お役立ち資料
脆弱性?脆弱性診断?セキュリティの専門家が徹底解説セキュリティ対策の疑問
すべて解決!
012
石塚 萌
2024年7月8日
プラットフォーム診断は、顧客からの信頼損失を防ぐだけでなく、安全な企業活動を営むために必要不可欠な手段です。ネットワークやシステム基盤の安全性を網羅的に評価することにより、不正アクセスなどの脅威リスクを軽減することが可能となります。事前準備には、対象機器の明確化が必要となり、診断実施によるビジネスへの影響も考慮する必要があります。適切な事前準備を行うことにより、システムのセキュリティリスクを低減し、安全なプラットフォームを実現しましょう。
デジタルトランスフォーメーションが進む中、企業のデジタルプラットフォームは常に変化し、進化しています。この動的な環境において、プラットフォーム診断は、システムの健全性を保つための重要なプロセスです。それでは、プラットフォーム診断を行うための基本的なフローと方法について詳しく見ていきましょう。
診断を行う前に、目的と範囲を明確にします。例えば、新たにネットワーク基盤を構築した際に、安全にリリースするために診断を行うことや、社内規定や国際的なセキュリティ基準に則るために定期的に外部公開システムへの診断を行うなど、診断を実施する目的は様々です。まず、「どのような問題を特定したいか」などの目的を明確にしたうえで、その目的に沿って、所有しているサーバ群やネットワーク機器から診断対象を選定します。
また、診断によって、システム障害やデータ破損などが発生する可能性があります。ビジネスへの影響を最小化するためにデータのバックアップや人員の確保などをして備える必要があります。
セキュリティベンダーは事前準備で用意した情報を基に診断を実施します。対象機器にアクセスし、サービスの稼働状況やバージョンなどの基本的な情報に加え、稼働サービスの設定確認やSSL/TLS調査などといった、セキュリティ上の問題となる脆弱性を特定するための詳細な調査が行われます。
診断結果をもとに、発見された脆弱性、確認方法と推奨される改善策を含む報告書と共に報告を受けます。報告書は、技術チームだけでなく、経営層にも理解できる形で作成されているものもあります。
報告書の推奨事項に基づき、問題点の修正を計画し、対処していきます。対処完了後、再度セキュリティベンダーにて診断を行うことで、問題が解決していることを確認することが可能です。
診断を実施する際には以下のような内容を重視するとよいでしょう。
プラットフォーム診断を実施するためには、事前準備が必要です。これには、対象機器の明確化、IPアドレスリストの準備など多くの要素が含まれます。
プラットフォーム診断を行うためには、まず対象となる機器を明確にする必要があります。例えば、診断の目的が新規構築した外部公開システムを安全にリリースするためである場合は、その外部公開予定のシステムで利用している機器を診断対象とします。このように、目的に沿って診断対象機器を選定し、確定します。また、正確にリスクを把握するためには、本番稼働中の機器を対象とすることが望ましいですが、特に重要な役割を持つ場合や負荷に弱い場合は、本番稼働中の機器と同構成である開発環境もしくは検証環境にて実施することが推奨されます。
対象機器のIPアドレスをすべてリストアップし、セキュリティベンダーに連携します。診断実施者と診断対象機器の認識を合わせ、想定外の対象への診断行為によるトラブルを防ぐ必要があります。また、動的IPアドレスを使用している場合や、IPアドレスを設定していない場合は、FQDNにて診断を実施するため、FQDNをIPアドレスリストに含める必要があります。
社内の体制を整備することも重要です。診断を実施した際に、セキュリティ機器によって診断行為が攻撃行為だと認識され、通信が遮断される可能性があります。これにより、対象システムを正しく評価することができず、診断を中断せざるを得ない場合があるため、セキュリティ機器の設定を通信が遮断されないように変更する必要があります。
また、診断によりシステム障害やデータ破損などが発生する可能性があります。影響を最小化するために、事前にシステムのバックアップを作成しておくことや、復旧作業のための人員を確保するなど、万が一の事態に備える必要があります。
近年、クラウドネイティブの時代となり、多くの企業が物理環境からクラウド環境への移行が進んでいます。利用するクラウドサービスによって、サービス利用者とサービス事業者の責任範囲が大きく異なるため、責任範囲を正しく理解した上で診断を実施する必要があります。
そして、クラウドサービスは診断行為が禁止されている場合があります。診断実施の際は、サービス事業者へ事前に実施可否を確認する必要があります。
日々新たな脆弱性が発見され、サイバー攻撃の事件が多発している中で、安全な企業活動を営むためにはプラットフォーム診断は必要不可欠な存在と言えます。対象システムの明確化から始まり、診断実施と報告、そして問題の修正に至るまで、多くのステップが含まれており、定期的に繰り返し実施することにより、常に安全なプラットフォームを保つことが可能となります。
特に、対象の明確化や体制の整備などの事前準備が、プラットフォーム診断を成功させるための鍵を握ります。
適切な事前準備を行うことにより、システムのセキュリティリスクを低減し、安全なプラットフォームを実現します。