ラックのセキュリティ診断サービスについて
セキュリティ診断とは、お客様のITシステムに対して攻撃者の視点から様々な疑似攻撃を考察・試行することで、サイバー攻撃のリスクがある脆弱性を見つけ出し、サイバー攻撃への対策を進めるものです。
ITシステムは多種多様な機器や製品を複雑に組み上げられているため、セキュリティ診断はそれぞれの分野に細分化されたサービス内容となります。
そこで、ラックが提供するセキュリティ診断サービスにはどのような種類があり、ご要望に的確なサービスは何かを説明します。
セキュリティ診断へのニーズ変化
セキュリティ対策ニーズが高まった当初は、サイバー攻撃を直接受ける可能性のある機器に、脆弱性と呼ばれるセキュリティ対策の不備が内在していないかを、網羅的に調査することを「セキュリティ診断」と呼んでいました。
セキュリティ診断は、サイバー攻撃による被害発生を未然に防ぐことを目的としたもので、コンピュータなどの機器に残っている脆弱性を洗い出したいという市場ニーズに応えるため開発されました。
その後、攻撃を受ける可能性のある機器を守るために、ファイアウォール、代理サーバ、侵入検知システムなどのセキュリティ対策製品が生まれ、それらの対策を組み合わせることで総合的なセキュリティ強度を高めるようになりました。
しかし、攻撃手段の高度化はとどまることを知らず、特定の企業をピンポイントに攻撃するいわゆる標的型攻撃や、正規のWebサーバを乗っ取り、不正なソフトウェアを紛れ込ませ、Webサイト訪問者に遠隔操作ウイルスを侵入させるなどの攻撃により、企業の被害は収束することはありません。
そして今、マルウェアの企業内への侵入を完全に防ぎきることは現実的ではない、という理解のもと、マルウェアに侵入された場合の被害予測を診断したり、攻撃者と同様のノウハウを持つセキュリティ技術者が疑似的に攻撃することで、セキュリティ強度を検証する要望が増えています。
進化するラックのセキュリティ診断サービス 一覧
サービス名 | 内容 | 実施者 |
---|---|---|
ペネトレーションテストサービス (疑似攻撃・侵入テスト・TLPT) |
お客様の運用している外部公開サーバや従業員などあらゆる侵入経路に疑似攻撃を行います。成功した場合は、どこまで侵入でき、どのような情報を持ち出せるかを調査し、対策の有効性を診断します。 | ラック |
クラウドソーシング・セキュリティテスト「Synack(シナック)」 | 実際のサイバー攻撃と同じレベルの攻撃が再現可能なSynack社のペネトレーションテストサービスの提供を行っています。 | ラック |
Webアプリケーション診断 | Webアプリケーションの安全性を、主にリモート経由で診断します。 | ラック |
Webアプリケーション診断 SCUVA | SCUVAは、幅広いお客様に手軽にご利用いただけるよう、広範囲の診断項目や独自のノウハウをパッケージ化し、迅速かつ低価格で提供する診断サービスです。 | ラック |
プラットフォーム診断 | サーバ/ネットワーク機器の安全性を、主にリモート経由で診断します。ツールのみ低価格版あり。 | ラック |
クラウドセキュリティ設定診断(スポット診断) | お客様のクラウド環境上にて、リモート経由でクラウドの設定を診断します。診断後は検出された問題点の評価や対策について、レポート形式でご報告します。 | ラック |
クラウドセキュリティ設定診断 by MVISION Cloud | クラウド環境が適切なセキュリティ設定になっているかを1年間にわたって常時確認できるように支援いたします。 | ラック |
サーバセキュリティ設定診断(スポット診断) | お客様のサーバ環境において、設定のミスや見落としによる不備、セキュリティパッチの適用状況など様々な項目をチェックし、修正することによって安全性を確保するサービスです。 | ラック |
クライアント端末(PC)セキュリティ設定診断 | お客様のクライアント端末において、設定のミスや見落としによる不備など様々な項目をチェックし、修正することによって安全性を確保するサービスです。 | ラック |
スマートフォンアプリケーション診断 | スマートフォンアプリケーションのセキュリティ対策が適切であるか、問題点の有無を診断します。 | ラック |
IoTデバイスペネトレーションテスト | 悪意のある者が侵入に成功した場合、どのような行為を許してしまうのかを検証し、被害を未然に防げるようにするサービスです。 | ラック |
IoTセキュア開発コンサルティング | セキュアなIoTシステムを開発するにあたり、製品の観点だけでなく、事例を参照しながら、セキュリティにかかわる確認項目を洗い出し、脅威を分析しながらコンサルティングを進めます。 | ラック |
無線LANセキュリティ診断 | 無線LANアクセスポイントの安全性を診断します。また、無許可の無線LAN機器の有無を調査します。 | ラック |
ITセキュリティ予防接種 (標的型攻撃メール対応訓練) |
疑似的な標的型攻撃メール(訓練メール)を社員へ送付し、標的型攻撃メールへの対応力を高める体験学習型の教育プログラム。 | ラック |
ITセキュリティ予防接種 (標的型攻撃メール対応訓練)セルフ |
お客様自身が弊社のシステムを用いて、標的型訓練メールを自社に送付し、標的型攻撃メールへの対応力を高める体験学習型の教育プログラム。 | お客様 |
APT攻撃耐性検証(標的型攻撃疑似テスト) | 標的型攻撃でお客様組織内LANの端末がマルウェアに感染した前提で、現状のセキュリティ対策が有効か、組織内LANの対策に抜け漏れが無いか診断します。 | ラック |
セキュリティ診断内製化支援 | お客様によるセキュリティ診断の"内製化"を支援します。お客様の環境や目的に沿った最適なセキュリティ診断ツールをご提案し、セキュリティ診断結果を基に、脆弱性、分析結果についての専門的なご相談もお受けします。 | お客様 |
PCI DSS 認定 ASVスキャン | お客様がPCI DSS 要件11.2.2外部脆弱性スキャンに準拠するために必要なスキャンシステム1年間の提供とスキャン準拠証明書(Attestation of Scan Compliance)を発行し、関連するサポートを行います。 | お客様 |
1995年、ラックは正式に「セキュリティ診断サービス」の提供を始めましたが、サービス開始からしばらくはコンピュータ機器のオペレーティングシステムの脆弱性や、利用しているソフトウェアの脆弱性を発見するサービスが中心でした。
Webサイトが乗っ取られるなどの被害の急増により、Webサイトで使用している開発用ソフトウェアや、開発したWebアプリケーションの脆弱性を発見するサービスのニーズが高まりました。
通信環境の変化により無線通信のセキュリティ診断、マルチスクリーン時代にはスマートフォンアプリケーションに潜む脆弱性のセキュリティ診断、コンピュータ利用者の標的型攻撃の理解を促進する「ITセキュリティ予防接種」を提供しています。
2015年には、マルウェアが企業内部のネットワークに入り込んだことを想定し、どのような被害が発生するのかを検証するAPT攻撃耐性診断サービス「APT先制攻撃」を提供し、好評をいただいています。
そして2017年には、攻撃者と同じくインターネットを介して企業ネットワークを攻撃し、侵入することが可能かを調べて欲しいという要望が急増したことにより、今まで個別で対応していた攻撃者目線での調査を実施する総合セキュリティ診断「ペネトレーションテストサービス」を改めてメニュー化し、提供しています。
それぞれのサービスは、お客様が懸念しているサイバー攻撃被害を想定して用意しているもので、的確なサービスを選択または複数サービスを組み合わせることによりサイバー攻撃の脅威への耐性を調べることができます。