システムに潜む脆弱性を早期に発見したい。ただし、必要なシステムを自社で用意するのは難しい。そうした企業に最適な「脆弱性診断サービス」の現状や最新動向を示す。
「脆弱性診断に対するユーザー企業からの引き合いが、2010年度から2011年度で10倍近く増加した事業者もいる」――。IDC Japanのリサーチマネージャーである川上晶子氏はこう話す(参考:最新トレンドが分かる! マネージドセキュリティサービス)。Webアプリケーションなどの脆弱性を突いたサイバー攻撃が相次ぐ今、自社のシステムに潜む脆弱性を可能な限り早期に可視化することが大切だ。
脆弱性の実態をいち早く可視化したいが、診断に必要なシステム構築に手間は掛けられないし、専門的なノウハウも持ち合わせていない。そうした企業にとって、セキュリティ事業者や通信事業者などが提供する「脆弱性診断サービス」が有力な選択肢となる。スマートフォンやタブレットといったスマートデバイスの普及を受け、脆弱性診断サービスのメニューにも変化が生じつつある。本稿は、脆弱性診断サービスの現状と最新動向を示す。
Webアプリケ―ションやサーバ、ネットワーク機器に潜む脆弱性の診断をベンダーに委託できる脆弱性診断サービス。最新動向を紹介する前に、現状の脆弱性診断サービスの内容を整理しておこう。
脆弱性診断サービスの主な診断対象は、PHPやPerlといったプログラム言語で開発されたWebアプリケーション、Apache HTTP ServerやMySQLといったミドルウェア、Windows ServerやLinuxなどのOSと、そこで稼働するサービスなどである。こうした診断対象に対して、ソースコード解析をしたり、システムに疑似攻撃を仕掛けるなどして脆弱性を診断する。
Adobe ReaderやMicrosoft Officeといったクライアントアプリケーションを悪用するサイバー攻撃も多い(参考:狙われるAdobe製品とJavaの脆弱性)。ただし、脆弱性診断サービスは、こうしたクライアントアプリケーションを診断対象としていないことが多い。
可能な限り診断期間を短縮するため、市販または独自の脆弱性診断ツールを利用するサービスがほとんどだ。ベンダー各社が利用する主な市販の脆弱性診断ツールには、日本ヒューレット・パッカードの「HP WebInspect software」や日本アイ・ビー・エムの「IBM Security AppScan」、米eEyeの「Retina Network Security Scanner」などがある。
脆弱性診断サービスは、脆弱性診断を実行する場所に応じて2つのタイプがある。ベンダーが自社センターに用意した脆弱性診断ツールを使い、インターネット経由で診断を実施する「リモート診断」と、ベンダーがユーザー企業のLANやDMZ(非武装セグメント)に脆弱性診断ツールを導入して診断する「オンサイト診断」だ。
アドビ、Adobe Firefly機能搭載の「Adobe Express」モバイル版アプリを一般提供
アドビは、生成AI「Adobe Firefly」の機能を利用できる「Adobe Express」モバイル版アプ...
2度あることは3度あった GoogleのサードパーティーCookie廃止再延期にアドテク各社がコメント
Googleは2024年末までに完了する予定だったWebブラウザ「Chrome」でのサードパーティーCo...
天候と位置情報を活用 ルグランとジオロジックが新たな広告サービスを共同開発
ルグランとジオロジックが新たな「天気連動型広告」を共同開発した。ルグランが気象デー...