー攻撃によって、個人情報や機密などの重要な情報の漏洩、企業システムへの不正侵入、データの改ざんや稼働停止、踏み台利用などの多くのリスクが発生する。その結果、企業の社会的信頼の損失や事業停止に追い込まれてしまう可能性もあるのだ。
1.2. セキュリティに対して事前の予防を行う必要性
業務を円滑に進め、効率化も図るICT技術は、セキュリティ対策を万全にしてこそ役立つものと言える。脆弱性を洗い出し、サイバー攻撃を事前に予防することが、企業の財産や信頼を守ることにつながるだろう。
ところが、サイバー攻撃そのものに対して予防をしたとしても、新たな攻撃方法をしかけてくる可能性が高い。つまり、サイバー攻撃を完全に予防するには、セキュリティの脆弱性そのものを解決しなければいけない。
そこで、脆弱性の見直しや改善ができる、セキュリティの事前予防方法として適切なのが「セキュリティ診断」だ。
1.3. セキュリティ対策の優先順位を明確にすることができるセキュリティ診断
1.4. セキュリティ対策の優先順位を明確にすることができる理由
セキュリティ診断は、企業のOSやミドルウェア、Webアプリケーションなどを対象に脆弱性や設定不備の確認を行う。さらに脆弱性や設定不備そのものに対して、より効果的な対策を提示するため、セキュリティ対策の優先順位を明確にできるのだ。企業として情報漏えいなどの情報セキュリティ事故を防ぐために、最も手をつけなければならない脆弱性を把握することができる。
1.5. セキュリティ診断を行う最適なタイミングについて
セキュリティ診断は「いつ行えばいいか分からない」ということも少なくない。以下のタイミングがセキュリティ診断を行うのに有効である。
- 自社のセキュリティ状況が分からないため、現状を把握したいとき
- 新規のシステム構築時や、システム改修時に脆弱性がないか確認したいとき
- システム監査で「対応が必要」と判断されたとき
- 自社のセキュリティポリシーや業界基準を満たすための診断
1.6. 3種類のセキュリティ診断で優先的に行うべき「プラットフォーム診断」
セキュリティ診断は、Webアプリケーション上の脆弱性や設定不備を診断する「Webアプリケーション診断」、OSやミドルウェアの脆弱性や設定不備を診断する「プラットフォーム診断」、システム上の脆弱性や設定不備を攻撃をしかけ、どこまで侵入できるかをテストする「ペネトレーションテスト」がある。
企業のシステムの中核を担っているOSやミドルウェアの脆弱性や設定不備は、優先的に改善が求められる。そのため、どのセキュリティ診断を行っていいか分からないときや、初めてセキュリティ診断を行いたいときは「プラットフォーム診断」を行うのが有効だ。
2. QT PRO プラットフォーム診断サービスとは
QT PRO プラットフォーム診断サービスでは、QTnetが診断結果を元に報告書を作成し送付する。さらに、報告書送付後は対面での報告会を行うので、具体的な脆弱性や設定不備の内容と対策方法を直接確認でき、システムの脆弱性改善への具体的な行動につなげられる。
QT PRO プラットフォーム診断は、以下4つのポイントがある。
QT PRO プラットフォーム診断 4つのポイント
- 詳細な報告書
- 標準メニューの「報告会」
- ISPのノウハウを活用した診断
- 充実のアフターフォロー
QT PRO プラットフォーム診断では、お客さまに適した詳細な報告書を提出する。脆弱性を4段階の危険度で記載するため、可視化しやすい。さらに脆弱性への対策方法だけでなく、企業側でできる方法での脆弱性の確認方法も提示するため、お客さまのセルフチェックにもつながる。
報告書の提出、提出後の報告会は標準メニューに含まれている。直接、脆弱性の内容や対応方法を質問できるだけでなく、ほかのシステムでの悩みや困りごとを直接相談できる機会として活用できる。
さらに、プラットフォーム診断は情報インフラを提供するISP(インターネットサービスプロバイダ)として培ったシステム構築や運用ノウハウを活用して実行するため、有益かつ信頼できるプラットフォーム診断が受けられる。
プラットフォーム診断実行後のアフターフォローも充実している。報告書提出後は、電子メールによって各種問合せに対応。また診断結果によって脆弱性情報が見つかった場合は2ヶ月以内に再診断も行う。
これらの4つのポイントが標準メニューに含まれている。さらに、オプションサービスとして標準メニューでの実施時間外での診断対応を行う時間外診断や、標準メニュー内容のカスタマイズや診断項目の追加など、個別対応にも応じる。
セキュリティ対策を行いたいが何をしていいか分からないときや、企業のシステム状況を把握したいとき、さらに定期診断や監査対応など幅広い企業のセキュリティ対策に対応できる。
この間にも新しいサイバー攻撃が行われ、自社が標的になっているかもしれない。今日からできるセキュリティ対策として、プラットフォーム診断を受けてみよう。