皆様こんにちは!
S.K.とT.C.と申します。今年度に新卒でフューチャースピリッツに入社しました。今回私たちは、弊社主催のオンラインセミナーに初めて参加しました。
今回弊社では、NTTデータ先端技術株式会社(以下、NTTデータ先端技術)様をゲストに招き、脆弱性診断に関するセミナーを開催しました。
オンラインセミナー詳細:情報セキュリティの説明責任を果たすための脆弱性診断~生成AI時代のセキュリティ診断と活用ポイント~
近年、ランサムウェアなどのサイバー攻撃が増加しており、企業における情報セキュリティの重要性がますます高まっています。こうした背景のもと、脆弱性診断の重要性と適切な実施方法、実施後の施策に関するオンラインセミナーを主催しました。本記事では、そのセミナー内容をレポートします。
サイバー攻撃の現状と脆弱性診断
サイバー攻撃は年々高度化しており、特に脆弱性を狙った攻撃が増加しています。
最初に、NTTデータ先端技術様のセキュリティエンジニアによって、AIを活用して自動化された脆弱性診断(DAST:Dynamic Application Security Testing)の最新手法が紹介されました。
AIを活用することで、従来の手動診断よりも安価で迅速な診断が可能になりました。一方で、高精度でお客様のニーズに柔軟に対応できる手動診断のメリットも失われてはいません。どちらの診断が適切かは、サイトやシステムの特性、取り扱うデータの内容等に合わせて選択することが理想です。
脆弱性診断(DAST)は、動作しているWebアプリに対してツールや手操作で疑似攻撃を行い、そのレスポンスから脆弱性の有無を判定する診断手法です。DAST型の診断では診断員が検査対象のアプリケーションの画面を確認し、 機能や業務仕様を把握した上で、潜在する脆弱性を予測して疑似攻撃を行います。
手動で実施していた画面の確認、検査は、AIを用いることにより、より安くかつ迅速に実施することが可能になりました。NTTデータ先端技術様が利用している、株式会社エーアイセキュリティラボのAI駆動脆弱性診断ツール「AeyeScan」の機能と利点についても詳しく解説されました。
AeyeScanは、SaaS型Webアプリケーション脆弱性検査ツールとしては国内市場シェアNo.1 ※を占めています。
(※ 出典:https://prtimes.jp/main/html/rd/p/000000050.000051317.html)
特徴として、
- ・画面遷移図と診断結果が提示される
- ・診断後は当社の診断員によるアドバイザリ実施可能
- ・50画面の診断を3営業日で対応
- ・年間契約を締結することで、お客様のタイミングでの診断も可能
といったところです。サイトの更新頻度が高く定期的に診断したい方、まずはざっと診断をしてみたい方向けの脆弱性診断ツールです。
脆弱性診断後の対応と改善策
続いて、弊社のサーバーエンジニアによる、診断結果に基づいて適切な対策を講じることの重要性の説明がありました。
脆弱性診断を受けただけでは、脆弱性はなくなりません。脆弱性診断を受けた後、検出された脆弱性に対する是正対応を行うことが不可欠です。一過性の診断に終わらせず、継続的な対応をとるためには、定期的な脆弱性診断や、自動更新される対策サービスが効果的です。
一例として、FTPの危険性やApacheのセキュリティ設定の見直しなど、具体的な対策例の説明がありました。また、WAF(Webアプリケーションファイアウォール)やIPS(侵入防止システム)などを導入することで、総合的なセキュリティを強化する方法の提案がありました。
脆弱性診断は、第三者による客観的な評価を行うことが重要です。評価結果と自社状況を総合的に考慮し、脆弱性との向き合い方を考えていかなければなりません。
診断結果に基づき、専門家の意見を取り入れて優先順位の設定を行い、どの脆弱性を優先的に修正すべきかを決めるべきだとの提言がありました。
脆弱性は社会問題?
最後に、弊社のマネージャにより、脆弱性を取り巻く社会的な状況の説明がありました。
インターネットの治安が悪化する中で、ハッキングやランサムウェアなどのサイバー攻撃に関する報道が増加しており、情報セキュリティの重要性が改めて認識されています。
特に、経済産業省が主導する情報セキュリティ強化の取り組みが進んでおり、2024年末までにECサイトにおける脆弱性診断の義務化が予見されています。
セキュリティ対策が不十分であると、社員情報や顧客データベース、システム設計書、営業資料、ICカード、独自ツールなどの情報資産が流出し、自社だけでなく顧客や取引先にも甚大な影響を与える可能性があるため、対策の強化が不可欠であることが強調されました。
社会に求められる情報セキュリティとは
脆弱性は、ITシステムが存在する限り、今後も存在し続けます。国内と海外からのサイバー攻撃は今後も継続します。
脆弱性のないシステムを作ることは、残念ながら実質的に不可能です。一時的に脆弱性の検出されない状態を実現することはできますが、インターネットの発展とサイバー攻撃の高度化は表裏一体です。そのため、ある時点で万全なシステムであっても、ネットワークに接続され利用している限り、いつか新たな脆弱性が発生してしまいます。
インターネットセキュリティの要求水準は、サイバー攻撃の多元化と高度化に伴って高度化しています。企業は、総合的なセキュリティ対策を講じて、情報漏洩などのリスクを最小限に抑えることが求められます。