/// セキュリティ診断よくある質問

セキュリティ診断に関するよくある質問(FAQ)をまとめました。

/// 診断サービスについて

どんな脅威に対して診断できますか?
経済産業省より公表されている「情報システムの信頼性向上に関するガイドライン」の対象をはじめ、IPA公表によるセキュリティ対策ガイドに基づく脆弱性診断項目は十分に網羅しています。 ハウルでは行政が推奨する診断項目だけではなく、自社判断の元に網羅的にネットワーク・アプリケーションにおける脆弱性項目を抽出し大項目として40の診断項目を元に60,000以上の業界一の診断パターンによりセキュリティ診断を行います。
診断のパターン数は何を意味していますか!?
脆弱性を発見するのにネットワークの小さな脆弱性を如何に”順に”紐解くのかが重要です。単体では大きな脆弱性にはなりえないものでも、脆弱性を突く順が巧妙であれば総じて大きな脆弱性になりえます。 簡単に言えば過去の経験の積み重ねにより多くのパターンを持ち合わせていると言えます。 ハウルでは60,000を超える診断項目を持ち合わせており業界で最も多い診断項目で診断を行います。
他社との違いはなんですか??
セキュリティ診断のパターン数、および診断項目における費用対効果です。 他社では手動でしか実現できなかった診断項目もハウルでは自動ツールにて行なっています。手動同様の診断が行なえる費用対効果の高い診断ツールです。
無料・廉価で本当にセキュリティ診断の意味はあるの?
ハウルの場合は、有料のツールも無料のツールも同じエンジンを使っています。 無料のレポートは利用されるお客様の理解度を踏まえて簡易的なものに留めていますが裏側では有料ツールと同様のものが稼動しておりますのでプロユース同様の診断が行なえます。
診断にはどれぐらい時間が掛かりますか?
ページ数にもよりますが、おおよそ1時間ぐらいとお考えください。 ほとんどシステムに負荷は掛かりませんので日中にでも安心して行なえるのが他社との違いです。
費用についてはどうなっているのですか?
無料の自動ツールから、エキスパートエンジニアが担当する手動診断まで多くのメニューをご用意しております。 詳しくは料金メニューをご覧ください。
定期的(継続的)なチェックはお願いできますか?
ハウルは、有料で1ヶ月に1回~継続的に診断を実施するメニューを取り揃えております。 ITの業界は日進月歩、OSミドルウェアのバージョンアップ、脆弱性の新たな発見、等々ITを使う以上、継続的に脅威にさらされる状況にあります。 ハウルを通して継続的にシステムのセキュリティ診断をされることを推奨いたします。
診断後、問題・課題が見つかった場合はどうすればいいですか?
診断後にお渡しするレポートをシステムを開発された部署または業者様に対策をご依頼ください。 依頼先が無い場合は、弊社で引き受けるすることも可能です。 但し対象のシステムの規模・内容にもよりますのでご了承ください。診断後の対応は診断費用とは別となります。
診断結果を開発会社に話してもらえますか?
診断の結果を代行して説明することは可能です。別途費用になりますのでお問い合わせください。 尚、対象の診断サービスの範囲内となりますので予めご了承ください。 ※診断サービスは価格によって診断範囲が異なります。広く網羅的に診断したい場合は診断範囲の広いサービスをご利用ください。

/// 診断サービスの利用後について

サーバーも含めてセキュリティ管理はできますか?
MSPサービス(サーバー運用監視サービス)をお請けしておりますのでセキュリティを十分に考えた運用保守サービスを提供しています。
セキュリティを見直したいので相談できますか?
高いセキュリティの維持を踏まえた必要なサービスをフルラインでご提供します。 セキュリティの幅広い知識をもったエキスパートエンジニアがセキュアなWebサイトを構築・運用するノウハウをご提供致します。

/// セキュリティに関して

個人情報を扱っていないのですが、セキュリティ診断の必要はありませんか?
「情報漏えい」以外にも脅威はあります。社内の営業情報、製品の設計情報など産業スパイが含まれる場合もあります。 また、他の企業への攻撃の踏み台にされたり、マルウェアに感染するなどして第三者に被害を及ぼす可能性もあります。マルウェアに感染するとGoogle等の検索エンジンに表示されなくなる場合があるなど、甚大な被害を被る場合も想定されますのでセキュリティについては十分に知識を持って定期的なセキュリティ診断を行なうことをお勧めします。
簡単なホームページしかないのですが、セキュリティ診断の必要はありませんか?
先の質問と同様で、情報漏えいだけではなく沢山の脅威があります。第三者に被害を及ぼした場合、賠償金の問題だけではなく会社の信用を失うなどIT以外の業務に関しても影響が出る場合があります。
高度なシステムではないので脆弱性なんてないのではありませんか?
こちらも先の2つの質問と同様で数ページしかないWebサイトも脆弱性を持ち合わせていたために、社内の機密情報が漏れる、第三者に被害を与えて会社の信用をなくしてしまった等の被害が考えられます。 昨今のセキュリティ被害の拡がりを踏まえるとインターネットを使う以上、セキュリティに関する知識を持ち合わせて定期的にセキュリティに向き合う必要があるといえます。
会社の規模が大きくないので、攻撃の標的にされることはないのではありませんか?
規模の大小は関係ありません。攻撃者は直接的に被害を与えようとする標準型攻撃と、第三者に被害を拡散させたいマルウェア感染などに分かれ、どちらの対象にもなりうる可能性が十分にあります。 自社への被害だけではなく第三者への被害も踏まえて、セキュリティ診断を定期的に行なうことを推奨します。
システム会社に任せているので、問題ないのではないですか?
なんとも言えませんが、一般的にアプリケーションを開発するエンジニアとネットワークエンジニアは異なります。 言い換えると技術が異なりますのでお任せしている業者にもよりますが専門のエンジニアの有無をご確認いただくことをお勧めします。 また、Webアプリケーションのセキュリティ診断の対策を行なっていたとしても、セキュリティ診断はあらゆる脆弱性を想定して実施されますので”対策”と”診断”は別物として対応されることをお勧めします。 時間を経過すると様々な脆弱性が発見されますので定期的なセキュリティ診断を行なうのも重要です。
付き合っているベンダーにセキュリティを頼んでいるので問題ないのではないですか?
対策方法にもよりますが、ファイアウォールやアンチウィルス等の対策ではないでしょうか。 ネットワーク側の対策とWebアプリケーションのセキュリティ対策は異なります。またセキュリティ機器は多機能で強固なセキュリティを持ち合わせたものは、かなり煩雑を極めているためベンダーの設定如何によっては適切なセキュリティが行なわれていないケースも見られます。 セキュリティ診断を行なうことにより設定の不備等も発見され、総合的にセキュリティ強固の是否を確認することができます。時間が経つと攻撃手法も多種多様になり、システムの脆弱性も沢山発見されますのでセキュリティ機器だけではなく定期的なセキュリティ診断と併せてセキュリティ全体を考えることをお勧めいたします。
大手が漏えいしているんだから、規模の小さい会社には防げないのではないですか?
そんなことはありません。大手企業は大規模・複雑なネットワーク構成・システム・アプリケーションを有しているために、複次的に脆弱性を含んでしまう可能性があるためです。全国に沢山ある特定の事業所の小さなセキュリティホールから侵入され、本社の基幹システムに侵入される等の事例もあります。 小さな会社と大きな会社では、セキュリティに対して考慮すべき範囲が異なります。先にいくつか回答していますが、数ページのホームページしか有していない企業様においても定期的に診断を行ない、安心安全なインターネットを第三者に提供いただきたいと思います。
ファイヤーウォールが防いでくれるのではないですか?
貴社がサイトを世界に公開していれば、攻撃者はファイヤーウォールをすり抜けることができます。 ファイヤーウォールが防いでくれることは限られます。
セキュリティ対策でファイヤーウォール、アンチウイルスソフトIDS、IPS等を入れているので問題ないのではないですか?
IPS,IDS,WAFにおいても設定如何では容易に攻撃者が侵入することができます。 セキュリティ診断は当該セキュリティ対策機器の有無に関わらず、多種多様なセキュリティホールの発見を試みますので既存のセキュリティ対策の是否についても確認することができます。 日々新たな脆弱性、攻撃手法が発見されていますのでセキュリティ機器に頼るだけではなく定期的な診断の実施を推奨致します。
セキュリティ診断・対策はコストが沢山掛かるのではないですか?
弊社では、無料のサービスから有料のサービスまで多くのメニュー、商品をご用意しております。 お客様のネットワーク・システム・アプリケーションに応じた診断、対策を行なって頂けるように商品を提供しています。
Copyright (c) COBO HOLDINGS,INC All Right Reserved.

お気軽にお電話でも問い合わせください

03-3513-7630

受付:平日 10:00~18:00

Web経由は24時間受付OK。簡単2分で問い合わせ!