今更聞けない、「脆弱性診断」とは何か? 効果的な診断の受け方とは?「診断」をベースにWebサイトの安全性を保ち続けるコツ

Webサイトを狙ったサイバー攻撃が相次いで明るみに出る中、重要性が高まっているのが「脆弱性診断」だ。脆弱性診断とは何か。手法によってどのような違いがあるのか。徹底解説する。

2015年10月13日 10時00分 公開
[ITmedia]

 特定組織を狙ったサイバー攻撃「標的型攻撃」の報告が2014年ごろから急増しており、注目すべきリスクとして話題となっている。標的型攻撃の多くは、Webサイトやメールを経由して攻撃してくる。中でも多くの顧客・従業員が利用するWebサーバは、誰にでもアクセスできるため、サイバー犯罪者にとって格好の的だ。Webサーバに存在する脆弱(ぜいじゃく)性を悪用してWebサイトを改ざんし、マルウェアや攻撃サーバへの誘導を仕込むケースは少なくない。

 生活やビジネスにとって、Webサービスや、ログインするとそのユーザーに結び付いた情報の提示や提案を行うWebアプリケーションの重要度が高まっている昨今では、Webサーバの脆弱性を排除して堅牢なシステムを構築することは、運営者・管理者にとって義務ともいえる。そこで重要になるのが「脆弱性診断」である。

 管理下にあるシステムにどのような脆弱性があるのか、どの程度堅牢なのかを診断する脆弱性診断。その存在についてよくご存じの読者は多いだろう。ただし、具体的にどう進めるべきか、診断手法にはどのようなものがあり、どのような違いがあるのかを正確に把握できている人は、それほど多くないかもしれない。そこで今回は、専門的な脆弱性診断を基礎から解説した上で、コストを抑えつつ、効果的に脆弱性診断を実施できる方法について紹介する。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:合同会社シマンテック・ウェブサイトセキュリティ
アイティメディア営業企画/制作:TechTargetジャパン編集部