【製品動向】iOS/Android対応が進む「脆弱性診断サービス」LAN診断の負荷を軽減するサービスも

システムに潜む脆弱性を早期に発見したい。ただし、必要なシステムを自社で用意するのは難しい。そうした企業に最適な「脆弱性診断サービス」の現状や最新動向を示す。

2012年09月07日 08時00分 公開
[鳥越武史,TechTargetジャパン]

 「脆弱性診断に対するユーザー企業からの引き合いが、2010年度から2011年度で10倍近く増加した事業者もいる」――。IDC Japanのリサーチマネージャーである川上晶子氏はこう話す(参考:最新トレンドが分かる! マネージドセキュリティサービス)。Webアプリケーションなどの脆弱性を突いたサイバー攻撃が相次ぐ今、自社のシステムに潜む脆弱性を可能な限り早期に可視化することが大切だ。

 脆弱性の実態をいち早く可視化したいが、診断に必要なシステム構築に手間は掛けられないし、専門的なノウハウも持ち合わせていない。そうした企業にとって、セキュリティ事業者や通信事業者などが提供する「脆弱性診断サービス」が有力な選択肢となる。スマートフォンタブレットといったスマートデバイスの普及を受け、脆弱性診断サービスのメニューにも変化が生じつつある。本稿は、脆弱性診断サービスの現状と最新動向を示す。

脆弱性診断サービスの現状

 Webアプリケ―ションやサーバ、ネットワーク機器に潜む脆弱性の診断をベンダーに委託できる脆弱性診断サービス。最新動向を紹介する前に、現状の脆弱性診断サービスの内容を整理しておこう。

診断対象:Webアプリケーションやミドルウェア、OSなどを診断

 脆弱性診断サービスの主な診断対象は、PHPやPerlといったプログラム言語で開発されたWebアプリケーション、Apache HTTP ServerMySQLといったミドルウェア、Windows ServerやLinuxなどのOSと、そこで稼働するサービスなどである。こうした診断対象に対して、ソースコード解析をしたり、システムに疑似攻撃を仕掛けるなどして脆弱性を診断する。

 Adobe ReaderやMicrosoft Officeといったクライアントアプリケーションを悪用するサイバー攻撃も多い(参考:狙われるAdobe製品とJavaの脆弱性)。ただし、脆弱性診断サービスは、こうしたクライアントアプリケーションを診断対象としていないことが多い。

診断手法:ツールを利用し、リモートまたはオンサイトで診断

 可能な限り診断期間を短縮するため、市販または独自の脆弱性診断ツールを利用するサービスがほとんどだ。ベンダー各社が利用する主な市販の脆弱性診断ツールには、日本ヒューレット・パッカードの「HP WebInspect software」や日本アイ・ビー・エムの「IBM Security AppScan」、米eEyeの「Retina Network Security Scanner」などがある。

 脆弱性診断サービスは、脆弱性診断を実行する場所に応じて2つのタイプがある。ベンダーが自社センターに用意した脆弱性診断ツールを使い、インターネット経由で診断を実施する「リモート診断」と、ベンダーがユーザー企業のLANやDMZ(非武装セグメント)に脆弱性診断ツールを導入して診断する「オンサイト診断」だ。

会員登録(無料)が必要です

Copyright © ITmedia, Inc. All Rights Reserved.

髫エ�ス�ス�ー鬨セ�ケ�つ€驛「譎擾スク蜴・�。驛「�ァ�ス�、驛「譎冗樟�ス�ス驛「譎「�ス�シ驛「譏懶スサ�」�ス�ス

市場調査・トレンド ゼットスケーラー株式会社

AIの悪用でフィッシング攻撃が巧妙化、今後の予測と防御方法を解説

今や誰もが入手可能となったフィッシングツール。そこにAIの悪用が加わり、フィッシング攻撃はますます巧妙化している。本資料では、20億件以上のフィッシングトランザクションから、フィッシング攻撃の動向や防御方法を解説する。

技術文書・技術解説 ServiceNow Japan合同会社

限られた人材でインシデントや脆弱性への対応を迅速化、その鍵となるのは?

セキュリティ対策チームの57%が人材不足の影響を受けているといわれる昨今、インシデントや脆弱性への対応の遅れが、多くの企業で問題視されている。その対策として有効なのが「自動化」だが、どのように採り入れればよいのだろうか。

製品資料 LRM株式会社

開封率から報告率重視へ、重要な指標をカバーする標的型攻撃メール訓練とは

年々増加する標的型攻撃メール。この対策として標的型攻撃メール訓練を実施している企業は多い。こうした訓練では一般に開封率で効果を測るが、実は開封率だけでは訓練の効果を十分に評価できない。評価となるポイントは報告率だ。

製品資料 LRM株式会社

新入社員の情報セキュリティ教育、伝えるべき内容と伝え方のポイントは?

従業員の情報セキュリティ教育は、サイバー攻撃や人的ミスによる情報漏えいから自社を守るためにも必要不可欠な取り組みだ。新入社員の教育を想定し、伝えるべき内容や伝える際のポイントを解説する。

製品資料 LRM株式会社

2024年発生のインシデントを解説、組織全体でのセキュリティ意識向上が不可欠に

2024年の情報漏えい事故の傾向では、攻撃者による大規模攻撃の他、社員や業務委託先のミス・内部犯行によるケースも多く見られた。インシデント別の要因と対策とともに、今後特に重要になるセキュリティ意識向上のポイントを解説する。

郢晏生ホヲ郢敖€郢晢スシ郢ァ�ウ郢晢スウ郢晢ソスホヲ郢晢ソスPR

From Informa TechTarget

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。

【製品動向】iOS/Android対応が進む「脆弱性診断サービス」:LAN診断の負荷を軽減するサービスも - TechTargetジャパン セキュリティ 隴�スー騾ケツ€髫ェ蛟�スコ�ス

ITmedia マーケティング新着記事

news025.png

「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。

news014.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news046.png

「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。