いくらやってもやりすぎという事はないのがセキュリティ対策。何かあってからでは遅いので、今どきの企業であれば、ある程度のセキュリティ対策を実施しているのは常識だろう。しかし、どこまでやれば安心ができるのか、目に見えるものでもないだけに、その判断がむずかしい。かぎりある費用とセキュリティ対策とのバランスも考慮しなければならない。悩みに悩むひとり情シスがここにもひとりーーー
最近、不正アクセスがどうのこうのっていうニュースが多いな、はじめくん。
そうですね、部長。
クラウドサービスの利用も増えているし、自社で構築しているサイトにしても、インターネットとつながっていれば、とうぜん外からの侵入もあり得るわけで…。
我が社は大丈夫だろ、もちろん?
お金も十分かけてるし、完璧だよな?
いや、十分っていうわけでは…。
それに完璧っていうのはあり得ないことで…。
何を言ってるのかね、はじめくん。
何かあったらきみの査定に響くだけだからな!
しっかり頼むぞ!
また、無茶なことを。
情シスがひとりしかいないような会社で、そんなに十分にお金をかけられるはず、ないじゃないか。
もちろん、できるだけの対策はしてるつもりだけど、セキュリティって目に見えないものだから本当に大丈夫なのか安心しきれないよな…。
クックック。
はじめくんが、何かブツブツとつぶやいてるぞ。
なにか困ってるらしいな。
よし、このマルチLANバンドでセキュリティの穴を見つけてっと…
~Dr.Protocol Equipment①:マルチLANハンド~
伸縮自在なLANケーブルが収容されたロボットハンド。各デバイスや機器に接続することはもちろん、ネットワークをループさせたり、電流を流したり、色々な障害を起こすことができる。
こんなところに脆弱性があるなぁ。
ここから侵入しよっと。
お、はじめくんじゃないか!
あっ、Dr.プロトコル!どうして、ここに!?
クックック、決まってるじゃない、脆弱性みつけちゃったからだよーん。
不正にお邪魔しちゃいました。
いったいどこから侵入したんだ、ファイアウォールとかはちゃんと導入してるのに。
ああっ、勝手にデータベースにアクセスしないで!!
助けて、Joshisumanさん!
どうした、はじめ!
助かった、Joshisumanさん!
素早い登場、ありがとうございます。
実はDr.プロトコルが不正に侵入してきて、困ってるんです!
性懲りもなく…Dr.プロトコル、覚悟しろ!!
光ファイバーテイル!!
ガィンン!
~JoshisuMan Equipment①:光ファイバーテイル~
通常は光ファイバーを束ねたようなウィップ型ソード。ひと振りでネットワークにまつわるアレコレを解決できる。
柄の先端にLANコネクタのような装飾がついており、スイッチのように押し込むとデータセンターとのコネクト、引き出すとLAN構築、天に向けるとクラウドを呼び出すことが可能。
うわッ、痛いっ!
もう発見されたか。Joshisumanめ。
今日のところは退散するか…どうせ、いつでも侵入できるもんね、この会社。
セキュリティホールがいくつもあるし。
どうやら、Dr.プロトコルは逃げたようだな。
はい、ありがとうございます!
でもまたいつ現れるかわかりませんよね…
うちの会社にはセキュリティホールがいくつもあるなんて、物騒なことをいってましたし。
いったい、どんな対策をすれば…。
そんな時は脆弱性診断だな!
脆弱性診断?
・何からセキュリティ対策を始めたらよいかわからない
・自社のセキュリティ対策の穴を知りたい
マルチセキュリティツール!!
「USEN GATE 02―脆弱性診断―」
スイッチ、ON!!
~JoshisuMan Equipment③:マルチセキュリティツール~
Joshisumanのベルト部分についているセキュリティツール。カードについているボタンを押して共通鍵や秘密鍵の生成はもちろん、カードをかざすことでポートやプロトコルの制御や操作もできる。また、カードをルーターウォール、光ファイバーテイルに差し込むことでウィルス駆除やレジストリの復元が行える。セキュリティに関する万能ツールであり、脆弱性診断も得意とするところなのだ。
どんなシステムも完璧とはかぎらない。
セキュリティホールが存在する可能性はゼロではないんだ。
しかし、セキュリティ対策にかけられる費用にもかぎりがあるはず。
そんなときに活躍するのが、脆弱性診断だ。
USEN GATE 02 の脆弱性診断サービスを活用すれば、限られたリソースを最も効果の高いリスクに対して割り当てることができるぞ。
つまり、それほど費用がなくても、効果的なセキュリティ対策ができるってことですか?
そのとおり、脆弱性診断サービスなら、かけられる費用に合わせて、さまざまなタイプの脆弱性診断を選ぶことが可能だ。
わかりました。
早速実施して、セキュリティ対策につなげたいと思います!
うむ、早く実行したほうがいい。
侵入者は待ってはくれないからな。
WAFやFWなどを用意しているとは思うが、それだけでサイバー攻撃を完全に防ぐことは不可能だ。
JPCERT/CC、PCI SSCも脆弱性診断の実施を推奨、もしくは義務化している。
脆弱性診断は、情報漏えいリスクを限りなく『0(ゼロ)』に近づけるための企業努力の一環なんだ。
これを怠れば、企業の信用失墜にもつながりかねないぞ。
※JPCERT/CC…日本の代表的なコンピュータセキュリティ調査機関で、コンピュータセキュリティの情報を収集し、インシデント対応の支援、セキュリティ関連情報の発信などを行う一般社団法人
※PCI SSC(Payment Card Industry Security Standards Council)…アカウントデータ保護に関するグローバル規模の協議会
American Express、 Discover Financial Services、 JCB International、 MasterCard、 Visa Inc. によって運用、管理されている。
はい、でも具体的にはどんな診断ができるんですか?
診断手法としては、「自動診断型」と「手動診断型」の2タイプ、診断対象としては「Webアプリケーション」と「ネットワーク(OS・ミドルウェア)」の2タイプがある。
これらを組み合わせた全6種類のメニューを利用できるぞ。
6種類も。
用途や目的、費用に合わせて最適なものを選択できるんですね。
そうだ。
簡単に説明すると、「自動診断型」は、診断用ツールで自動的(機械的)にサイト全体を診断する。
「手動診断型」はセキュリティエンジニアがサイトの仕様を把握しながら各種セキュリティカテゴリに対して手動で診断を実施する。
前者は費用をおさえ手軽にできるというメリットがあるし、後者は手間がかかるぶん費用はかかるが、きめ細かい診断ができるというわけだ。
なるほど、では、診断対象が「Webアプリケーション」と「ネットワーク(OS・ミドルウェア)」というのは?
「Webアプリケーション」タイプは、インターネット経由でユーザーのWebサイトにアクセスし、セキュリティ上の問題点を検査するWeb診断サービスだ。
「ネットワーク(OS・ミドルウェア)」タイプは、外部に公開しているネットワークや内部のネットワークに対しセキュリティチェックを実施し、問題点を検査してくれる。
そういうことか、「Webアプリケーション」と「ネットワーク(OS・ミドルウェア)」を合わせて行えば、うちの会社に存在するかもしれないセキュリティホールをおおよそ発見できるというわけですね。
ハハハハッ!問題は解決だな、
それじゃ、また会おう!さらばだ!
なにかあってからでは遅いセキュリティ対策、しかし対応すべき範囲は広く、どこから手を付けていいのかわからない、またかけられる費用にもかぎりがある。そんなときに有用なのが脆弱性診断だ。「USEN GATE 02―脆弱性診断サービス―」なら用途や目的、費用に合わせて自社に最適なサービスを選択できる。脆弱性診断を実施する、しないは企業の信用にもかかわる大切なこと、手遅れにならないうちに実施すべきサービスなのだ。
■「USEN GATE 02―脆弱性診断サービス―」
・ネットワーク診断およびWEB診断が可能
・国産の診断ツールであり、診断画面、報告書ともに日本語表示対応
・仕様、コスト、管理・運用体制等の違いを把握し適切な選択を
TO BE CONTINUED…