「セキュリティ診断」を受ける前に知っておきたい基礎知識セキュリティのアレ(37)

セキュリティ専門家が時事ネタを語る本連載。第37回のテーマは「セキュリティ診断」です。業者にお任せにせず、セキュリティ診断を賢く受けるためのポイントを解説します。

» 2016年11月07日 05時00分 公開
本連載に関するご意見・ご感想などはこちらまで!
Twitterハッシュタグ
#セキュリティのアレ

セキュリティ診断、どこまでやる? いつやる? 報告をどう受け止める?

 セキュリティ専門家が時事ネタなどを語る連載「セキュリティのアレ」。第37回のテーマは「セキュリティ診断」です。解説するのは前回に引き続き、根岸征史氏と辻伸弘氏。本連載に関するご意見、ご感想はTwitterハッシュタグ「#セキュリティのアレ」までお送りください。

@IT 編集部 宮田健、ソフトバンク・テクノロジー 辻伸弘氏、インターネット イニシアティブ 根岸征史氏 @IT 編集部 宮田健、ソフトバンク・テクノロジー 辻伸弘氏、インターネット イニシアティブ 根岸征史氏

宮田 セキュリティのアレ、第37回のテーマは「セキュリティ診断」です。これは、具体的に何を見ていくものなのでしょうか? 実際に診断業務に長く携わってこられたお2人に聞いてみたいと思います。

辻氏 まず、セキュリティ診断には大きく分けて2つの種類があります。1つは「ネットワーク診断」あるいは「プラットフォーム診断」と呼ばれるもの。もう1つが「Web(アプリケーション)診断」です。

 これらは診断の範囲が異なっていて、前者では、WindowsやLinuxなどのOSや、その上で動いているApache、DNSといった各種サーバに脆弱(ぜいじゃく)性がないかを診断します。一方後者では、こうしたプラットフォーム上で動く独自開発のWebアプリケーションに脆弱性がないかをチェックします。

 ここでややこしいのが、「既成のCMSや、Apache Strutsなどのフレームワークに対する診断はどっちに入るの?」という点です。僕はこれらはネットワーク診断に含まれると考えていますが。

根岸氏 診断を受ける側としては、「CMSなどに対する診断がどちらに含まれているのか認識していなくて、診断が漏れてしまった」という事態に陥らないことが大切ですね。

辻氏 はい。業者によって切り分けが異なることもありますので、診断を受ける際には、「何が診断範囲に含まれているのか」に注意する必要があります。


 動画本編では、「とりあえず受けたから大丈夫」で済ませてはいけないセキュリティ診断の留意点について、さらに詳しく解説していきます。診断の実施を検討している企業の皆さま、その前にぜひご覧ください。

画像クリックで連載トップページへ

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

AI for エンジニアリング
「サプライチェーン攻撃」対策
1P情シスのための脆弱性管理/対策の現実解
OSSのサプライチェーン管理、取るべきアクションとは
Microsoft & Windows最前線2024
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。