2020 年における脆弱性診断サービスにおける現状と展望

複雑化、巧妙化するサイバー攻撃の脅威は高まり、日本国内でもサイバー攻撃による被害が年々高まっております。それに対し企業におけるセキュリティ対策への投資は肥大化していく傾向にあります。増えていく IT 資産に対して網羅性を前提とした、より堅牢なセキュリティ対策を講じることが求められます。

増えていく IT 資産に対してどのように網羅性を持ち、的確なセキュリティ投資をすれば良いのかということに頭を悩ませている企業様も多いのではないでしょうか。

費用対効果の最適化

これまでは、前回実施したページと追加・変更となったページを繰り返し実施することが多く、回数を重ねると雪だるま式に費用が増加するという傾向がみられました。このやり方では拡大していく IT 資産においてのセキュリティ投資も比例して肥大化していき予算確保が困難な状況を作り出していました。

これからは、最大限の費用対効果を出して頂くために優先度付けを行い、必ず実施するべきタイミングと、コストを抑えるべきタイミング(他のセキュリティ投資の方が有効な場合)を見極める必要があると考えます。

新規リリース時や機能の変更・追加時に脆弱性診断に必要となります。ただし、既に脆弱性診断が完了し改修まで済んだ個所につきましては、実施ペースを落とす(1 年～ 2 年に 1 度など)ことも 1 つの手段と考えられます。またサイト全体を対象とするのではなく一部の機能へ集約することで費用もそうですが、脆弱性診断を実施する期間も圧縮することが可能となります。

このように一例とはなりますが、多くの資産を守ることが難しくなっている現状に対し、どのようにセキュリティ予算を最大限・効果的に投資するかを考えることが重要です。

ペネトレーション

近年では既存の脆弱性診断よりも、高度な検査手法に対するニーズが高まっております。その 1 つが、ペネトレーションテスト(侵入検査)です。

対象のシステムに対して攻撃者やターゲットとなる資産を設定し、シナリオベースで侵入検査を行います。脆弱性診断のような網羅性にフォーカスを当てるのではなく、実際の攻撃に対する脅威を想定して行う検査方法となります。

脆弱性診断は当検査の調査工程の位置づけとなり、より実際の脅威に沿ったアセスメントを行うことが可能です。

Synack クラウドソーシングペネトレーションテスト

国内のセキュリティ人材の不足は大きな課題とされている中、弊社では新たなサービスの提供を開始いたしました。それが Synack クラウドソーシングペネトレーションテストです。1 プロジェクトに対して 60 ～ 80 名のホワイトハッカーを投入するバグバウンティ(報奨制度)型脆弱性診断サービスです。

アメリカ国防省ペンタゴンでも採用されている本サービスの特長は、Synack Red Team と呼ばれる世界最高級の技量、倫理適正、ナレッジを認定されたホワイトハッカーを大量に投入することで、従来の脆弱性診断サービスでは提供できなかったスピード感を実現します。また、多くの視点を取り入れることでより多角的にシステムの脆弱性を発見することが可能です。

ダークウェブの脅威

ダークウェブ内で自社情報等の取引がされていないか検知する「脅威インテリジェンスサービス」のニーズも高まっています。
インターネット上の通常の検索エンジンではたどり着けないダークウェブというサイバー空間において、企業の機密情報や個人情報、実際の攻撃手段の情報が取引されています。
ダークウェブ内で取引された自社の機密情報等を悪用された場合は、企業のブランドイメージを著しく毀損される可能もあります。

アスピレイションサイバーセキュリティ経営診断サービス

アスピレイションサイバーセキュリティ経営診断サービスは、深層ウェブやダークウェブのリサーチ技術を活用したサイバーリスク診断です。組織のセキュリティ体制監査やサイバーセキュリティ診断とコンサルティングサービスにより、企業の事業継続と組織のセキュリティマネジメント体制の強化を支援します。
本サービスではビッグデータや AI 解析により、通常到達できないダークウェブ内の関連キーワードから攻撃の予兆を検知することが可能となります。