本サイトは、快適にご利用いただくためにクッキー(Cookie)を使用しております。
Cookieの使用に同意いただける場合は「同意する」ボタンを押してください。
なお本サイトのCookie使用については、「個人情報保護方針」をご覧ください。

最新情報

2016.09.13

セキュリティ診断サービスの比較・選定ポイント

 当社エンジニアは、ソフトウェアや機器のセキュリティホールを見つけて、IPAやJPCERT/CC などのセキュリティ機関に報告しています。こうした活動は、直接売上には結びつきませんが、セキュリティ診断事業の重要な競争力と当社が考える「脆弱性を見つける能力」を磨く機会として積極的に奨励しています。先般、当社のこの取り組みに対しセキュリティ専門誌の取材を受けました。詳しくは取材記事をご一読下さい。


 上記の記事の中で「いいセキュリティ診断会社の条件」について言及する箇所があり、診断会社自身がこうした事柄について語ることは大いに口幅ったいことでありますが、あくまで当社が良質なサービスを提供するために日頃目指している「目標」として回答したものです。


 一方で、大多数のユーザー企業は、セキュリティ診断サービスを発注する際に、ブランドや料金以外の判断基準を持っていることが少ないことも事実だと思います。そこで本稿は、良質なサービスを提供するために弊社が持つ目標を箇条書き形式で改めて紹介します。診断サービスの比較ポイントの参考として利用いただければ幸いです。


●ポイント1:セキュリティサービス会社であること
 セキュリティ専門会社には、リセラーや商社などの、物販を中心にした会社と、サービス提供を行う会社があります。サービス提供企業の方が、診断に関しては多くの知見を保有している場合が多いといえるでしょう。また、取り扱う製品に依拠しない、ベンダニュートラルなアドバイスを提供することができます。


●ポイント2:手動診断ができること
 セキュリティ診断には、診断ツールを走らせる「ツール診断」と、知見を持つ技術者が模擬攻撃を行う「手動診断」があります。それぞれメリットがありますが、そのWebサイトの特性や機能を知っていなければできない攻撃などは、手動診断でなければ見つけることができません。ツール中心の診断は予算を抑えることができるメリットがある一方、個人情報を収集保存したり、金融や決済に関わるようなシステムでは手動診断を欠かすことはできないでしょう。


●ポイント3:一定数の技術者が在席していること
 セキュリティ診断のサービス水準にとって技術者の数は重要です。一人で解決できない問題が複数の知恵で解決することもあり、メンバー間の切磋琢磨もあります。技術者の数が少ない環境では、特定の能力だけが偏って伸びていく場合も少なくありません。どんな診断会社にも必ずエースはいますが、技術者の数が多い企業は互いに競い合うエースが何人もいることがあります。


●ポイント4:セキュリティオペレーションセンター(SOC)
 SOCは顧客ネットワークを監視し、攻撃発生時にアラートを出したり、緊急対応を行ったり、事後対策を提案するサービスです。SOCを運営することで、いまどんな攻撃が多いのか知ることができるため、必然的に診断員は、そのときトレンドとなっている攻撃に対応したセキュリティ診断を行うことができます。


●ポイント5:脆弱性発見能力
 MBSDは、「守る力」=「攻撃できる力」であると考えています。こちらは取材記事をご一読下さい。


※上記は普遍的な基準ではなく、あくまで現在の当社の基準、目標としている考えです。判断の際の情報のひとつとしてご利用下さい。