▼ 脆弱性診断 (GMOサイバーセキュリティ byイエラエ)とは
脆弱性診断とは会社のシステムやソフトウェアなどに存在する脆弱性(セキュリティ上の弱点)を見つけて、そのリスクや影響を評価する一連のプロセスです。脆弱性診断はセキュリティを強化するための重要な手法の一つで、サイバー攻撃が巧妙化する昨今では欠かせないものになっています。
脆弱性とはWebアプリケーション、スマホアプリ、ソフトウェア、クラウドプラットフォームなどに潜む情報セキュリティ上の欠陥や弱点のことです。
脆弱性はソフトウェアのバグ、不適切な構成、セキュリティポリシーの不備、不正な操作など、さまざまな原因によって生じることがあります。
脆弱性を放置していると攻撃者に狙われたときに悪用されてしまい、Webサイトの改ざん、不正アクセス、個人情報やクレジットカード情報、社外秘の情報などの重要情報の漏洩、企業内のネットワークへの侵入などの被害に発展することがあります。このような事象により、金銭的な被害を受けたり、個人や企業の評判や信用が損なわれることがあります。このような脆弱性が悪用されることを未然に防ぐために四半期~1年ごとに、システムに対する脆弱性診断を行うことが望まれます。
お客様情報の漏えいや、サイバー攻撃によるシステム停止により損害賠償請求を受けるリスク
サイバー攻撃の原因や被害範囲の調査、復旧、再発防止策実施などに関わるリスク
サイバー攻撃により対策が講じられるまでの間、自社の営業が停止し、喪失利益が生じるリスク
脆弱性診断の目的は、システムやソフトウェアなどに存在する脆弱性を見つけて、そのリスクや影響を評価することです。
またここでリスクが高い、影響が大きいと判断した脆弱性を修正することでシステムのセキュリティを向上させ、悪用の被害を未然に防ぐことが可能です。
前述の通り、脆弱性が放置されると悪意のある攻撃者によって悪用され金銭的被害や信用失墜につながる可能性があります。そうなる前に脆弱性を特定し修正をしてシステムを安全に保つ心がけが求められます。
割賦販売法に規定するセキュリティ対策義務の実務指針である「クレジットカード・セキュリティガイドライン」では以下のように方針が記載されています。EC業界では脆弱性診断を含む基本的なセキュリティ対策の実施を必須化する動きがあることをご認識ください。
・現状:セキュリティ対策実施状況の申告(試行)
全ての EC 加盟店は、新規加盟店契約の申込み前に自らセキュリティ対策を実施し、契約申込みの際にカード会社(アクワイアラー)又は PSP(決済代行会社)にその実施状況を申告し、カード会社(アクワイアラー)と加盟店契約を締結することが求められる
・今後:基本的なセキュリティ対策の必須化
「クレジットカード決済システムのセキュリティ対策強化検討会報告書」(2023 年 1 月 20 日) において、EC 加盟店の漏えい対策の強化のための当面の対応として、EC 加盟店のシステム、 EC サイト自体の脆弱性対策(システム上の設定の不備への対策(PW 管理等)、脆弱性診断・ 対策、ウイルス対策等)の基本的なセキュリティ対策を必須とすることを 2024 年度末までに本ガイドラインに追記することが求められている。
脆弱性診断には以下のような方法があります。
脆弱性診断の対象はWebアプリケーション、スマホアプリ、PCのソフトウェア、ミドルウェア、OS、ネットワーク機器、クラウドプラットフォームの他、IoTデバイスやブロックチェーンで用いられるスマートコントラクトなど新しい技術の出現によりますます広がりを見せています。
脆弱性診断とペネトレーションテストはいずれもシステムのセキュリティを評価する方法ですが、目的やアプローチが異なります。
脆弱性診断は脆弱性の有無を可視化することが目的であるのに対し、ペネトレーションテストは脆弱性を見つけたうえで、それらを悪用される行為が実際に発生するのかを検証するテストとなります。
GMOサイバーセキュリティ byイエラエに所属するエンジニアは、世界各地で開催されるハッキングコンテストなどに参戦し、好成績を残しています。
最先端で高度化するハッキング技術をアップデートし続けていることにより、攻撃者の目線で企業が必要としている守る技術や手法を具体的に提案することを可能としています。
また、豊富な診断実績というアセットを有効活用し、AIによる作業の効率化によって、安価な価格で診断技術を提供することを実現しています。
当サービスは導入ECサイトが法人運営の場合が対象となります。
導入ECサイトが個人運営の場合はコチラをご確認ください。