[技術解説]

セキュリティ診断サービス - 賢いセキュリティ対策 Part6

2009年5月28日(木)

ツールと手動で弱点をあぶり出す 項目を絞った廉価版も登場 「外部からの攻撃」に対して、自社のシステムはどれほど安全なのか。あるいは、どれほど無防備なのか。これをチェックしてくれるのが専門業者が提供する「セキュリティ診断サービス」だ。

SQLインジェクションによるデータベース改ざん、クロスサイトスクリプティングによる情報漏洩、セッション管理の不備によるなりすまし─。企業のWebサイトが直面する脅威は増え続けている。もちろん多くの企業はすでに対策を打っているが、その堅牢度のレベルは客観的に判断しにくい。そこで検討したいのが、最新のセキュリティ動向に通じた外部の専門家の助けを借りることだ。

ベンダー各社は、Webアプリケーションにおける脆弱性の有無を検査・分析し、緊急度や対策法をアドバイスするサービスを展開している。その多くは、ツールを使ったソースコード解析と、技術者がWebサイトに疑似攻撃する手動診断を併用している。ツール診断に絞ったサービスは、大量のWebアプリケーションを短期間にチェックしたい企業に向くと言える。

これらサービスの価格は数十万からと、決して安くはない。しかも、Webサイトの安全対策は費用対効果が見えにくいため、投資しづらいと感じている企業は少なくない。そうした企業に向けて、診断項目や対象を限定することにより価格を抑えたサービスも出てきている(表6-2)。SaaS型で診断サービスを提供するベンダーも登場した。これらのサービスを利用して自社のWebサイトの現状をある程度つかんでから、本格的な診断サービスを検討するといった使い方をするのもよいだろう。

PDFをダウンロード下記の表をPDFでダウンロード

この記事の続きをお読みいただくには、
会員登録(無料)が必要です
登録済みの方はこちら

IT Leaders 雑誌版、電子版をご購読の方、会員登録済みの方は下記ボタンよりログインして続きをお読みください

初めての方はこちら

IT Leaders 会員になると
会員限定公開の記事を読むことができます
IT Leadersのメルマガを購読できます

関連記事

セキュリティ診断サービス - 賢いセキュリティ対策 Part6ツールと手動で弱点をあぶり出す 項目を絞った廉価版も登場 「外部からの攻撃」に対して、自社のシステムはどれほど安全なのか。あるいは、どれほど無防備なのか。これをチェックしてくれるのが専門業者が提供する「セキュリティ診断サービス」だ。

PAGE TOP