「セキュリティ診断」を受ける前に知っておきたい基礎知識：セキュリティのアレ（37）

本連載に関するご意見・ご感想などはこちらまで！
Twitterハッシュタグ：#セキュリティのアレ

セキュリティ診断、どこまでやる？ いつやる？ 報告をどう受け止める？

　セキュリティ専門家が時事ネタなどを語る連載「セキュリティのアレ」。第37回のテーマは「セキュリティ診断」です。解説するのは前回に引き続き、根岸征史氏と辻伸弘氏。本連載に関するご意見、ご感想はTwitterハッシュタグ「#セキュリティのアレ」までお送りください。

＠IT 編集部 宮田健、ソフトバンク・テクノロジー 辻伸弘氏、インターネット イニシアティブ 根岸征史氏

宮田　セキュリティのアレ、第37回のテーマは「セキュリティ診断」です。これは、具体的に何を見ていくものなのでしょうか？ 実際に診断業務に長く携わってこられたお2人に聞いてみたいと思います。

辻氏　まず、セキュリティ診断には大きく分けて2つの種類があります。1つは「ネットワーク診断」あるいは「プラットフォーム診断」と呼ばれるもの。もう1つが「Web（アプリケーション）診断」です。

　これらは診断の範囲が異なっていて、前者では、WindowsやLinuxなどのOSや、その上で動いているApache、DNSといった各種サーバに脆弱（ぜいじゃく）性がないかを診断します。一方後者では、こうしたプラットフォーム上で動く独自開発のWebアプリケーションに脆弱性がないかをチェックします。

　ここでややこしいのが、「既成のCMSや、Apache Strutsなどのフレームワークに対する診断はどっちに入るの？」という点です。僕はこれらはネットワーク診断に含まれると考えていますが。

根岸氏　診断を受ける側としては、「CMSなどに対する診断がどちらに含まれているのか認識していなくて、診断が漏れてしまった」という事態に陥らないことが大切ですね。

辻氏　はい。業者によって切り分けが異なることもありますので、診断を受ける際には、「何が診断範囲に含まれているのか」に注意する必要があります。

　動画本編では、「とりあえず受けたから大丈夫」で済ませてはいけないセキュリティ診断の留意点について、さらに詳しく解説していきます。診断の実施を検討している企業の皆さま、その前にぜひご覧ください。

画像クリックで連載トップページへ