ホワイトハッカーを夢みて、セキュリティアカデミーでお勉強中のミーアキャット。心配性でやさしい性格で、「みんな無事ミア?」「危険はないミア?」が口癖。ちょっとしたことですぐに「キャッ!」と動揺しがち。
2020年に入社後、ペネトレーションテストや脆弱性診断などを担当。趣味は絵本集めと散歩。心穏やかに平和な日々を過ごすこと、友人と将棋を指したり、釣りをしたりして、のんびり老後を過ごすことを夢見ています。
佐々木さんこんにちは!今日のテーマは「プラットフォーム診断」ですね。初めて聞くけど、たぶん電車の駅のホームを診断するわけじゃないことだけはわかるミア。
佐々木さん
そうですね(笑)。プラットフォーム診断とは、システムを構成するネットワーク機器やサーバーなどに対して、ネットワーク経由での侵害を受ける可能性のある設定不備や、CVEが採番されているような既知の脆弱性が存在するか確認することを主な目的とした脆弱性診断です。
キャッ!また初めて聞く言葉が出てきたミア……「CVE」ってなんですか?
佐々木さん
CVE(Common Vulnerabilities and Exposures)は、日本語だと「共通脆弱性識別子」といいます。脆弱性にはさまざまな種類がありますから、どの脆弱性のことかすぐわかるように、一般公開されている脆弱性に番号(識別子)を付けてリスト化しているんです。CVEが採番されていることで、みんなで「CVE-0000-XXXXの脆弱性にはどんな対策をすればいいか?」というふうに知恵を寄せ合うことができるんですよ。
プラットフォーム診断を実施していないと、ネットワーク経由でサイバー攻撃を受けるリスクが上がるミア?
佐々木さん
そうですね。例えば以下のリスクが考えられます。
キャッ!情報漏えい、踏み台、身代金……どれもこれもめちゃめちゃ怖い!こうなると、社内のネットワーク機器やサーバーはすべてプラットフォーム診断を受けた方がいいミア?
佐々木さん
情報資産の構成と所有数や、使用しているソリューションの種別により、実際の診断の優先順位は変わります。ただ、一般的に優先度の高い診断対象としてはDMZ上に存在するサーバー群やVPS、インターネットゲートウェイなど、外部の第三者から直接アクセスできる可能性が高いネットワーク機器/サーバーなどが挙げられます。
ふぅ~、怖すぎて毎日でもプラットフォーム診断を実施したいくらい……。実際のところ、どんなタイミングで診断を実施すればいいミア?
佐々木さん
大まかには次の3つのタイミングがあります。
なるほど!プラットフォーム診断も、一般的な脆弱性診断のタイミングと同じように考えればよさそうミア。
佐々木さん
「新規システムの構築時/本番稼働前」や「定期的な確認」は共通していますね。そして、一般的な脆弱性診断は「重大なシステムアップデート時」などが実施すべきタイミングとされていますが、ネットワーク機器やサーバーにとってはそれが「ネットワーク構成の大幅な変更時」にあたると考えることもできます。
システムやネットワークにとって大事なときこそ、脆弱性診断が必要なんですね。そして定期的なチェックも忘れずに続けていかなきゃミア!
佐々木さん
そうですね。プラットフォーム診断を行っていないと、機密情報漏えいや改ざん、サーバーへの侵入など、多岐にわたるリスクが潜んだままシステムを運用することになってしまいます。この記事を参考に、適切なタイミングで脆弱性診断を検討してもらえれば、OS/ミドルウェアの脆弱性や設定不備に起因するインシデント発生のリスクを大幅に低減できるはずですよ。
いつが適切なタイミングか、さっそく検討してみるミア!今日はいろいろ教えてくれてありがとミア!
佐々木さん
脆弱性診断を行うためには、予算や診断の目的に応じ、優先度付けや診断対象の選定を行う必要があります。セキュリティコンサルタントに相談して、アドバイスをもらうのもおすすめですよ!