セキュリティ対策は一通り実施したつもりでも、これで万全かというといま一つ自信が持てない。ならば、外部のセキュリティ専門家の手を借りて自社の状況を客観的にチェックしてもらい、「弱点」を見つけよう──ということで、脆弱性診断に加え、偽のサイバー攻撃をあえて受けることで対応力を試す「ぺネトレーションテスト」「レッドチーム演習」への注目が高まっている。デジタル庁が「政府情報システムにおける脆弱性診断導入ガイドライン」をまとめるなど、制度面での後押しも進んでいる。
ただ、何となく「うちもやったほうがいいのかな」というあいまいな理由だけで実施しても、投資に見合った効果が得られるかというと疑問が残る。どうせ実施するならば、実のある診断・演習を実施したいものだ。どういったポイントに留意して取り組むべきか。Sansanなどの企業によるペネトレーションテストを支援するGMOサイバーセキュリティ byイエラエ(イエラエ)のサイフィエフ・ルスラン氏(サイバーセキュリティ事業本部執行役員)に尋ねた。
一口に「セキュリティ診断」といっても、内容はさまざまだ。
まず、Webサービスとして外部に提供するプロダクトの脆弱性をチェックする“Webアプリケーション診断”、社内のサーバなどプラットフォームを対象にスキャンを行って脆弱性を洗い出す“プラットフォーム診断”など、対象範囲の違いがある。
また、既知の脆弱性が存在しないかを一通り確認する「脆弱性診断」から、外部の攻撃者の視点で「管理者権限の奪取」「顧客情報の取得」といったゴールが達成できるかどうかを確認するペネトレーションテスト、そして組織全体を対象にあらゆる手段でテストを実施するレッドチーム演習など、目的や深さによっても違いがある。
その上この1〜2年で、さまざまなベンダーが「診断サービスを提供します」と発表している。その内容を見ると、同じ言葉で違うサービス内容だったり、逆にサービス名称は違っても似たような診断を行っていたりと、若干カオスな状態だ。
そんな中でこの種の診断サービスを利用する際、まず抑えるべきは「自社のセキュリティ対策はどのようなステージにあるかを知ることです」とルスラン氏は述べた。
これまで脆弱性診断を受けた経験があるかどうかに始まり、社内のセキュリティ体制はどうなっているか、アプリケーションやシステムはセキュリティを考慮して作られているのか、パッチの管理を実施しているのか──そういった事柄によって、自ずとどんなサービスを利用すべきかは変わってくる。
例えば、これまで定期的に脆弱性診断を受け、修正するサイクルをある程度確立してきた会社ならば、次はペネトレーションテストやレッドチーム演習にチャレンジするのは悪くない話だ。逆に、自社システムの資産管理すらできていない段階だったり、管理者権限のパスワードが容易に推測可能だったりする状態で本格的な診断を受けても、それ以前の問題が多すぎて話にならなくなってしまう。
ルスラン氏はこのように説明し、自社の現状をまず把握した上で、「どのような診断が一番刺さるか」を検討しなければならないと説明。そして、診断サービスを受けるに当たって一番求められるのは「覚悟」だと述べた。
「上から言われたからとか、レギュレーション上必要だからといった理由で診断を受けることもあります。しかし、『これまで予算を投じ、さまざまなセキュリティソリューションを導入したけれど、本当にそれは有効なのか。我々の把握していない穴はないか』という問題意識を持ち、自社のセキュリティを高めたいという覚悟を持つ会社ならば実施すべきだと思います」
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR