セキュリティ10大脅威ピックアップ
IPAが発表している「情報セキュリティ10大脅威 2022」、その中で「
脆弱性対策情報の公開に伴う悪用増加
」と「
修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
」が、選出されました。
いずれも公開情報を利用した脅威であり、公開情報はインターネットに接続された端末であればいつでもどこでも誰でも簡単に収集できるといった特徴があります。
・情報処理推進機構「情報セキュリティ10大脅威 2022」
出典: https://www.ipa.go.jp/security/vuln/10threats2022.html
セキュリティアナリストの分析
公開情報はその特性上攻撃者が広く活用しており、攻撃者に先んじた情報収集やセキュリティ対策をすることが非常に重要となります。
- 情報収集:公開されているセキュリティ関連情報を収集し、管理しているシステムの現状と比較
- セキュリティ対策:セキュリティパッチの適用や設定変更などを実施
- セキュリティ診断:パッチの適用状況や設定等に問題ないか客観的に検査
まずは現状のセキュリティの状態を把握し、その上で少しでも攻撃者の有利にならないように、日々対策を積み重ねていくことが重要です。
セキュリティ診断サービスとして、情報セキュリティサービス台帳の「脆弱性診断サービス」に登録済みであるネットワーク・セキュリティ診断を紹介します。
参考 |
情報セキュリティサービス基準審査登録制度 情報セキュリティサービス台帳 脆弱性診断サービス |
両備システムズのネットワーク・セキュリティ診断(プラットフォーム診断)
サービス概要
ネットワークを経由して、対象サーバ・対象ネットワーク機器の脆弱性を診断します。
診断方法は、以下の2種類をご提供しています。
1.リモート診断(インターネットを経由し、ファイアウォールの外側からの診断)
2.オンサイト診断(対象サーバと同一セグメントからの診断)
いずれの診断方法においても、弊社診断エンジニアが事前に調査を行い、診断ツールを利用しての診断を実施いたします。ツールで発見した脆弱性については、弊社診断エンジニアが手動で確認したのちに、結果を報告書にまとめて納品いたします。
診断の流れ
弊社診断を行うにあたり、お客様からの事前申し込みを受け、診断ヒアリングシートのご提出をお願いしております。その後、診断日程を決め実際の診断を行い、レポートの提出となります。