セキュリティに関する課題・目的
情報セキュリティのリスク要素は、脅威と脆弱性が存在します。リスクアセスメント(特定・分析・評価)をすることで講じるべき対策が見えてきます。アプリケーションセキュリティのリスク要素は脆弱性です。診断をし脆弱性対策をすることで解決できます。
情報セキュリティのリスク要素は、脅威と脆弱性が存在します。リスクアセスメント(特定・分析・評価)をすることで講じるべき対策が見えてきます。アプリケーションセキュリティのリスク要素は脆弱性です。診断をし脆弱性対策をすることで解決できます。
ペネトレーションテストと脆弱性診断の両方の対策を実施することで、お客さまシステムの総合的な観点から継続的なセキュリティ対策が可能になります。また、Webアプリケーションファイアウォールはインターネット上の「盾」となり、SQLインジェクション、Web改ざん、不正ログイン、ガンブラー等によるウィルス拡散、個人情報等の機密情報の流出などのサイバーセキュリティに関するトラブルを未然に防ぎます。
サイバー攻撃は様々な手口が存在し日々、攻撃手法は進化し続け、新しい攻撃方法が出てきます。標的型攻撃はサイバー攻撃の一種で主流となっている攻撃手法です。システムへの不正侵入や標的型攻撃メールで企業の情報漏えい事故のリスクが高まります。ペネトレーションテストは、外部内部ともに想定されるシナリオをもとに攻撃者が実行する仮説を立てて、模擬ハッキングによる実践的なテストを実施することも可能です。標的型攻撃メール訓練サービスは、不審なメールに対する従業員の対応を訓練することで、ビジネスシーンでも迷惑メールや詐欺メールによるパソコンのウイルス感染、マルウェア感染などによる、企業の情報漏えい事故のリスクを未然に回避するメールトレーニングサービスです。サイバー攻撃に対する技術的対策と人的対策を実施することで、情報セキュリティの事前対策の「予防」と事後対策の「対応」が可能です。
働き方改革によりテレワークが社会的に普及しました。パソコンを利用しリモートで対応できることが増加したことで、システム安定稼働とセキュリティ対策も重視されています。仮想デスクトップ環境(シンクライアント環境)を利用することで、センシティブなデータを取り扱う業務に関しては、パソコンの紛失による情報漏えい事故の防止につながることで企業のニーズは増加しています。シンクライアント環境を構築するシステム(VDI環境)では、クライアントマシン(パソコン)のデスクトップ環境を一元管理しているため、セキュリティインシデントによるシステム障害が発生すると従業員全体の業務に影響が出てしまうリスクが存在します。ペネトレーションテストでは、ITシステム(VDI環境や社内ファイルサーバなどの社内環境)への不正侵入防止の為に実践的なテストを実施できます。また脆弱性診断を実施し対策を講じることで、システムへの脆弱性をついた不正アクセスなどのリスクを未然に防止します。テレワークが普及する一方で悪意のある攻撃者は好機と見なし、標的型攻撃メールを送信し、ウイルスやマルウェア感染を足がかりに、企業の機密情報窃取を実行します。標的型攻撃メール訓練サービスは、不審なメールに対しての対応をトレーニングし、従業員のセキュリティに対する意識高揚を促すことが出来ます。
近年、パブリッククラウドの利用が急速に進んでいます。企業にとってクラウドサービスの利用は、経済面や運用工数の削減など、様々なメリットをもたらす一方で、自由度が高い事による新たな課題も発生しています。特にIaaS領域のセキュリティ設定等に関しては、利用者側の責任や対応範囲が広く、情報漏洩等の事故を未然に防ぐには、しっかりと対策を講じておく必要があります。その際に重要な事は、クラウドサービス利用に対して統一のセキュリティ基準を設け、継続的な評価と強化のサイクルを回す事ですが、企業においては複数のクラウドサービスを利用しているケースが多く、その管理が煩雑になりがちです。クラウドセキュリティ設定診断サービスでは、著名なセキュリティフレームワークに照らし合わせた管理設定の適合状況、必要な対策を明確にご提供致します。現在稼働中のシステムはもちろん、これから運用が開始されるシステムに対しても、容易にセキュリティレベルの向上が実現可能です。また、WEBアプリケーション層やシステムプラットフォーム層の脆弱性診断などと組み合わせて実施する事により、年間を通した総合的なセキュリティ監査にも対応いたします。
| 目的 | 対応サービス |
|---|---|
| クラウドサービス設定の確認と対策 | クラウドセキュリティ設定診断サービス |
| OS・ミドルウェアなどの脆弱性確認 |
プラットフォーム脆弱性診断(ツール診断) システムプラットフォーム層脆弱性管理サービス OSS/内部ホスト脆弱性管理サービス |
| WEBアプリケーション脆弱性確認 |
WEBアプリケーション脆弱性診断(ツール診断) WEBアプリケーション層脆弱性管理サービス 脆弱性手動診断サービス |
個人情報やWebサービスをサイバー攻撃から守る第一歩としてセキュリティ対策をするためには、まずセキュリティの問題点(脆弱性)を見つけることが必要です。セキュリティ診断・脆弱性診断サービスは、ウイルス対策の実施やOSやアプリケーションのバージョンアップなど基本的な対策の次に必要とされる対策であるとともに、比較的安価かつ短期間での実施、結果確認ができます。個人情報漏えいやサイバー攻撃などによる多大な被害を未然に防ぐ、非常に費用対効果の高いセキュリティ対策です。
アイティーエムではネットワーク・OS・ミドルウェアやWebアプリケーションを対象として、安価で網羅的に診断できるツール診断を提供。SaaS型なので最短2営業日で診断が可能で、手軽にWebブラウザで診断からレポートの確認まで行えます。
Webサイトはインターネットに公開されているため、多数のアクセスを受けることで負荷が高まりやすく、サイバー攻撃などの脅威に晒されやすいことが特徴です。具体的には、脆弱性の悪用、Web改ざんによる閲覧者のウイルス感染、高負荷によるサイト機能停止、パスワード・個人情報などの窃取、などの脅威が存在します。定期的な脆弱性診断で脆弱性の確認、Web改ざん検知で改ざん箇所を確認、Webアプリケーションファイアウォールで妨害攻撃から防御、SSLサーバ証明書で暗号化通信の実現。システムプラットフォーム層脆弱性管理サービスとWEBアプリケーション層脆弱性管理サービスでは、サーバサイドのOS・ミドルウェアとWEBアプリケーションの脆弱性管理を実施することで、Webサイトの安全性を定期的に確認し継続的なセキュリティ対策が実現できます。
| 目的 | 対応サービス |
|---|---|
| OS・ミドルウェアなどの脆弱性確認 |
プラットフォーム脆弱性診断(ツール診断) システムプラットフォーム層脆弱性管理サービス |
| WEBアプリケーションの脆弱性確認 |
WEBアプリケーション脆弱性診断(ツール診断) WEBアプリケーション層脆弱性管理サービス OSS/内部ホスト脆弱性管理サービス |
| WEBサイト改ざん防止 |
Web改ざん検知 WEBアプリケーション層脆弱性管理サービス |
| 暗号化通信の実現 | SSLサーバ証明書 |
| 標的型攻撃から防御 |
WEBアプリケーションファイアウォール セキュリティ運用サービス |
モバイルアプリ開発後、テスト前にアプリとサーバのWeb API診断と合わせて脆弱性診断を実行することで脅威を可視化します。指摘した脆弱性が正しく直っているかまで再度診断でフォローをします。診断後、対策を行ったアプリを保護します。これによりサイバー犯罪のハッキングの脅威による不正利用や不正アプリによる被害から防御し継続的なセキュリティ対策が可能です。
PCI DSS(Payment Card Industry Data Security Standard)とはクレジットカード業界におけるグローバルセキュリティ基準のことです。加盟店やサービスプロバイダにおいて、クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準です。当社のWebアプリケーション脆弱性診断、脆弱性手動診断はPCI DSS要件に対応しており、ツールと手動をあわせて実施することで個人情報を取り扱っているサイトのセキュリティ対策が可能です。合わせてモバイルアプリの脆弱性診断を実施する場合も可能です。また、世界中の利用実態に基づいて悪用のしやすさ、検知のしやすさ、および影響についての共通認識の推計を組み合わせた上で、選択し、優先順位付けされたセキュリティ脅威であるOWASP Top 10、OWASP Mobile Top 10に基づいた診断項目により、自社保有の脆弱性診断方法論による実施と管理を徹底し、お客様のご要望に応じてIPA診断項目やクライアントサイド診断などにも柔軟に対応可能です。
| 目的 | 対応サービス |
|---|---|
| OS・ミドルウェアなどの脆弱性確認 |
プラットフォーム脆弱性診断(ツール診断) システムプラットフォーム層脆弱性管理サービス |
| WEBアプリケーションの脆弱性確認 |
WEBアプリケーション脆弱性診断(ツール診断) WEBアプリケーション層脆弱性管理サービス OSS/内部ホスト脆弱性管理サービス |
| セッション管理系(ログイン機能など)の脆弱性確認 | 脆弱性手動診断サービス |
| モバイルアプリの脆弱性確認 |
モバイルアプリ向け脆弱性診断サービス モバイルアプリ向け脆弱性手動診断サービス |
OWASPとはとは世界のセキュリティ専門家による診断の標準や規格を策定する組織のことです。当社の脆弱性診断はOWASPに基づいた診断項目でSPAやPWAの診断が可能です。またWebサイトと連動した非セキュアWebAPIはDoS、不正行為、機密情報の流出などをもたらすリスクが有るため、合わせて脆弱性対策を実施することでモダンWeb全体のセキュリティ対策が実現できます。
APIセキュリティ対策では開発運用(DevOps)サイクルの中で各フェーズに合わせて4段階に分けて考えることがポイントです。フェーズ1では、Thread Modelingとデザインレビューを実施します。デザインレビュー時に、OWASP API Security - Top 10に、「How To Prevent(リスクと予防策)」が示されており、この内容を確認されることをお勧めします。また、OWASPよりREST Security Cheat Sheet/GraphQL Cheat Sheetも公開されており、この内容に沿ってレビューすることで、より具体的な対策の情報を得ることが出来ます。フェーズ2では、脆弱性診断やペネトレーションテストを実施することで、費用対効果の高い確実な対策につながると考えることが出来ます。フェーズ3では、APIの防御、脆弱性の管理を実施します。一般的に、Webアプリケーションの脆弱性診断(手動)と、API診断の診断項目に違いはありません。しかし、OWASP API Security - Top 10の中で、外部で検査が難しいものがありますが、デザインレビューで確認されるのも有効な対策です。フェーズ4では、不正アクセスのモニタリングとインシデント対応です。「OWASP API Top 10」の項目で「API4:2019 Lack of Resources & Rate Limiting - リソース不足と帯域(レート)制限」「API10:2019 Insufficient Logging & Monitoring - 不十分なロギングとモニタリング」の項目が存在するため着目することが重要です。
| APIの防御方法 | 対応サービス |
|---|---|
| API脆弱性の確認 | 脆弱性手動診断サービス |
| APIサイバー攻撃耐性の確認 | ペネトレーションテスト |
| API実行環境の診断 |
プラットフォーム診断(ツール診断) システムプラットフォーム層脆弱性管理サービス クラウドセキュリティ設定診断サービス |
| APIの保護 | Webアプリケーションファイアウォール |
