【Bizクリニック】クラウド型の脆弱性診断 専門家に依頼を

 □グレスアベイル代表取締役・澤井祐史

 自社のITシステムにおける脆弱(ぜいじゃく)点を正確に把握しているユーザーは少ない。社内にセキュリティーの専門家がおらず、何から着手すればいいか、検討すらできていない企業・組織も多い。不要なコストをかけずに効果的なセキュリティー対策を計画・実施するには、セキュリティー強度を把握し、“適切な箇所”と“適切な方法”によって導入を検討しなければいけない。

 こうしたニーズに対し、セキュリティー対策企業は「脆弱性診断」と呼ばれるサービスを提供している。サイバー攻撃側の視点で脆弱点を洗いだし、対策案の提示を受けられる。当社も金融分野をはじめ、幅広い分野で脆弱性診断サービスを展開しており、当社に所属するホワイトハッカー(善意のもとに活動するハッカー)による高度なサービスを提供している。

 同サービスは対象のシステムに破壊や改竄(かいざん)を伴わない、疑似的なサイバー攻撃を仕掛け、脆弱性を検出する。検出された脆弱性はセキュリティーの専門家が解析し、実施すべき対策案をまとめたうえでユーザーに報告する。

 ITシステムのユーザーに提言される対策は、(1)ITシステムそのものにセキュリティー対策を実施すべきもの(2)セキュリティー対策製品の導入で解決が図れるもの-に大別される。このうち、ITシステムそのもののセキュリティー対策は、導入ベンダーに依頼をすることになる。一方、セキュリティー対策製品の導入は、当社が自社開発・販売する次世代ファイアウオール(NGFW)やウェブ・アプリケーション・ファイアウオール(WAF)などの製品によって解決を図る。脆弱性診断サービスを受けて導入すべき適切な箇所が把握できるので、投資効果も高くなる。

 ただ、当社が強みを持つクラウド型システムでのセキュリティー対策検討の一環として脆弱性診断を実施する場合、注意点がある。クラウド環境は共有サービスのため、疑似的なものとはいえ、サイバー攻撃に近いアクセスを行う脆弱性診断を自社の都合だけで実施してはならないケースが多い。クラウドサービス事業者によって脆弱性診断を実施するための条件は異なるため、確認を取らなければならない。

 あるクラウドサービス事業者では、脆弱性診断を実施する日時や診断方法、診断時のトラフィック量の目安などを事前申請し、了解を得る必要がある。事前の了解なしに実施した場合、ブラックリストユーザーとして登録されてしまう恐れもある。

 ほかにもクラウド環境における脆弱性診断では「お作法」ともいえるような実施条件や注意点が多い。クラウド環境のセキュリティー対策に知見を持つ企業に依頼することを推奨する。不明な点は当社に相談してほしい。

                   ◇

【プロフィル】澤井祐史

 さわい・ゆうじ ITインフラ、セキュリティー技術を専門領域として数々のプロジェクトを経験し、コンサルティング企業の立ち上げ、経営に携わる。2015年6月グレスアベイルを設立し、現職。クラウド対応の次世代セキュリティー対策製品の開発および関連サービスの展開をリード。35歳。兵庫県出身。