「うちもやったほうがいいのかな」というあいまいな理由だけでペネトレーションテストを実施しても、投資に見合った効果が得られるかというと疑問が残る。どうせ実施するならば、実のある診断・演習を実施したいものだ。どういったポイントに留意して取り組むべきか。
まず、Webサービスとして外部に提供するプロダクトの脆弱性をチェックする“Webアプリケーション診断”、社内のサーバなどプラットフォームを対象にスキャンを行って脆弱性を洗い出す“プラットフォーム診断”など、対象範囲の違いがある。
また、既知の脆弱性が存在しないかを一通り確認する「脆弱性診断」から、外部の攻撃者の視点で「管理者権限の奪取」「顧客情報の取得」といったゴールが達成できるかどうかを確認するペネトレーションテスト、そして組織全体を対象にあらゆる手段でテストを実施するレッドチーム演習など、目的や深さによっても違いがある。 その上この1~2年で、さまざまなベンダーが「診断サービスを提供します」と発表している。その内容を見ると、同じ言葉で違うサービス内容だったり、逆にサービス名称は違っても似たような診断を行っていたりと、若干カオスな状態だ。これまで脆弱性診断を受けた経験があるかどうかに始まり、社内のセキュリティ体制はどうなっているか、アプリケーションやシステムはセキュリティを考慮して作られているのか、パッチの管理を実施しているのか──そういった事柄によって、自ずとどんなサービスを利用すべきかは変わってくる。
例えば、これまで定期的に脆弱性診断を受け、修正するサイクルをある程度確立してきた会社ならば、次はペネトレーションテストやレッドチーム演習にチャレンジするのは悪くない話だ。逆に、自社システムの資産管理すらできていない段階だったり、管理者権限のパスワードが容易に推測可能だったりする状態で本格的な診断を受けても、それ以前の問題が多すぎて話にならなくなってしまう。「上から言われたからとか、レギュレーション上必要だからといった理由で診断を受けることもあります。しかし、『これまで予算を投じ、さまざまなセキュリティソリューションを導入したけれど、本当にそれは有効なのか。我々の把握していない穴はないか』という問題意識を持ち、自社のセキュリティを高めたいという覚悟を持つ会社ならば実施すべきだと思います」
日本 最新ニュース, 日本 見出し
Similar News:他のニュース ソースから収集した、これに似たニュース記事を読むこともできます。
不動産ミステリー「変な家」の映画が賛否両論な理由、マンガ家が考察:サダタローのゆるっとマンガ劇場(1/7 ページ)映画「変な家」が15日に公開され、週末3日間の観客動員数34万4000人、興行収入4億7400万円と順調なスタートを切りました。ただ、SNSの感想を見てみると賛否両論あるようです。
続きを読む »
社会制度のバグ? 本人確認の穴を突いたマイナンバー過信の新手口とは:小寺信良のIT大作戦(1/3 ページ)いわゆる振り込め詐欺の手口は、いつの時代にも手を替え品を替え新しい手法が開発され続けてきているが、今年3月にはこれまで聞いたことがない手口の詐欺事件が発覚した。女性のマイナンバーカードの情報を元にネットバンキング口座を無断で作り、そこに本人に現金1400万円を振り込ませたという。
続きを読む »
冷えた肉まんを入れておくだけで“熱々”に 電子レンジみたいな布バッグ「HO-ON」の革新性:分かりにくいけれど面白いモノたち(1/6 ページ)「CES2024」でベストオブイノベーションを受賞した、持ち運べる電子レンジバッグ「WILLCOOK HO-ON」は、ものすごくイノベーティブな製品だと思うのだ。しかも開発の経緯も面白い。
続きを読む »
「1億円超の損失」「相次ぐ社員の退職」を乗り越え上場 マネされにくい立ち飲みチェーンはどのように誕生したのか(1/4 ページ)【後編】小型の立ち飲み居酒屋「立呑み焼きとん大黒」を成長させ、2月28日に東証グロース市場と名証ネクスト市場に上場した企業がある。社長が成長までの道のりを語った。
続きを読む »
なぜ企業は「誰も使わないアプリ」を生み出すのか? 顧客の気持ちをないがしろにしてしまうワケ:LTVの罠(1/2 ページ)失敗する最大の原因とは何か。
続きを読む »
導入したけど誰も使ってくれません! 重視すべき「チェンジマネジメント」とは(1/2 ページ)新しいシステムの導入は人的要因で失敗することがある。新システムに適応するには少なからず負担がかかる。そこで重視すべきが「チェンジマネジメント」だ。本稿ではチェンジマネジメントに基づくシステム導入のコツを紹介する。
続きを読む »