ネットワークの弱点を把握しサイバーリスクを低減【セキュリティ脆弱性診断】

コロナ禍を経てWebやITを前提とした事業展開を行う企業が増え、サイバーセキュリティ対策の必要性が一層高まっている。しかし「予算が限られている中でどう対策すべきか分からない」という企業も少なくない。無駄のないセキュリティ対策を講じるためには、まずネットワークやシステムの弱点を把握することが必要だ。
株式会社セキュアイノベーション（那覇市）は、ネットワークやWebアプリなどのセキュリティ脆弱性診断サービスを提供している。診断の重要性やサービスの概要について、同社の事業戦略部セールス&プロモーションチームマネージャーの亀谷崇さんにお話を伺った。【2023年7月25日取材：池田亮貴、文：祝迫智子、編集：鈴木詩織】

ネットワークやアプリに潜む、サイバーセキュリティの弱点を洗い出す

弊社のセキュリティ脆弱性診断は、お客様のネットワークやアプリケーションなどにサイバーセキュリティの観点から脆弱な点が内包されていないかを調査・報告するサービスです。

診断の結果を基にセキュリティ施策を講じていただくことで、情報漏えいやなりすまし、フィッシングなどのリスクを下げることが可能になります。

診断の種類は調査する環境によっていくつか分かれており、お客様のシステムを構成するサーバーやOSなどのネットワークを調べる「プラットフォーム診断」、Webサーバー上で稼働するアプリケーションを対象とする「Webアプリケーション診断」などがあります。

建築で例えるならば、プラットフォーム診断は土地そのものに問題がないかを、Webアプリケーション診断は土地の上に立っている建物に危険がないかを調べるサービスです。

また最近では、インターネットに接続した機器・ツールを調べる「IoT機器セキュリティ診断」のプランも用意しています。

Webサービスの普及に伴い、セキュリティ対策が社会課題に

弊社は2015年に設立し、創業からしばらくしてセキュリティ脆弱性診断サービスの提供を開始しました。当時は、Web上で提供されるサービスの数が社会全体で増えた時期で、個人情報の漏えいなどセキュリティ関連の事故も発生し始めていました。そうしたサイバーセキュリティに対する社会的ニーズの高まりを受けて、サービスを開始することにしたのです。

もともとサイバーセキュリティというと、ハッカーに狙われるのは中央省庁や大企業だけで、多くの一般企業にとっては気にする必要の少ないものでした。また、サイバー攻撃の目的も、最初はいたずらやハッキング技術の見せつけ、政治的主張が多かったのです。

しかし、社会全体でデジタル化やDXが進むにつれてビジネス目的でのハッキングが増え、セキュリティ対策を十分に講じていない傾向がある中小企業を狙った攻撃も見られるようになりました。それから、国や業界団体などが主体となって各企業に啓発を進め、サイバーセキュリティが世の中に浸透しました。

コロナ禍以降は特に、企業による商品・サービスの提供がオンラインで完結する場面が急激に増え、外部からのサイバー攻撃に備えてセキュリティ脆弱性診断に対するニーズも格段に高まっています。

業種・業態・会社規模に関係なく、あらゆる企業が診断を利用

ビジネスにおいてITが切り離せなくなった今の時代、ほとんどの企業がWebサイトやIT関連システムを持っていると思います。そのため弊社も、業種・業態・会社規模に関係なくさまざまな企業からセキュリティ脆弱性診断の依頼をいただいています。

診断を希望される企業の中には、同業他社や付き合いのある会社がサイバー攻撃で被害を受けたことをきっかけに自社のセキュリティ対策に不安を抱かれたというケースもあります。また、脆弱性診断が業界のガイドラインで義務付けられたことで、ネットワークのチェックを希望される企業もいらっしゃいます。

実際に診断を行う環境も多種多様で、コーポレートサイトやECサイトなど外部に公開しているものに限らず、社内でしか使わないアプリケーションや管理システムの診断を希望されるケースもあります。

経産省が認める一定以上の品質とリーズナブルな価格設定を両立

弊社は、経済産業省が定めている「情報セキュリティサービス基準」の登録事業者でありながら、比較的リーズナブルな価格帯でサービスを提供しております。そのため「一定の品質が担保された診断を受けたいが、予算が限られておりできるだけコストを抑えたい」という企業様によくご支持をいただいています。

参考：経済産業省「情報セキュリティサービス審査登録制度」

対策を怠ると、サイバー攻撃の加害者になってしまうことも

サイバーセキュリティは普段の業務を効率化したり企業のコスト削減につながったりするものではないので、前向きに検討するきっかけが少ない分野かもしれません。実際に「うちはコーポレートサイトしか持っていないから、サイバー攻撃を受けても重要な情報を取られる心配はない」と考える企業様もいらっしゃいます。

しかし、サイバー攻撃の恐ろしいところは、セキュリティ対策を怠っていると加害者になってしまう可能性がある点です。
例えば、コーポレートサイトを勝手に改ざんされて、アクセスしたユーザーが不正な通信に接続しているサイトに誘導されてしまうケースもあります。サイバーセキュリティにおいては、すべての企業が被害者にも加害者にもなり得るのです。

意図せずサイバー攻撃の加害者にならないためにも、セキュリティベンダーとしては少なくとも一度は脆弱性診断を実施していただいたほうが良いと思っています。

一度も脆弱性診断を受けたことがないなら黄色信号

初めてセキュリティ脆弱性診断を受けた企業の中で脆弱な点が全く見つからないケースはほとんどありません。そのため、まだ一度もチェックを受けたことがない企業にはぜひ診断を検討していただきたいと思っています。

また、IT技術の進歩とともにサイバー攻撃も日々変化しているため、セキュリティ診断を受けたことがある企業にも、人間の健康診断と同じように定期的な診断をお勧めしています。目安としては、前回から5年以上たっている場合は改めて脆弱性のチェックをされたほうが良いと思います。

残念ながら、診断をして脆弱な点が見つかっても、業務の特性によっては問題の箇所を調整できないことがあります。しかし、どこにどのようなリスクがあるかを把握しておくだけでも、攻撃を受けたときの対処法を事前に取り決めておくことができたり別の施策を追加してセキュリティを補強することができたりしますので、診断を受ける価値は十二分にあります。

スピーディかつ質の高い診断で、高まる社会的ニーズに応える

ありがたいことに、近年はセキュリティ脆弱性診断サービスやサイバーセキュリティに関するご相談が増えてきている状況です。弊社としては、日々生まれるサイバーセキュリティの脆弱性に対応できるよう技術力を保ちつつ、よりスピーディかつ質の高い診断を実施できるように、社内の体制強化やナレッジの蓄積に力を入れて取り組んでいきたいと考えております。

サービス紹介：自社ネットワークの弱点を見つける高品質の脆弱性診断「セキュリティ脆弱性診断サービス」

「セキュリティ脆弱性診断サービス」
経済産業省の情報セキュリティサービス基準の適合認定を受けた高品質の脆弱性診断を、低価格の費用感で実現。ネットワークやアプリなどさまざまな環境のセキュリティリスクを診断できる。

詳細および資料請求はこちら
https://www.secure-iv.co.jp/assessment

会社情報

株式会社セキュアイノベーション
本社：〒900-0011　沖縄県那覇市上之屋一丁目18番36号 沖縄映像センタービル3F
代表取締役：栗田智明
設立：2015年10月21日
事業内容：コンピュータ関連、セキュリティ、ネットワークシステムの設計・開発・運用・監視およびログ解析サービス、セキュリティオペレーションセンター（ＳＯＣ）の運営、セキュリティ診断サービス（Ｗｅｂアプリケーション診断、プラットフォーム診断）ほか
サービスWebページ：https://www.secure-iv.co.jp/assessment

【企画・制作：＠人事編集部広告制作部】