業務中、システムやソフトウェアを安全に利用するためにかかせないセキュリティ対策。
ですが、現在どんなセキュリティリスクがあるのか理解していなければ、そもそも対策の立てようがありません。
「気づかないうちに、ハッキングされていた」
「いつのまにか情報が漏洩してしまった」
企業の信頼を失いかねない、そんな最悪の事態は避けたいところです。
「そういわれても、何を対策をすればいいかすらわからない」
そんな時は、セキュリティテストを実施しましょう。
セキュリティテストは、システムやソフトウェアを安全に利用するためにセキュリティがおろそかになっている部分を可視化するテストです。
セキュリティテストとはなんなのかを具体的に理解し、安心して業務に取り組めるようにしましょう。
今回は、セキュリティテストの内容、注意点、基準例を解説します。
セキュリティテストとは
セキュリティテストとは、通称で脆弱性(ぜいじゃくせい)検査ともいい、「ソフトウェア」「サーバー」「システム」「アプリ」にて、プログラムの不具合、バグ、設計ミスといった原因により、発生した情報セキュリティ上の欠陥を調べるためのテストです。
主に、「セキュリティシステムが正常に動作しているか確認する」「セキュリティリスク(脆弱性)を発見する」ために、テスト用のプログラムを起動したり、チェックリストにのっとって、確認していきます。
万が一、脆弱性や欠陥が発見された場合は、それに対して対策が必要です。
セキュリティテストの内容について
セキュリティテストは「アプリケーション診断」と「プラットフォーム診断」の2種類に大別されています。
アプリケーション診断は「ソフトウェア」「ツール」「アプリ」に関する脆弱性を検査する診断で、プラットフォーム診断は、「OS」「ミドルウェア」「ネットワーク機器」に脆弱性があるかないかを調べる検査方法です。
- アプリケーション診断項目例
- SQLインジェクション
- OSコマンドインジェクション
- クロスサイトスクリプティング
- クロスサイトリクエストフォージェリ
- ディレクトリトラバーサル
- 強制ブラウジング
- プラットフォーム診断項目例
- ホスト情報収集
- ポートスキャン
- 脆弱性検査
- サービス設定検査
- アカウント検査
- パスワード検査
詳細な内容は「サーバーが正常に動いているか」「システムが正しく運用されているか」「設計のチェック」「ソースコードのチェック」と、かなり専門的なチェックも含まれており、サイバー攻撃をする攻撃者の目線から判断し、セキュリティの脆弱性が余地が無いか確認します。
「クレジットカード」「住所氏名」「電話番号」といった顧客の重要情報を扱うWebサイトや、それに関するスマホアプリを運営する場合は必須の検査です。
セキュリティテストを実施するうえでの注意点
セキュリティテストについて簡単に紹介しました。
つづいて、セキュリティテストを実施するとき、どんなことに気を付けなければならないのかを紹介します。
セキュリティテストの種類によって特性が異なる
セキュリティテストには、
- 手動診断(マニュアル診断)
- ツール診断
の2種類があり、それぞれ特徴が異なります。
| 診断名 | メリット | デメリット |
|---|---|---|
| 手動診断 (マニュアル診断) |
専門知識のある人物が、実際に診断を行う | 作業コストと時間がかかる |
| ツール診断 | 検査ツールを使って機械的に診断するため、短時間で終了し簡単 | 手動診断よりも精度が低い可能性があり、ツールの使い方を学ぶ必要がある |
どちらを行うべきか、どちらが自社に適しているか、高精度なセキュリティ対策をするには両方を実施するのがいいが、その分のリソースはあるか。
自社の都合にあわせて、セキュリティテストを実施する必要があります。
専門的知識のある人材がいない(不足)
社員にセキュリティ対策の知識を持つ人材がいない場合、マニュアル診断では十分な効果を発揮できない可能性があります。
専門家や業者へ依頼する場合も、自社のIT部門の担当者やエンジニアのリソースを割くことになり、通常業務へ影響が出たり、コストがかかってしまいます。
開発業務以外のタスクが増えてしまい大きな負担となります。
セキュリティテストの食い違い
発注者と開発者で、セキュリティテストの有無が食い違ってしまう場合があります。
実施するのが当然と思い、発注側が、セキュリティテストについて依頼書で言及せず、開発者は不要だと思い、後々になってセキュリティテストの有無で食い違いがが発生するケースです。
あらかじめ、この認識はすりあわせておきましょう。
セキュリティテストの基準例
5分でできる!情報セキュリティ自社診断
「5分でできる!情報セキュリティ自社診断」は、独立行政法人 情報処理推進機構 (IPA)が提供している、情報セキュリティ対策のレベルを数値化して、現在の情報セキュリティにおける問題点を見つけるツールです。
診断編ではチェックシートをつけて、現在の情報セキュリティの状態を評価し、その後、解説編を読むことで、各チェック項目で設定されている設問について、理解を深めることができます。
診断編にある設問の内容が、自社で対応していない場合に生じる情報セキュリティへのリスクと、今後どのような対策を設けるべきかを把握することができます。
無料かつ、短時間で手軽に試すことができるので、試してみてください。
情報セキュリティ・ポータルサイト「ここからセキュリティ」
独立行政法人 情報処理推進機構 (IPA)が提供している、セキュリティに関するリンク集です。
セキュリティに関する情報や、クイズ形式でセキュリティチェックができるサイト情報がまとめられています。
IT知識別にリンクがまとめられているので、社内教育やITにまつわる基礎的な勉強ができるサイトです。
組織の情報セキュリティ対策自己診断テスト「情報セキュリティ対策ベンチマーク」
情報セキュリティ対策ベンチマークは、独立行政法人 情報処理推進機構 (IPA)が提供しているベンチマークです。
業界別等の基準に当てはめた診断項目や、よりセキュリティレベルの高い基準による診断項目を使うことで、さまざまな基準でセキュリティ対策レベルを診断することができます。
Web上で設問にこたえるだけで簡単に情報セキュリティ対策について学ぶことができ、実践的な対策方法まで解説されています。
設問を最後まで答えると、レーダーチャートで現在の状況が可視化され、どこを強化すればいいかが一目でわかるのも特徴です。
独立行政法人 情報処理推進機構「安全なウェブサイトの作り方」
「安全なウェブサイトの作り方」は、独立行政法人 情報処理推進機構 (IPA)が提供している、IPAが届出を受けた脆弱性関連情報をベースとして、届出件数の多かった脆弱性を取りあげて資料にまとめたものです。
実際の事例の中で、攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮できるように詳細に説明されています。
今まで紹介してきたものよりも、読み物に近く、やや専門的な知識が必要です。
LRMのセキュリティチェック
ここまでセキュリティテストについて解説してきました。
ですが、より高度なセキュリティテストを実施するには、時間やコストがかかり、セキュリティに詳しい人材がいなければ、教育の手間もかかってしまいます。
- 従業員のセキュリティ意識やレベルに課題がある
- セキュリティについて何をすべきかわからない
- もっと簡単にセキュリティ対策をしたい
そんな方は、ぜひこの機会に「セキュリオ」の利用を検討してみてください。
「セキュリオ」が用意したセキュリティに関するアンケート形式の質問に答えるだけ自社がどのようなセキュリティ対策を実施できているのか、どこが足りないのかを簡単に把握できます。
設問はISO/IEC 27001の規格をもとに作成されているので、国際基準のチェックができ、セキュリティ対策が不十分な箇所は、「セキュリオ」が提案する代表的な対策例を参考に、自社に適したセキュリティ対策を選んで実施するだけ!
具体的にどのような対策をすべきかは、「セキュリオ」が教えてくれます。
「セキュリオ」のススメに従って対応することで、ISMS基準のセキュリティ体制を構築しましょう。
まとめ
情報セキュリティ対策は、情報資産の機密性・完全性・可用性を確保する対策であり、技術的・組織的・人的安全管理策が必要です。
特にサイバー脅威を想定すると、技術面・組織面・ルール面それぞれ単一の施策では通用しません。また、完全にサイバー脅威をなくすことは難しいので、被害を最小限にする施策を具体的に考えましょう。そのためには、重畳的な対策を、環境の変化に応じて行うことが重要です。
また、こちらにセキュリティテストに活用できる、現役セキュリティコンサルによる作成のセキュリティチェックシートをご用意いたしました。
無料でダウンロードできますので、ぜひ本記事とあわせてご活用ください。
