脆弱性診断対策について

　メルマガにも記載しましたが、本ブログでは「情報セキュリティ10大脅威 2022」の6位にランクインしていた、「脆弱性対策情報の公開に伴う悪用増加」についてご紹介します。

ソフトウェアの脆弱性に関する情報の公開と聞いて、昨年末にも「Apache Log4j2 の問題」で社内システムの確認・対策に追われていた方も多いかと思います。

脆弱性情報を悪用された場合、機密情報の窃取やリモートで悪意のあるコードが実行されてしまう可能性があります。

インターネットに公開しているシステムで、このような脆弱性があった場合に

入力された値がバックエンドのシステムへ引き継がれ、社内の情報を社外へ送信されてしまうなど深刻な被害も起こりえます。

企業の顔でもあるWEBサイトやECサイトでは、ユーザー体験の向上や新機能の実装などで、絶えずバージョンアップやリリース作業が行われています。

保有するサイト数が企業では、その管理だけでも膨大な手間とコストがかかっており、脆弱性対策の必要性を感じながらも、積極的な対応ができていないと感じているかと思います。

WEBサイトやアプリケーションの脆弱性は、定期的にチェックを行い対策を行うことが肝心です。

もしリリース作業の都度、確実なチェックを、業務に負担なく実施できるとしたら、いかがでしょうか？

日経統合システムでは、リリース作業・開発作業のサイクルの中に、脆弱性診断を取り込むための「SaaS型自動診断ツール」をご用意しています。

▼AIによるWEBアプリの自動診断ツール「AeyeScan」

https://www.nasnet.co.jp/service/security/vulnerability-check.html

AeyeScanでは脆弱性のチェックを、自社内で「内製化」することが可能です。

• サイトの開発サイクルに脆弱性診断を入れることで手戻りの時間を短縮

• 外部のセキュリティベンダーに診断を委託している場合は、都度費用を削減

• 実施頻度や運用ルールを自由に決められるので、自社にあったポリシーで診断

セキュリティリスクに対応するための、

セキュリティポリシーに合わせた開発＆運用を、セキュリティ専門人材が不在でも自社内で実現することができます。

「Apache Log4j2 の問題」についても、AeyeScanで検出することが可能です。

（AeyeScanは株式会社エーアイセキュリティラボの商標または登録商標です）

日経統合システムでは、脆弱性診断についてのご相談をセキュリティ専門の診断員が受け付けております。

自動診断ツールのご検討や、スポットでの診断も承っております。ぜひお気軽にお問合せください。

「サイバーセキュリティ経営ガイドライン」クイズ

Question：　情報資産に対するリスクは、脅威と脆弱性を基に評価する。脅威に該当するものはどれか。

1. 暗号化しない通信

2. 機密文書の取扱方法の不統一

3. 施錠できないドア

4. 落雷などによる予期しない停電

Answer：　d.　

「脅威」はセキュリティインシデントを起こす原因、「脆弱性」は脅威によって付け込まれる可能性のある弱点、のことを指します。

落雷などによる予期しない停電は、システムに影響を与える直接の原因のため「脅威」に該当します。

ほかの選択肢は、盗聴や情報持ち出し、不正侵入につながる可能性のある弱点のため「脆弱性」に該当します。

従業員が安心してビジネスを実行するためには、PCや端末の管理やセキュリティー対策が必須事項となります。

テレワークを実施している企業では、情報の持ち出しや端末の使用環境の制限など、対策や工夫をされているかと思います。

「ウイルスの駆除だけでなく感染経路の把握をしたい」「24時間365日体制で監視したい」など対策の強化をご検討の場合には、ぜひ日経統合システムにご相談ください。

次回は「AWS環境」についてのご紹介です。