セキュリティ・トップ  ›  初めてのセキュリティ診断 失敗しないためのサービス選び

初めてのセキュリティ診断 失敗しないためのサービス選び

Webセキュリティのソフテック

セキュリティ診断サービスとは、どんなサービスか

 専門企業によるセキュリティ診断サービスを受けることによって、情報漏洩の危険性をきちんと把握することができるようになります。しかし中には、セキュリティ診断を行いその診断結果の報告書を提出して終了、というサービスを広く展開している企業もあります。

 お客様にとって「Webサイトを安全な状態にしてWebサイトを利用するユーザ様に安心して利用してもらう」これがセキュリティ診断を受ける目的であるはず。セキュリティ診断サービスは、単に診断した結果をお知らせするだけのサービスであってはなりません。最終的に安全な状態で安心できなければ、ご満足いただけるセキュリティ診断サービスにはならない、私たちソフテックはご満足いただけるセキュリティ診断とは何かを常に考えて、サービスを提供しております。

セキュリティ診断の種類を知ろう

 セキュリティ診断サービスでの診断方法は、ツールによる診断とコンサルタントによる手動診断の大きく二つの工程に分かれます。ツール診断と手動診断には、それぞれ以下のような長所短所を持っています。

ツール 長所:自動で効率的に膨大なパターンをチェックできる
短所:複雑なサイト構成では診断できない。誤検知が非常に多い
手動 長所:それぞれのWebアプリケーション特有の構成に応じた診断ができる。コンサルタントスキルによって診断ツールでは検知できない脆弱性を発見できる
短所:一度に多くのパターンをチェックできない。コンサルタントスキルによって診断品質が変化する

 現在提供されている診断サービスには、価格と短い納期を魅力的にアピールしたツール診断中心のサービスも多くあります。しかし、最新の脅威パターンにも対応したツールであっても、誤検知や複雑に構成されたWebアプリケーションに対しては診断の効果を発揮出来ずに脆弱性の脅威が残ったまま、結果的に低品質な診断となってしまいます。

 現実の不正アクセスでは、悪意を持った人間によってWebアプリケーションに存在する脆弱個所を探し当ててから情報を漏洩させたりWebのページを改ざんしたり、なりすましの行為などを行っています。この意味でも、ツールと手動を併用したセキュリティ診断を受ける事で、被害を受ける可能性があるかを確認する必要があると言えます。

 ソフテックでは、セキュリティ診断サービスの提供実績7年以上のコンサルタントがセキュリティ診断を実施致します。常に最新のセキュリティ動向を常に把握し、診断実績650件以上を保有しています。また、脆弱性診断ツールの開発経験者によるセキュリティ診断をご提供できるというのもソフテックの大きな特徴です。

 また、一口にWebアプリケーションといってもWebアプリケーションには、Webサーバ上で動作するスクリプト言語やミドルウェアを使って行う一般的なデータ処理の他に、携帯/スマートフォンに特化したもの、Flash/Ajax/JSON等のWeb関連技術を使ったもの、XML/SOAP等のWebサービスを使ったもの、APIを直接実行する必要があるものなど、様々な実装方法があります。

 ソフテックのWebアプリケーションセキュリティ診断サービスではすべての実装方法に対して診断が可能です。これらの技術的なサポートはソフテックが全て対応致しますので、安心してご相談下さい。

費用対効果の高い診断対象を選ぼう

 セキュリティ診断サービスに掛る費用は、数十万円から数百万円までとさまざまです。決して安い費用ではありません。そのため、診断サービスに掛る無駄なコストを見定めて、出来るだけ排除することが大事です。例えば、診断対象を効果的に抽出/絞り込んだり、診断方法の無駄を省いた方法を選択したりすることで、大きくコストを削減することもできるようになります。このような判断は、お客様が独自で行う事は非常に難しい事ですのでセキュリティ診断サービスを提供する専門会社のコンサルタントと相談の上決定する必要があります。効果的に診断できたのか、無駄にコストをかけてしまったのかによって、セキュリティ診断サービスに対する印象も大きく違ってきます。

 ソフテックでは、お客様の診断対象を抽出したうえで診断すべきリストの一覧を作成して、より効果的な診断対象を選び出し、効果的な診断ができるよう、出来るだけ無駄を省いた診断サービスをご提案いたします。

安全にする事が、セキュリティ診断サービスを受ける本当の目的。

 はじめにお伝えしたように、脆弱診断によって安全であるか否かを確かめるだけが、診断サービスを受ける目的であってはなりません。たとえ脆弱性が発見されてしまっても最後には安全な状態になっていることまでサポートされている診断サービスを選ぶことが重要です。診断の品質だけでなく、診断後のサポート内容が充実しているかを見ることも非常に大事な要素になってきます。

 単に「徹底した診断を提供します」「高い検出率です」「診断のエキスパートが対応します」「最新の攻撃手法に対応しています」「実績が豊富です」などは、セキュリティ診断サービスを提供する上で、必要最低限の条件だとソフテックは考えます。お客様のWebサイトを安全にするセキュリティ診断サービスをソフテックは提供致します。

 ソフテックでは、1998年より診断サービスを提供し続けております。
以下のデータは、2010年以降、比較的最近のWebアプリケーション診断結果の統計データです。

 情報漏洩につながる問題があるサイト:95%
 情報漏洩につながる問題がないサイト: 5%

 95%以上のサイトに情報漏えいを引き起こす可能性のあることが判ります。

 しかしながら、ソフテックでは安全確認検査を無償でご提供しており、この安全確認検査によって全てのお客様が安全な状態で、安心してサイトを運営しております。

ソフテックのアフターサポート

 ソフテックでは、最終的な安全までの徹底サポートをご提供いたします。

レポート ソフテックのセキュリティ診断報告レポートでは、それぞれのお客様の環境を考慮したうえで、お客様に合った改善/改修方法をご提案しております。その中には、例えば改修コストを考慮した場合の改善方法や、堅牢性を考慮した場合の改修方法など、複数の改修方法をご提案しております。
問合せサポート 改修方法についての疑問質問に対しては、診断を行ったコンサルタントが直接、サポート致します。ご不明な点についての解説や、改修方法についてのご不安があればお気軽にお問い合わせいただけます。
修正確認診断 初回のセキュリティ診断サービスによって、脆弱性が発見された場合、改修作業後の修正確認診断を無償でご提供いたします。
おすすめコンテンツ ソフテック診断サービスの特長 ソフトウェア開発力 選べる診断サービス ドキュメント・報告書 初めてのセキュリティ診断 診断に対するご質問と回答 FAQ フテックの診断アフターケア ご相談・資料請求
セキュリティホール情報とリスク管理ユーティリティ SIDfm SID警告センター