「セキュリティ診断」を受ける前に知っておきたい基礎知識:セキュリティのアレ(37)
セキュリティ専門家が時事ネタを語る本連載。第37回のテーマは「セキュリティ診断」です。業者にお任せにせず、セキュリティ診断を賢く受けるためのポイントを解説します。
セキュリティ診断、どこまでやる? いつやる? 報告をどう受け止める?
セキュリティ専門家が時事ネタなどを語る連載「セキュリティのアレ」。第37回のテーマは「セキュリティ診断」です。解説するのは前回に引き続き、根岸征史氏と辻伸弘氏。本連載に関するご意見、ご感想はTwitterハッシュタグ「#セキュリティのアレ」までお送りください。
宮田 セキュリティのアレ、第37回のテーマは「セキュリティ診断」です。これは、具体的に何を見ていくものなのでしょうか? 実際に診断業務に長く携わってこられたお2人に聞いてみたいと思います。
辻氏 まず、セキュリティ診断には大きく分けて2つの種類があります。1つは「ネットワーク診断」あるいは「プラットフォーム診断」と呼ばれるもの。もう1つが「Web(アプリケーション)診断」です。
これらは診断の範囲が異なっていて、前者では、WindowsやLinuxなどのOSや、その上で動いているApache、DNSといった各種サーバに脆弱(ぜいじゃく)性がないかを診断します。一方後者では、こうしたプラットフォーム上で動く独自開発のWebアプリケーションに脆弱性がないかをチェックします。
ここでややこしいのが、「既成のCMSや、Apache Strutsなどのフレームワークに対する診断はどっちに入るの?」という点です。僕はこれらはネットワーク診断に含まれると考えていますが。
根岸氏 診断を受ける側としては、「CMSなどに対する診断がどちらに含まれているのか認識していなくて、診断が漏れてしまった」という事態に陥らないことが大切ですね。
辻氏 はい。業者によって切り分けが異なることもありますので、診断を受ける際には、「何が診断範囲に含まれているのか」に注意する必要があります。
動画本編では、「とりあえず受けたから大丈夫」で済ませてはいけないセキュリティ診断の留意点について、さらに詳しく解説していきます。診断の実施を検討している企業の皆さま、その前にぜひご覧ください。
Copyright © ITmedia, Inc. All Rights Reserved.
存在に気付かないふり? Struts
なぜ、「脆弱性」はなくならないの?
専門家が教える「脆弱性情報」の見方