セキュリティーのエキスパートが様々な手法とツールを駆使してシステムの脆弱性を発見するMIND のセキュリティー診断サービス

国境を越えて行われるサイバー攻撃はますます複雑化、巧妙化しています。近年はWebアプリケーションのセキュリティーホールを利用した攻撃が多発し、Webサイトの改ざんや顧客情報の漏洩といった事件が後を絶ちません。三菱電機インフォメーションネットワーク株式会社（MIND）では、豊富な経験とノウハウを持ったセキュリティーのエキスパートが、お客様のサーバーやネットワーク機器およびWebアプリケーションに潜む脆弱性を発見し、その対策を支援するセキュリティー診断サービスを提供しています。お客様は、問題点を客観的に把握した上で、効果的なセキュリティー対策を実施することが可能になります。

「デジタル技術の急速な進展や政府のIT政策を踏まえ、ここ数年でセキュリティー診断サービスを利用するお客様が急増しています」とセキュリティ事業部 セキュリティ第一部 セキュリティオペレーション第一課長の庄谷卓也氏は語ります。特に顕著なのがWebアプリケーションに対するセキュリティー診断です。企業や行政機関への問い合わせや各種手続きにPCやスマートフォン等を使うことが当たり前になった今、Webサイトはお客様との重要な接点です。一方で攻撃者から見れば格好のターゲットであり、Webサイトに対するサイバー攻撃は増加の一途を辿っています。

サイバー攻撃は日々進化を続けており、ICT機器のソフトを常に最新の状態に保つことはもちろん、定期的にセキュリティー診断を実施し、発見された脆弱性に対処し続けることが求められます。セキュリティ事業部 セキュリティ第一部 セキュリティオペレーション第一課の加藤淳氏は「セキュリティー診断は人間でいうところの健康診断に例えられます。定期的に状態を把握し、適切な対策を講じることが被害を未然に防ぐことへの第一歩となります」と話します。

セキュリティー診断を実施するタイミングとしては、システムの開発フェーズにおけるリリース判定時や運用フェーズにおける定期チェック、現状のセキュリティーレベルを把握したい時などが考えられます。

「セキュリティー監査への対応としてサービスを利用されるお客様もいます。金融業のお客様は、PCI DSS（クレジット情報保護に関する国際基準）等に対応するため、1年間に複数回実施するケースが増えています。」（庄谷氏）

MINDではセキュリティー診断サービスとして、「Webアプリケーションセキュリティー診断サービス」と「ネットワークセキュリティー診断サービス」を提供しています。

「本サービスは、経済産業省が定める『情報セキュリティサービス基準」に適合しており、金融業や製造業を中心に豊富な実績があります。お客様の中には、15年以上にわたって定期的にサービスをご利用いただいている大手企業もいらっしゃいます」（加藤氏）

セキュリティー診断ではツールを使った自動診断と専門技術者が診断対象のシステムに疑似的な攻撃を行い脆弱性の有無を調査する手動診断を併用します。攻撃技術が日々進化している中、診断技術のレベルアップは不可欠です。そこでMINDはこれまでに三菱電機の情報技術総合研究所と連携し、診断ツールの評価・選定や、新たな診断手法を開発するなど、診断技術のレベルアップに取り組んでいます。

診断サービスの特徴は以下の通りです。

診断サービスは、「事前ヒアリング」から「診断準備」「診断実施」「診断結果報告」まで4つのステップを踏みます。セキュリティ事業部 セキュリティ第一部 セキュリティオペレーション第一課の南田夏生氏は次のように語ります。

「Webアプリケーションの脆弱性を調査する場合、どこから手を付ければよいか分からないというお客様もいらっしゃいますが、事前ヒアリングで診断対象の画面選定からお手伝いいたします。システムリリース前に現状のセキュリティー状態を評価するスポット的な診断から、システム運用後に定期的に行う監査対応までお客様の予算やスケジュールに合わせて柔軟に対応いたしますので、お気軽にご相談ください」

「診断結果報告」では、報告書提出に加え、オプションで対面での報告を実施するほか、発見された問題に対する具体的な対策をお客様が実施するのをサポートします。