新たな脆弱性が日々公開される現代において、Webアプリケーションだけでなく、その基盤となるプラットフォームのセキュリティ対策は不可欠です。

今回は、お客様のサーバ環境の安定と信頼性を確保するために有効なセキュリティ対策となるプラットフォーム診断をご紹介します。

プラットフォーム診断とは

プラットフォーム診断が対象としているのは、ネットワーク機器全般です。

IPアドレスを持った対象であれば基本的に全て脆弱性診断の対象とすることが可能ですが、特に攻撃者に狙われやすい対象として挙げられる、公開のWebサーバやAPIサーバは多くの診断実績があります。

一方、金融機関など機密情報を多く扱うお客様からは、外部に公開していないサーバを対象とする内部診断のご依頼も多くいただいています。

プラットフォーム診断の必要性

１．サーバ攻撃の常態化と新たな脆弱性の公開

Webアプリケーションはサーバの上に立っているため、たとえWebアプリケーション側に脆弱性がなかったとしても、プラットフォーム側に脆弱性が残っている場合があります。

プラットフォームに脆弱性があると、Webアプリケーションだけでなく、サーバそのものが乗っ取られてしまったり、攻撃の踏み台として使われたりするリスクがあるため、サーバへの診断も必須とされています。

２．設定ミスによる脆弱性の発生

各社で新サービスの開発を進める際、本番環境と検証用の環境を分けて用意することが多い現状から、プラットフォームにおいては設定ミス・人的ミスによる脆弱性が非常に多く発生します。

例えば、検証環境は適切でも、本番環境で古いソフトウェアを使用している場合などが挙げられます。

そのため、内部での確認のみならず、セキュリティベンダーなど第三者による診断を行うことでダブルチェックの役割も果たすことができます。

セキュリティの観点から、Webアプリケーション診断とプラットフォーム診断を合わせて行うことが推奨されています。

当社が提供するプラットフォーム診断の強み

1. ツール診断に留まらない「手作業（マニュアル）での追加確認」

プラットフォーム診断は、基本的に既知の脆弱性の確認が主となるため、ツール診断が主流となっています。当社では、ツールを用いながら、手動の診断も取り入れています。

ツールで検出した結果には過検知・検知漏れが発生する場合があります。そうした結果を人の目で確認し、必要な情報のみをお客様にお届けすることで、高い品質に評価をいただいています。

2. 最新トレンドを反映した脆弱性への迅速な対応

サーバを取り巻く脅威は常に進化していますが、当社では常に最新の診断項目と手法でトレンドを踏まえた診断を行っています。

独自のデータベースに日々最新の情報を取り入れることで、月に約20件の頻度で診断項目を更新し、トレンドを取り入れた脆弱性診断を実現。セキュリティベンダーとして最新かつ高い品質を保ち、サービスを提供しています。

3. 客観的かつ定量的な評価（CVSS）の徹底

評価結果は、共通脆弱性評価システムCVSSを用いて提示します。

ツールの公式項目に載せられていない脆弱性に対しても、当社で判断した上でCVSSの設定を行い、スコアを付けて納品します。

CVSSに基づき脆弱性を評価することで、客観的かつ定量的な脆弱性診断を行っています。

4. 標準化された診断で高品質・短納期を実現

当社では診断内容・手順が標準化されており品質が安定しているほか、診断完了後1営業日で報告書を納品するなど、診断プロセスにおいても徹底した効率化が図られています。

品質の高い診断を短納期で提供できることも、当社の強みです。

お気軽にご相談を

当社のプラットフォーム診断では、「診断対象のIPアドレス」および「FQDNの情報」から、その対象数によってお見積り結果をお渡しすることが可能です。

また、脆弱性診断やセキュリティ監視を軸に、グループ会社とも連携し、総合的なセキュリティサービスを展開しています。セキュリティに関してお困りのことがございましたら、お問い合わせフォームからお気軽にご相談ください。