システムに潜む脆弱性を早期に発見したい。ただし、必要なシステムを自社で用意するのは難しい。そうした企業に最適な「脆弱性診断サービス」の現状や最新動向を示す。
「脆弱性診断に対するユーザー企業からの引き合いが、2010年度から2011年度で10倍近く増加した事業者もいる」――。IDC Japanのリサーチマネージャーである川上晶子氏はこう話す(参考:最新トレンドが分かる! マネージドセキュリティサービス)。Webアプリケーションなどの脆弱性を突いたサイバー攻撃が相次ぐ今、自社のシステムに潜む脆弱性を可能な限り早期に可視化することが大切だ。
脆弱性の実態をいち早く可視化したいが、診断に必要なシステム構築に手間は掛けられないし、専門的なノウハウも持ち合わせていない。そうした企業にとって、セキュリティ事業者や通信事業者などが提供する「脆弱性診断サービス」が有力な選択肢となる。スマートフォンやタブレットといったスマートデバイスの普及を受け、脆弱性診断サービスのメニューにも変化が生じつつある。本稿は、脆弱性診断サービスの現状と最新動向を示す。
Webアプリケ―ションやサーバ、ネットワーク機器に潜む脆弱性の診断をベンダーに委託できる脆弱性診断サービス。最新動向を紹介する前に、現状の脆弱性診断サービスの内容を整理しておこう。
脆弱性診断サービスの主な診断対象は、PHPやPerlといったプログラム言語で開発されたWebアプリケーション、Apache HTTP ServerやMySQLといったミドルウェア、Windows ServerやLinuxなどのOSと、そこで稼働するサービスなどである。こうした診断対象に対して、ソースコード解析をしたり、システムに疑似攻撃を仕掛けるなどして脆弱性を診断する。
Adobe ReaderやMicrosoft Officeといったクライアントアプリケーションを悪用するサイバー攻撃も多い(参考:狙われるAdobe製品とJavaの脆弱性)。ただし、脆弱性診断サービスは、こうしたクライアントアプリケーションを診断対象としていないことが多い。
可能な限り診断期間を短縮するため、市販または独自の脆弱性診断ツールを利用するサービスがほとんどだ。ベンダー各社が利用する主な市販の脆弱性診断ツールには、日本ヒューレット・パッカードの「HP WebInspect software」や日本アイ・ビー・エムの「IBM Security AppScan」、米eEyeの「Retina Network Security Scanner」などがある。
脆弱性診断サービスは、脆弱性診断を実行する場所に応じて2つのタイプがある。ベンダーが自社センターに用意した脆弱性診断ツールを使い、インターネット経由で診断を実施する「リモート診断」と、ベンダーがユーザー企業のLANやDMZ(非武装セグメント)に脆弱性診断ツールを導入して診断する「オンサイト診断」だ。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
ブランドリスクの要因は「トランプ大統領」 どうするCMO――2025年のマーケティング予測10選【後編】
2025年はCMOの役割と課題が大きく変化すると予想される。具体的には何が起こるのか。「Ma...
AIはGoogleの地位を揺るがしているのか? Domoが年次レポートを公開
Domoの年次レポート「Data Never Sleeps」は、インターネット上で1分間ごとに起きている...
3500ブランドの市場・生活者データでマーケターのアイデア発想を支援 マクロミル「Coreka」でできること
マクロミルが創業25年で培ったリサーチや分析ノウハウを結集し、アイディエーションプラ...