プラットフォーム診断未実施が招くリスクを教えてください。

プラットフォーム診断とは何か？

プラットフォーム診断とは、システムを構成するネットワーク機器やサーバー等に対して、ネットワーク経由での侵害を受ける可能性のある設定不備やCVEが採番されているような既知の脆弱性が存在するか確認することを主な目的とした脆弱性診断です。

プラットフォーム診断未実施の場合のリスク

プラットフォーム診断を行わない場合のリスクとして、以下のようなケースが挙げられます。

• システムを構成するネットワーク機器やサーバーに存在する既知の脆弱性を悪用され、システムへの侵入、重要情報の漏洩、改竄等の被害を受けるリスク
• OS/ミドルウェアの設定不備を悪用され、外部の第三者へのDoS攻撃の踏み台に利用されてしまうリスク
• データを暗号化され、身代金を要求されるリスク
• ホームページやコーポレートサイトを改竄されることで発生するレピュテーション低下リスク
  
  

具体的な診断対象とチェックポイント

情報資産の構成/所有数や使用しているソリューションの種別により、実際の診断の優先順位は変わりますが、一般的に優先度の高い診断対象としては、DMZ上に存在するサーバー群やVPS、インターネットゲートウェイなど、外部の第三者から直接アクセスできる可能性が高いネットワーク機器/サーバー等が挙げられます。

プラットフォーム診断を実施する主要なタイミング

プラットフォーム診断を行うべき主要なタイミングについて見ていきます。

新規システムの構築時/本番稼働前

インターネット上には自動化された攻撃(bot)による通信が大量に流れており、知名度の高い設定不備やデフォルトパスワードなどが原因で、サーバーを公開した直後にセキュリティ侵害を受けてしまう可能性も考えられます。
そのようなリスクを軽減するためにも、新規に構築したシステムは、外部公開前にプラットフォーム診断を実施することが望ましいです。

ネットワーク構成の大幅変更時

ネットワーク構成変更時に、今まで潜在的に存在していた脆弱性や設定不備がインターネット上に晒されてしまう可能性も考えられるため、このようなタイミングでも脆弱性診断を行うことでリスク低減を図ることが出来ます。

定期的な確認

攻撃手法の進化や新たな脆弱性の発見など、情報セキュリティを取り巻く情勢は日々目まぐるしく変化しています。システムのリリース時や大幅な改修時以外にも、定期的に脆弱性診断を行うことで、対策状況の見直しを行うことが重要です。

まとめ

プラットフォーム診断未実施には、機密情報漏洩や改ざん、サーバーへの侵入など、多岐にわたるリスクが潜んでいます。
本記事を参考に、適切なタイミングで脆弱性診断をご検討いただくことで、OS/ミドルウェアの脆弱性や設定不備に起因するインシデント発生のリスクを大幅に低減できます。
脆弱性診断を行うためには、予算や診断の目的に応じ、優先度付けや診断対象の選定を行う必要があります。

セキュリティコンサルタントに相談することで助言を得られますので、お困りの方は問い合わせを検討してみてはいかがでしょうか。