Webサイト・サーバ群セキュリティ診断

[ 編集者:シーライヴ株式会社    2016年01月19日    更新 ]

セキュリティ診断の意義

 昨今、世間を騒がせている情報漏えい・不正アクセス事故・事件の背景からも、社会の情報セキュリティに対する意識が格段に高まっていることは周知の事実といえます。

 Webサイトやサーバ群のセキュリティは、企業や官公庁、大学における“安全保障”といっても過言ではありません。またこれらは、時代や技術的な進歩とも連動しており、ある一時期にセキュリティの完成形が成立するものではなく、日々の積み重ねこそ安全保障の要諦となります。

一朝一夕には完成しないセキュリティ

 リアル社会でも、災害時に一定の成果を残した事例を分析すると、そこには必ずといっていいほど、日常の教育や訓練などの裏付けが存在します。PDCAサイクルによる日常の裏付けが功を奏しているわけです。いわば“急がば回れ”の精神です。

 Webサイトやサーバ群のセキュリティ診断によって、脆弱性(ぜいじゃくせい、弱点のこと)を発見し、それに対して、適切な対策を講じ、改善することが、情報セキュリティの一連のPDCAサイクルの第一歩です。いうなれば、企業や官公庁、大学における“安全保障”のスタートラインといえます。

Webサイト・サーバ群セキュリティ診断の実際

 当社では下記のようなセキュリティ関連の各種サービスをご提供しています。詳しくは当社までお問い合わせください。

[1] ぺネトレーション(群侵入)テスト

 ネットワークに接続されているコンピュータシステムに対し、実際に既知の技術を用いて侵入を試みることで、システムに脆弱性がないかどうかテストする手法をいいます。侵入実験または侵入テストともいわれます。

 疑似的に侵入を試みるテストですので、目下の脆弱性対策に一定の成果をあげることが可能です。

 もともと海外では、防弾ベスト製造会社、銃器メーカーや警察特殊部隊、軍隊などで用いられる用語で、防弾ベストに対して弾丸を発射し、弾が貫通しないことを確認するテストをペネトレーションテストといいました(銃自体の貫通力をハイペネトレーションという)。

 わが国では、住民基本台帳ネットワークシステムが稼動する前に、住基ネットシステムに対してペネストレーションテストが行われ、長野県が「侵入可能である」と結論づけたニュースが有名です。

 昨今の情報漏えい事件でも、事前にこのようなテストがしっかりと実施されておれば、防御・回避できたものもあると考えられます。著名な企業でも、このようなテストに手間暇やコストをかけることが実際は少ないのが実情でしょう。

 当社では、自社のサーバへの継続的なペネトレーションテストを実施しています。このノウハウをもとに、テストの実施のみならず、実施後の処方箋と脆弱性対応まで、一貫したサービスとしてご提供することが可能です。

[2] IPAによる「安全なウェブサイトの作り方」に準拠した検証・点検・実装

 IPA(独立行政法人情報処理推進機構)が提供している「安全なウェブサイトの作り方」は、ウェブサイトのセキュリティに一定の安全水準をもたらしてくれます。

 当社では、これに準拠してWebサイトの検証・点検・改善を実施するノウハウをもっています。

 単にこのガイドラインにそって検証・実施するだけでなく、そこからきめ細やかな処方箋を導き出し、それを実際に適用・実装することが重要です。

 また、堅固な防御に溺れるだけでは、コストパフォーマンスや日常の運用の利便性を見逃してしまいかねません。すべてを総合的に勘案したベストなセキュリティソリューションが求められます。

 当社ではこのようなセキュリティソリューションを計画から実施・実装まで一貫してご提供することができます。

[3] IPAによる「ウェブサイトの攻撃兆候検出ツール iLogScanner」を活用した解析

 “iLogScanner”は、IPA(独立行政法人情報処理推進機構)が提供する、Webサーバ向けの、不正アクセスを検出するためのツールです。ウェブサーバのアクセスログを分析材料として、攻撃と思われる痕跡を検出します。

 ペネトレーションテストが、サーバ全般対象で、かつ多種多様なテストを実施するのに対して、このツールの検証は、Webサーバに特化しています。ですから、ペネトレーションテストが比較的大規模で高価なのに対して、この検証は、比較的短期間に低コストで実施することが可能です。

 当社では計画から実施・実装まで一貫してご提供することができます。

[4] 当社独自のリカバリー(復旧)チェックリストによる診断

 当社ではこれまでの長年のサーバ管理の実績から、サーバ障害とその復旧の現場にも多数立ち会ってきました。それらのノウハウと経験則をもとに、当社独自のガイドラインを有しています。

 人間が設計し運用するサーバは、日常的にどれだけ注意を払っていても、障害やトラブル、あるいは大災害に見舞われます。

 その際に、どれだけダウンタイム(停止時間)を短縮化するかが最重要課題となります。

 当社では、サーバのバックアップ、代替機能の提供から人的配置・体制の構築、緊急時ガイドラインの策定まで、幅広い緊急時対応サービスを提供することができます。

[5] その他の診断・コンサルティング

 これまでにあげてきた当社のセキュリティソリューション、サービス以外にも、下記のような診断や調査・分析もご提供可能です。

 *SSL実装診断(主に対象ウェブサイトのSSLプロトコル・cipher suite の診断)
 *DNSサーバ実装診断(主に対象DNSサーバの脆弱性診断)
 *Webフォーム実装診断(主に対象Webフォームの脆弱性診断)

[6] 具体的なセキュリティ強化(対策・改善の処方箋~実施・実装)

 このページでも繰り返し述べているように、セキュリティ対策は、検証と診断まででは功を奏しません。そこから具体的な“処方箋”を策定し、「具体的に何をどのように変更すれば、あるいは改善すれば、現状よりもセキュリティが高まるのか」という施策が重要になります。

 そして、それを実際に正しく適用・実装するところまで求められます。当社ではこのような一貫した対応を得意としています。

 また、日々新たな脆弱性情報がもたらされます。それを低コストで回避する戦略も必要です。さらには、お客さま組織内においても、セキュリティ意識を高めていただき、セキュリティに対する知恵と習慣を備えていただく、人的な体制の構築も必要です。

 こうしたことをお客さまの「現場」と一体となってご提供することが当社の強みです。