サイバー攻撃による被害を最小限に抑えるには、日頃から企業ネットワークのセキュリティレベルを高めておくことが不可欠。そのために実施したいのが「セキュリティ診断」である。
セキュリティ診断というと、セキュリティベンダーに任せるしかない、と思うかもしれない。しかし、プロの専門家でなくてもある程度の調査は自分たちでこなすことが可能だ。プロに任せるにしても、セキュリティ診断の基本を知っておくことは、自社のセキュリティを強化する上で、大いに役立つ。この記事では、自社で実施できるセキュリティ診断について解説していく。
セキュリティ診断の考え方から、対象の選定方法、無償の診断ツールの使い方や結果の見方を、初心者にもわかりやすく解説する。話を進めていくのは、若手エンジニアの若葉イロハとその先輩の吉野さん。二人のやり取りを織り交ぜつつ、基本から学んでいこう。
* * *
あるメーカーの情報システム部に勤める若手エンジニア、若葉イロハ。ある日、情報システム部の倉田部長に呼び止められた。
倉田:今、セキュリティを強化する話が出ているんだ。セキュリティ担当者を増やそうと思ってるんだけど、若葉さんどうかな?
若葉:私、セキュリティのこと何もわからないですよ!?
倉田:最初はみんなそうだよ。セキュリティに詳しい吉野君にいろいろと教わってみて。成長するいいチャンスだよ。
若葉:は、はい。
イロハは早速、同じシステム部の吉野さんの机に向かった。
若葉:吉野さん、さっき倉田部長からセキュリティ担当になれって言われたんですけど、何をすればいいんでしょう?
吉野:ちょうどセキュリティ診断をやろうとしていたんだ。若葉さん、やってみない?
若葉:セキュリティ診断???
* * *
セキュリティ診断とは、潜在的な「脆弱性」を洗い出し、システムを安全な状態にするための調査だ。脆弱性とは、ソフトウエアの欠陥(バグ)や設定の不備などのうち、セキュリティ上の問題を引き起こすもの。攻撃者は脆弱性を利用して、データベースの情報を盗み出したり、コンピュータをマルウエア▼に感染させたりする。
脆弱性を放置するとサイバー攻撃の被害に遭うリスクが高まる。特に個人情報を盗まれると、企業の信頼が失墜するだけでなく、高額な損害賠償を請求される恐れがある。日本ネットワークセキュリティ協会(JNSA▼)の調査によると▼、2015年は799件の個人情報漏洩事件が発生し、496万人分の個人情報が流出したという。被害に遭うリスクを抑えるには、日頃からセキュリティ診断を実施し、脆弱性を解消することが重要だ。
Webページやメールなどからコンピュータに侵入する悪意のあるプログラム全般のこと。一般的には「ウイルス」と呼ばれることも多い。ほとんどの企業ではアンチウイルスソフトで対策しているが、攻撃者が次々に新しいマルウエアを生み出しており、いたちごっこが続いている。
Japan Network Security Associationの略。
JNSAが2016年6月17日に発表した「2015年 情報セキュリティインシデントに関する調査報告書【速報版】」(http://www.jnsa.org/result/incident/data/2015incident_survey_sokuhou.pdf)。2015年に新聞やインターネットのニュースなどで報道された個人情報漏洩事件を対象に調査、分析している。