• お問い合わせ
  • 03-6425-6735
    (受付時間 9:00~18:00)

VULNERABILITY ASSESSMENTセキュリティ脆弱性診断

案内 / 流れ

サービス概要

ITシステムを用いた業務の効率化やデジタルトランスフォーメーション(DX)が進むにつれて、サイバー攻撃の脅威も日々増しています。このような状況では、早期にシステムの脆弱性を発見し、セキュリティ対策を実施することが欠かせません。しかしながら、多くの組織が外部からの攻撃に対する脆弱性を抱えたままシステムの運用を続けている状況です。システムの脆弱性を放置したまま運用すると重大な情報漏洩やシステム停止といった深刻なインシデントを引き起こす可能性があります。

メイソンコンサルティング株式会社(以下、メイソン)では、システムのセキュリティを網羅的に検証する「脆弱性診断」を提供しています。このサービスにより、企業が管理するシステムの脆弱性を第三者視点で評価し、潜在的なリスクを早期に特定・修正することが可能です。

脆弱性診断とは?

脆弱性診断は、ITインフラストラクチャ(システム)の脆弱性を網羅的に評価するために実施されます。脆弱性診断は網羅的にシステムの脆弱性を評価することに対して、ペネトレーションテストは機密情報や個人情報などの対象とする情報資産について個別具体的に攻撃シナリオに基づき、脅威への対策状況を評価する点において違いがあります。

脆弱性診断の目的

脆弱性診断では、既知の脆弱性となり得る項目について網羅的に検証を行い、システムの脆弱性を洗い出します。

セキュリティリスクの優先対策順位付け 発見された脆弱性(セキュリティリスク)を評価し、優先的に対処すべきポイントを特定します。
セキュリティ対策の有効性確認 既存のセキュリティ対策が攻撃に対してどれだけ効果的かを評価し、必要に応じて改善点および対策の優先順位を提案します。
従業員のセキュリティ意識向上 実際の侵入リスクを知ることで、従業員のセキュリティ意識を高め、高度なソーシャルエンジニアリングに基づく、組織全体のセキュリティレベル向上に寄与します。

脆弱性診断が必要なお客様とは?

メイソンは、以下の場合に脆弱性診断を実施することを推奨しております。特に、ペネトレーションテストを実施するにあたり、スコープを定める(脆弱性がありそうな領域を特定する)ために脆弱性診断も合わせて実施することが多いです。

  • ペネトレーションテストを実施する場合。
  • 規制当局や取引先から定期的な分析・評価を求められている。
  • 新しいネットワークインフラやアプリケーションが追加された場合。
  • インフラやアプリケーションの大幅なアップグレードや修正が行われた。
  • オフィスを新設および移転した。
  • エンドユーザのポリシーが変更された。
  • 客様のシステム・ネットワーク構成が大幅に変更された。

脆弱性診断を実施することの効果

メイソンで脆弱性診断を実施することで、次のような効果が期待できます。

情報漏洩リスクの軽減 潜在的な攻撃経路を事前に発見し、漏洩リスクを最小限に抑制可能です。
経済的リスクの低減 インシデント発生時の対応コストや企業の信頼性低下を予防が可能です。
サイバー攻撃対策の強化 システムを網羅的に診断することで最新の脅威に備えたセキュリティ体制の構築が可能です。

脆弱性診断の流れ

1. 事前調査 お客様のシステム環境やセキュリティレベルに応じたヒアリング/調査を行います。この段階でテスト対象のシステム、ネットワーク構成、また必要に応じたアクセス権限を確認し、無駄なく効果的で網羅的な診断が実施できるよう準備します。
2. テストの実行 既知の脆弱性となり得る項目について脆弱性診断を実施します。多角的な視点で脆弱性診断を行い、潜在的なリスクを抽出します。
3. 結果報告と改善提案 脆弱性診断結果を分析し、発見された脆弱性やリスクのレベルを評価した上で、具体的な改善策を提案します。報告書には、発見された脆弱性の内容、再発防止のための具体的な手順、そしてリスクを最小限に抑えるための長期的な対策が含まれます。
4. フォローアップ 提案された改善策の実施状況を確認し、必要に応じて再テストや追加のアドバイスを提供します。脆弱性診断/ペネトレーションテストは周年実施した方が良い内容のため、メイソンでは継続的なセキュリティ向上を支援します。

お客様への納品成果物

脆弱性診断の終了時には、検出された脆弱性を効果的に排除するための広範なレポートと推奨事項をお客様に提供します。

  • 検出された脆弱性一覧と対応方針書
    検出されたシステムの脆弱性のリストと、その脆弱性がどの程度悪用されやすいか、またシステムやビジネスにとってどの程度有害かに応じた分類した上で対応方針書を納品します。
  • テスト中に実施されたシステムの変更点のリスト
    テストプロトコル(使用した機器、ツール、チェックした部分、発見した問題点を含む)。明らかになったセキュリティ問題を解消するための実行可能な推奨事項。

レポートでは、以下のような評価項目に基づき、総合評価や対策の優先順位をご提供します。

総合評価

ランク 評価判定基準
A 脆弱性は検出されなかった。または、現時点で、現実的に影響を受ける可能性のない事項のみ検出された。強固なセキュリティ対策が行われていると判断する。
B 複雑な条件が必要な場合や、攻撃の手助けとなる情報の表示等、軽微な影響に留まる脆弱性を検出した。一定のセキュリティ対策が行われていると判断する。
C 多数の脆弱性や、多少の専門知識を有する者に悪用されると大きな被害につながる可能性のある脆弱性を検出した。計画的な対策が必要と判断する。
D 情報漏洩や重要な情報の改ざん等、深刻な被害につながる可能性がある脆弱性を検出した。直ちに対策が必要と判断する。

脆弱性の危険度評価

ランク 内容 評価判定基準
経過観察が求められる
  • バージョン情報やシステム情報の表示等、攻撃の手助けとなる情報の表示や、現時点では現実的に脆弱性の利用が困難であり、それだけでは大きな被害にはつながらない脆弱性。
  • 不要と考えられるオープンポートの存在や、不要と考えられるファイルの存在等、現時点では脆弱性ではないが、システム要件や運用要件を基に、セキュリティ上対策要否の検討を行うべき事項。
半年程度の期間で是正が求められる
  • 技術的または環境的に容易には利用できないが、多少の専門知識を有する者であれば、個人情報や機密情報の窃取・改ざん、システムの不正利用・停止ができるなど、大きな被害につながる可能性がある脆弱性。
  • 他の脆弱性と組み合わせることで被害を発生させる可能性や、利用には制約がかかる場合等、単独では直ちには個人情報や機密情報の窃取、改ざん、システムの不正利用、停止につながらない脆弱性。
早急な是正が求められる
  • インターネットから単純な手法で不正に操作できる、技術的または環境的に容易に利用でき、その結果、個人情報や機密情報が大量に窃取されるなど、深刻な被害につながる可能性がある脆弱性。

Webアプリケーション脆弱性診断の
評価スケール

基準 説明
情報 情報提供のみを目的として提供されます。
この脆弱性を悪用した攻撃は、一般に影響が少ないです。
この脆弱性を悪用した攻撃は、一般に中程度の影響を及ぼします。
この脆弱性を悪用した攻撃は、一般に大きな影響を及ぼします。

当社はお客様のご要望にそったサービスをご提供させて頂いております。まずはお電話下さい。

メイソンコンサルティング株式会社

〒105-0012
東京都港区芝大門1-10-11
芝大門センタービル10F

Access Map


  • IS 774269 / ISO27001

弊社はISO27001(情報セキュリティマネジメント)を取得しております。

メイソンは、中小企業の情報セキュリティ対策ガイドラインに基づき、セキュリティ対策に取り組んでいます。