2022年から“LANSCOPE プロフェッショナルサービス(以下プロフェッショナルサービス)”としてMOTEXのラインナップに加わった「セキュリティ診断(脆弱性診断)」サービス。
サイバーセキュリティ業界の中で古くからサービスを提供している老舗であり、豊富な実績で培ってきたノウハウと、多数の国家資格保有者によるきめ細かなサービスで、さまざまな脆弱性対策やクラウドサービスの設定にお困りのお客様にご愛顧いただいております。
本記事では、サービスの全体像とともに、昨今お客様から多くのご要望をいただいている「脅威分析サービス」と「ペネトレーションテスト※1」についてご紹介します。
※1 ペネトレーションテスト(ペンテスト・侵入テスト):脆弱性を検証するテスト手法の1つで、実際にネットワークに接続し、システムに攻撃を仕掛けて侵入を試みる。
MOTEXの幅広い診断サービス
MOTEXは、“プロフェッショナルサービス”の前身である京セラコミュニケーションシステム(KCCS)セキュリティ事業部時代を含め、20年の歴史がある老舗診断ベンダーです。
長い歴史の中で、お客様からのご要望や時代の要請を受け、さまざまな診断サービスを拡充してきており、現在20種類を超える診断サービスを提供しています。
今回は、このラインナップの中から、近頃お客様からご要望いただくケースが増えている「脅威分析サービス」と「ペネトレーションテスト」についてご紹介します。
「脅威分析サービス」とは?
昨今、Web アプリケーションの開発および運用の隅々にセキュリティを組み込む「DevSecOps※2」の概念に基づき、ネットワーク構成図や基本設計書などからセキュリティリスクを洗い出す「脅威分析サービス」の需要が増えています。
MOTEXの「脅威分析サービス」は、脅威分析モデリング手法を用いて、資産および脅威から対処すべきリスクの優先度を付けることで、お客様が適切なセキュリティ対策を実施できるよう支援します。
※2 DevSecOps:開発(Development)、セキュリティ(Security)、運用(Operation) の略。
「ペネトレーションテスト」とは?
また昨今、Webアプリケーション診断やネットワーク診断で脆弱性を洗い出すだけでなく、「実際の影響はどの程度あるのかを洗い出したい」といったニーズも増加しています。
PCI DSS※3をはじめとする業界のガイドラインに要件として記載されるケースも多く、「ペネトレーションテスト」の需要が増加傾向にあります。
MOTEXではWebアプリケーションやネットワークのテストはもちろん、シナリオに沿ってマルウェアを模した操作を実行し、外部への情報持ち出しや感染拡大のリスクを確認するなど、目的の達成可否について検証を行う「APTペネトレーションテスト」も提供しています。
これらサービスにご興味がございましたら、ぜひMOTEX担当者までお声がけください。
※3 PCI DSS:クレジット業界におけるグローバルセキュリティ基準
IPAからも注意喚起!VPNのセキュリティに関するアンケート調査レポート
ここからは、2023年10月に開催した弊社セミナーで実施したVPNのセキュリティに関するアンケート結果をレポートします。
企業の重要なデータを人質とするランサムウェアが年々拡大傾向にあり、昨今サイバーセキュリティにおける重大な脅威となっています。
IPA(情報処理推進機構)の『情報セキュリティ10大脅威』においても「ランサムウェアによる被害」は2021年から3年連続1位となっており、その猛威はとどまることを知りません。
そのランサムウェアの大部分の感染経路となっており、昨年8月にもIPAから注意喚起が出されている「VPN」について、アンケート結果から実態と対策のポイントをお伝えします。
アンケート実施日:2023年10月27日(弊社セミナー内) / 回答方法:Web/有効回答数:32
Q1.過去にサーバー、システム、アプリケーションに対して脆弱性診断を行ったことがありますか?
まずはVPNに限らず、広く脆弱性診断を実施したことがあるかをお伺いしました。
本アンケートにご回答いただいた方は、弊社セミナーの受講者であり、比較的セキュリティ意識の高い層に対する調査でしたが、「過去に脆弱性診断を行ったことがある」と回答された方は34%にとどまりました。
脆弱性診断を実施していない理由としては「予算が足りない」が最も多い結果となりました。
Q2.VPN機器に対して、セキュリティ上の懸念はありますか?(複数選択可)
次に、VPNに対して危機感を持っているかどうかをお伺いしました。
前述のIPAによる注意喚起をはじめ、セキュリティ関連のニュースでさまざまな注意喚起がなされているものの、4割の方が「特になし」と回答されました。
次点としては、「外部ベンダーが設定しており、自社で管理できていない」が続きました。
Q3.VPN機器のセキュリティ状態を診断できるとしたら、実施したいですか?
最後に、VPNに対するセキュリティ診断を実施したいかをお伺いしました。
「実施したい」と回答された方は28%にとどまり、多くの方が「実施の必要性を感じない」と回答されました。
一方で、15%以上の方は「すでに実施している」と回答されており、一定数の企業ではVPNに対するセキュリティ診断を実施できていることが分かりました。
VPNは手軽にセキュアなネットワーク環境を構築できるため、近年のテレワーク推進などに伴い幅広い企業で利用が進んでいます。一方で、広く普及している機器などに重大な脆弱性が見つかることもあり、記憶に新しい自動車メーカーや医療機関での事件は、これらが原因であったと報告されています。
また、セキュリティレベルの低い関係先を狙う「サプライチェーン攻撃」にもこの手口が利用されることがあります。こうした脅威には、使用している機器やソフトウェアに関する脆弱性情報を漏らさずキャッチし、責任の所在を明確にして脆弱性を放置せず、迅速に対処することが重要です。
そして、セキュリティ対策の一丁目一番地である「現状把握」のためにも、組織における必要優先度を上げていただき、機器の入れ替え時や定期的なタイミングで診断を受けることを強くおすすめします。
前述の通り、VPNに限らず、MOTEXではさまざまな診断サービスを提供しております。
貴社にてお役立ていただけるものがございましたら、ぜひご相談いただけますと幸いです。
関連する記事
