システムに潜む脆弱性を早期に発見したい。ただし、必要なシステムを自社で用意するのは難しい。そうした企業に最適な「脆弱性診断サービス」の現状や最新動向を示す。
「脆弱性診断に対するユーザー企業からの引き合いが、2010年度から2011年度で10倍近く増加した事業者もいる」――。IDC Japanのリサーチマネージャーである川上晶子氏はこう話す(参考:最新トレンドが分かる! マネージドセキュリティサービス)。Webアプリケーションなどの脆弱性を突いたサイバー攻撃が相次ぐ今、自社のシステムに潜む脆弱性を可能な限り早期に可視化することが大切だ。
脆弱性の実態をいち早く可視化したいが、診断に必要なシステム構築に手間は掛けられないし、専門的なノウハウも持ち合わせていない。そうした企業にとって、セキュリティ事業者や通信事業者などが提供する「脆弱性診断サービス」が有力な選択肢となる。スマートフォンやタブレットといったスマートデバイスの普及を受け、脆弱性診断サービスのメニューにも変化が生じつつある。本稿は、脆弱性診断サービスの現状と最新動向を示す。
Webアプリケ―ションやサーバ、ネットワーク機器に潜む脆弱性の診断をベンダーに委託できる脆弱性診断サービス。最新動向を紹介する前に、現状の脆弱性診断サービスの内容を整理しておこう。
脆弱性診断サービスの主な診断対象は、PHPやPerlといったプログラム言語で開発されたWebアプリケーション、Apache HTTP ServerやMySQLといったミドルウェア、Windows ServerやLinuxなどのOSと、そこで稼働するサービスなどである。こうした診断対象に対して、ソースコード解析をしたり、システムに疑似攻撃を仕掛けるなどして脆弱性を診断する。
Adobe ReaderやMicrosoft Officeといったクライアントアプリケーションを悪用するサイバー攻撃も多い(参考:狙われるAdobe製品とJavaの脆弱性)。ただし、脆弱性診断サービスは、こうしたクライアントアプリケーションを診断対象としていないことが多い。
可能な限り診断期間を短縮するため、市販または独自の脆弱性診断ツールを利用するサービスがほとんどだ。ベンダー各社が利用する主な市販の脆弱性診断ツールには、日本ヒューレット・パッカードの「HP WebInspect software」や日本アイ・ビー・エムの「IBM Security AppScan」、米eEyeの「Retina Network Security Scanner」などがある。
脆弱性診断サービスは、脆弱性診断を実行する場所に応じて2つのタイプがある。ベンダーが自社センターに用意した脆弱性診断ツールを使い、インターネット経由で診断を実施する「リモート診断」と、ベンダーがユーザー企業のLANやDMZ(非武装セグメント)に脆弱性診断ツールを導入して診断する「オンサイト診断」だ。
次世代生成AIで優位に立つのはMeta? Google? それともマスク氏のあの会社?
生成AI時代において、データは新たな金と言える。より人間らしい反応ができるようになる...
GoogleからTikTokへ 「検索」の主役が交代する日(無料eBook)
若年層はGoogle検索ではなくTikTokやInstagramを使って商品を探す傾向が強まっているとい...
B2B企業の市場開拓で検討すべきプロセスを定義 デジタルマーケティング研究機構がモデル公開
日本アドバタイザーズ協会 デジタルマーケティング研究機構は、B2B企業が新製品やサービ...