株式会社トリプルAとは?

株式会社トリプルAは、サイバーセキュリティに特化したサービスを提供しています。今回はセキュリティサービスの一部である脆弱性診断について紹介していきます。

トリプルAの脆弱性診断では、研究開発によって得た知見を活かし攻撃トレンドや流行の手法を駆使して脆弱性診断を行うことができます。

脆弱性診断(セキュリティ診断)とは?

「脆弱性」とはWebサイトの設計や開発をするときに発生するセキュリティ上のバグのことを言います。
「脆弱性診断」とは、Webアプリケーションやネットワークなどに脆弱性が存在しないか調査するものです。脆弱性診断を行うことで、システムに存在する脆弱性を顕在化します。検出された脆弱性を修正することで、攻撃を軽減することができ、サイバー攻撃や情報漏えいが未然に防ぐことができます。

脆弱性診断では、ホワイトハッカーとも言われるセキュリティエンジニアが攻撃者目線と同じ目線に立ち、システムに対して擬似攻撃を行うので,複雑な脆弱性なども顕在化が可能となります。

脆弱性診断の必要性と目的

脆弱性診断を行う最大の目的は、情報漏えいや不正アクセス、ウイルス感染などを未然に防げるということです。
一度の情報漏えいやウイルス感染により企業活動が継続不可能になりかねません。
企業危機に陥らないためにも、情報セキュリティの意識をどんな企業でも取り組みを高めなければなりません。

脆弱性診断の種類

脆弱性診断には主に、「Webアプリケーション診断」「プラットフォーム診断」「スマホアプリ診断」「ソースコード診断」など様々な種類が存在します。
企業が提供しているシステム要件によって、脆弱性診断の実施種類は変わってきます。
そんな中でも近年、重要度の高いWebアプリケーション診断の説明をさせて頂きます。

Webアプリケーション診断

Webアプリケーション診断では、WebシステムやECサイトなどのWeb上で提供されているシステムに対して、擬似攻撃を行い脆弱性の顕在化いたします。
近年ではWebアプリケーションを狙ったサイバー攻撃が年々増加しており、セキュリティ対策が必須になってきています。
脆弱性が存在するにもかかわらず、放置をしてしまうと攻撃者により脆弱性を突いた攻撃を行われ、お客様情報の漏えいやサイト改ざんなど様々な被害につながります。

<主な診断項目>

・SQLインジェクション
・XSSスクリプティング
・OSコマンドインジェクション
・権限のない情報へのアクセス
・サイバーサイドテンプレート

「SQLインジェクション」などは有名でインターネットで検索するとSQLインジェクション脆弱性を悪用された事件が多く出てきます。
トリプルAの診断基準では、日本情報処理推進機構やOWASPといわれる国際ウェブセキュリティ標準機構によって診断項目を作成しているので網羅的、信頼的な診断が実施可能です。
今回紹介させて頂いた、主な診断項目以外にも40種類の診断項目を基準に診断を実施しています。
他の項目も気になる方は是非、資料をダウンロードしてみてください。

トリプルAの強み

トリプルAの脆弱性診断では、研究開発によって得た知見を活かし攻撃トレンドや流行の手法を駆使して脆弱性診断を行うことができます。
そのため、実際の攻撃者と同じ目線で実施が可能です。
また、脆弱性診断ではツール診断のみではなく、米国国防総省承認資格を取得したホワイトハッカーが実際に手動にて診断する手動診断を行うため、網羅的かつ正確に診断を実施が可能です。
診断基準では、日本情報処理推進機構やOWASPといわれる国際ウェブセキュリティ標準機構によって診断項目を作成しているので網羅的、信頼的な診断が実施可能です。

こんな方におすすめ!

・一度も脆弱性診断を実施したことがない
・システム開発後のセキュリティ評価が知りたい
・ツール診断だけでなく手動診断も実施してほしい
・Webサイトを開設したが、セキュリティに不安がある・Webシステムの改修や新機能を追加した

上記のような、企業様におすすめをしています。

まとめ

今回の記事では、脆弱性診断について説明しました。
これからますます、Webアプリケーションの需要は高くなるとともにセキュリティ対策の要性は高くなります。
近年、ニュースでもサイバー攻撃が取りあげられるなど問題になっている通りいつ自分の企業がねらわれてもおかしくありません。
攻撃対策のためにも今回ご紹介した「脆弱性診断」などのセキュリティ対策を実施し、サイバー攻撃の対策を普段から実施しましょう。
ご興味お持ちの方は、下記より資料をダウンロード可能ですので、是非御覧ください。