国民のための
サイバーセキュリティサイト
国民のための
サイバーセキュリティサイト
国民のための
サイバーセキュリティサイト
脆弱性診断やペネトレーションテストを実施することで、システムの持つ弱点を見つけることができます。脆弱性診断やペネトレーションテストにはいくつかの方法がありますが、もっとも確実な方法は情報セキュリティ専門家による診断サービスを依頼することです。
Webアプリケーションやプラットフォームなどシステムに脆弱性を発見するために行う検査を脆弱性診断と言います。
後述のペネトレーションテストと異なり、対象のシステム全体に対して網羅的に検査を行い、攻撃のきっかけとなりうる脆弱性を見つけることを目的としています。情報セキュリティの企画や基準と照らして評価を行うため、直ちに攻撃に繋がらないがセキュリティ上望ましくない点も含めて脆弱性を洗い出すことができます。
攻撃者と同じ視点で攻撃を行い、実際に攻撃が成功するかをリスクベースで確認する検査をペネトレーションテストと言います。
脆弱性診断と異なり、現実的に想定される攻撃シナリオに沿って目的を達成できるかを確認します。そのため、攻撃者にとって狙い目となるセキュリティ上の欠陥が無いかを評価することができ、その攻撃シナリオによってどの程度の被害が生じるかも確認することができます。
脆弱性診断やペネトレーションテストを行い、WebアプリケーションのSQLインジェクションの脆弱性や、セッションハイジャックの脆弱性の有無などを診断することで、設置したサーバのセキュリティ強度が確認でき、さらに強化すべきポイントを明確にすることができます。
なお、これらのセキュリティ診断は一般的には有料のサービスとして提供されていますが、インターネットで公開されているフリーウェアの診断ツールを入手して、自分である程度のチェックを試みる方法もあります。