2021.02.03
Episode31
登場人物
Joshisu Man
ジョーシスマン
Dr. Protocol
ドクター・プロトコル
にのまえ はじめ
ニノマエ ハジメ
多田野部長
タダノブチョウ
いくらやってもやりすぎという事はないのがセキュリティ対策。何かあってからでは遅いので、今どきの企業であれば、ある程度のセキュリティ対策を実施しているのは常識だろう。しかし、どこまでやれば安心ができるのか、目に見えるものでもないだけに、その判断がむずかしい。かぎりある費用とセキュリティ対策とのバランスも考慮しなければならない。悩みに悩むひとり情シスがここにもひとりーーー
にのまえ はじめ
そうですね、部長。
クラウドサービスの利用も増えているし、自社で構築しているサイトにしても、インターネットとつながっていれば、とうぜん外からの侵入もあり得るわけで…。
多田野部長
我が社は大丈夫だろ、もちろん?
お金も十分かけてるし、完璧だよな?
にのまえ はじめ
いや、十分っていうわけでは…。
それに完璧っていうのはあり得ないことで…。
多田野部長
何を言ってるのかね、はじめくん。
何かあったらきみの査定に響くだけだからな!
しっかり頼むぞ!
にのまえ はじめ
また、無茶なことを。
情シスがひとりしかいないような会社で、そんなに十分にお金をかけられるはず、ないじゃないか。
もちろん、できるだけの対策はしてるつもりだけど、セキュリティって目に見えないものだから本当に大丈夫なのか安心しきれないよな…。
Dr. Protocol
クックック。
はじめくんが、何かブツブツとつぶやいてるぞ。
なにか困ってるらしいな。
よし、このマルチLANバンドでセキュリティの穴を見つけてっと…
~Dr.Protocol Equipment①:マルチLANハンド~
伸縮自在なLANケーブルが収容されたロボットハンド。各デバイスや機器に接続することはもちろん、ネットワークをループさせたり、電流を流したり、色々な障害を起こすことができる。
Dr. Protocol
こんなところに脆弱性があるなぁ。
ここから侵入しよっと。
お、はじめくんじゃないか!
にのまえ はじめ
あっ、Dr.プロトコル!どうして、ここに!?
Dr. Protocol
クックック、決まってるじゃない、脆弱性みつけちゃったからだよーん。
不正にお邪魔しちゃいました。
にのまえ はじめ
いったいどこから侵入したんだ、ファイアウォールとかはちゃんと導入してるのに。
ああっ、勝手にデータベースにアクセスしないで!!
助けて、Joshisumanさん!
Joshisu Man
どうした、はじめ!
にのまえ はじめ
助かった、Joshisumanさん!
素早い登場、ありがとうございます。
実はDr.プロトコルが不正に侵入してきて、困ってるんです!
Joshisu Man
性懲りもなく…Dr.プロトコル、覚悟しろ!!
光ファイバーテイル!!
ガィンン!
~JoshisuMan Equipment①:光ファイバーテイル~
通常は光ファイバーを束ねたようなウィップ型ソード。ひと振りでネットワークにまつわるアレコレを解決できる。
柄の先端にLANコネクタのような装飾がついており、スイッチのように押し込むとデータセンターとのコネクト、引き出すとLAN構築、天に向けるとクラウドを呼び出すことが可能。
Dr. Protocol
うわッ、痛いっ!
もう発見されたか。Joshisumanめ。
今日のところは退散するか…どうせ、いつでも侵入できるもんね、この会社。
セキュリティホールがいくつもあるし。
Joshisu Man
どうやら、Dr.プロトコルは逃げたようだな。
にのまえ はじめ
はい、ありがとうございます!
でもまたいつ現れるかわかりませんよね…
うちの会社にはセキュリティホールがいくつもあるなんて、物騒なことをいってましたし。
いったい、どんな対策をすれば…。
Joshisu Man
そんな時は脆弱性診断だな!
にのまえ はじめ
脆弱性診断?
【調査】~MISSION!~
Joshisu Man
マルチセキュリティツール!!
「USEN GATE 02―脆弱性診断―」
スイッチ、ON!!
~JoshisuMan Equipment③:マルチセキュリティツール~
Joshisumanのベルト部分についているセキュリティツール。カードについているボタンを押して共通鍵や秘密鍵の生成はもちろん、カードをかざすことでポートやプロトコルの制御や操作もできる。また、カードをルーターウォール、光ファイバーテイルに差し込むことでウィルス駆除やレジストリの復元が行える。セキュリティに関する万能ツールであり、脆弱性診断も得意とするところなのだ。
Joshisu Man
どんなシステムも完璧とはかぎらない。
セキュリティホールが存在する可能性はゼロではないんだ。
しかし、セキュリティ対策にかけられる費用にもかぎりがあるはず。
そんなときに活躍するのが、脆弱性診断だ。
USEN GATE 02 の脆弱性診断サービスを活用すれば、限られたリソースを最も効果の高いリスクに対して割り当てることができるぞ。
にのまえ はじめ
つまり、それほど費用がなくても、効果的なセキュリティ対策ができるってことですか?
Joshisu Man
そのとおり、脆弱性診断サービスなら、かけられる費用に合わせて、さまざまなタイプの脆弱性診断を選ぶことが可能だ。
にのまえ はじめ
わかりました。
早速実施して、セキュリティ対策につなげたいと思います!
Joshisu Man
うむ、早く実行したほうがいい。
侵入者は待ってはくれないからな。
WAFやFWなどを用意しているとは思うが、それだけでサイバー攻撃を完全に防ぐことは不可能だ。
JPCERT/CC、PCI SSCも脆弱性診断の実施を推奨、もしくは義務化している。
脆弱性診断は、情報漏えいリスクを限りなく『0(ゼロ)』に近づけるための企業努力の一環なんだ。
これを怠れば、企業の信用失墜にもつながりかねないぞ。
※JPCERT/CC…日本の代表的なコンピュータセキュリティ調査機関で、コンピュータセキュリティの情報を収集し、インシデント対応の支援、セキュリティ関連情報の発信などを行う一般社団法人
※PCI SSC(Payment Card Industry Security Standards Council)…アカウントデータ保護に関するグローバル規模の協議会 American Express、 Discover Financial Services、 JCB International、 MasterCard、 Visa Inc. によって運用、管理されている。
にのまえ はじめ
はい、でも具体的にはどんな診断ができるんですか?
Joshisu Man
診断手法としては、「自動診断型」と「手動診断型」の2タイプ、診断対象としては「Webアプリケーション」と「ネットワーク(OS・ミドルウェア)」の2タイプがある。
これらを組み合わせた全6種類のメニューを利用できるぞ。
にのまえ はじめ
6種類も。
用途や目的、費用に合わせて最適なものを選択できるんですね。
Joshisu Man
そうだ。
簡単に説明すると、「自動診断型」は、診断用ツールで自動的(機械的)にサイト全体を診断する。
「手動診断型」はセキュリティエンジニアがサイトの仕様を把握しながら各種セキュリティカテゴリに対して手動で診断を実施する。
前者は費用をおさえ手軽にできるというメリットがあるし、後者は手間がかかるぶん費用はかかるが、きめ細かい診断ができるというわけだ。
にのまえ はじめ
なるほど、では、診断対象が「Webアプリケーション」と「ネットワーク(OS・ミドルウェア)」というのは?
Joshisu Man
「Webアプリケーション」タイプは、インターネット経由でユーザーのWebサイトにアクセスし、セキュリティ上の問題点を検査するWeb診断サービスだ。
「ネットワーク(OS・ミドルウェア)」タイプは、外部に公開しているネットワークや内部のネットワークに対しセキュリティチェックを実施し、問題点を検査してくれる。
にのまえ はじめ
そういうことか、「Webアプリケーション」と「ネットワーク(OS・ミドルウェア)」を合わせて行えば、うちの会社に存在するかもしれないセキュリティホールをおおよそ発見できるというわけですね。
Joshisu Man
ハハハハッ!問題は解決だな、
それじゃ、また会おう!さらばだ!
【解決】~ICT SOLUTION!~
なにかあってからでは遅いセキュリティ対策、しかし対応すべき範囲は広く、どこから手を付けていいのかわからない、またかけられる費用にもかぎりがある。そんなときに有用なのが脆弱性診断だ。「USEN GATE 02―脆弱性診断サービス―」なら用途や目的、費用に合わせて自社に最適なサービスを選択できる。脆弱性診断を実施する、しないは企業の信用にもかかわる大切なこと、手遅れにならないうちに実施すべきサービスなのだ。
■「USEN GATE 02―脆弱性診断サービス―」
・ネットワーク診断およびWEB診断が可能
・国産の診断ツールであり、診断画面、報告書ともに日本語表示対応
・仕様、コスト、管理・運用体制等の違いを把握し適切な選択を
TO BE CONTINUED…
多田野部長
最近、不正アクセスがどうのこうのっていうニュースが多いな、はじめくん。