近年のサイバー攻撃は企業や組織が運用するプラットフォームが標的とされる攻撃が増加しています。システムやネットワークに隠れた脆弱性を悪用されて、情報漏洩やシステムの停止が引き起こされないようにするには、プラットフォーム診断の実施が重要です。
プラットフォーム診断は、サーバー、ネットワークデバイス、クラウド環境、IoT機器などを対象とした診断です。
もしプラットフォーム診断を行いたい場合は、すぐに専門のフォレンジック調査会社に相談しましょう。
▶おすすめの診断会社はこちら▶【フォレンジック調査会社一覧|選び方・依頼の流れを解説】
本記事では、プラットフォーム診断がなぜ必要なのか、また診断の具体的な流れについて詳しく解説します。
| 本ページには広告が含まれています。本コンテンツ経由で商品・サービスの申込みがあった場合、企業から送客手数料を受け取ることがあります。 |
プラットフォーム診断とは?
プラットフォーム診断とは、システムの基盤であるネットワーク機器、サーバー、OS、ミドルウェアなどに対して行われるセキュリティ診断です。
インターネットに公開されている機器や内部ネットワークの機器を対象に、脆弱性の検出や設定状態の確認を行います。主に、ポートスキャン、既知の脆弱性チェック、設定の適正チェックなどを実施し、発見された問題点に対する具体的な対策を提案します。
プラットフォーム診断を実施すべき理由
プラットフォーム診断が必要な理由は、OSやミドルウェアの脆弱性を狙ったサイバー攻撃の増加です。取引先からの要求事項として、診断の実施が求められるケースも増えており、ビジネス上の観点からも重要性が高まっています。
加えてサイバー攻撃により個人情報流出や系統停止が発生すると、企業の信頼失墜や莫大な損失につながります。特に、企業活動への影響が強いンサムウェアなどは、古いVPN機器など、放置された機器が侵入経路となるケースも報告されています。プラットフォーム診断を実施することで、このようなリスクを特定し、対策を講じることができます。
プラットフォーム診断の種類
プラットフォーム診断の方法は以下の2種類に分けられます。
- リモート診断
- オンサイト診断
リモート診断
リモート診断は、診断対象のシステムに対して外部からアクセスして行う診断方法です。インターネットを介して診断を実施するため、地理的な制約がなく、複数の拠点を同時に診断することが可能です。主に、公開されているサービスやポートの脆弱性を検出し、外部からの攻撃に対する耐性を評価します。コスト効率が高く、短期間で診断を完了できる利点がありますが、ネットワーク内部の詳細な診断には限界があります。
オンサイト診断
オンサイト診断は、診断員が直接顧客の環境に訪問して行う診断方法です。内部ネットワークやシステムに直接アクセスできるため、より詳細かつ包括的な診断が可能です。ファイアウォールの内側にあるシステムや、公開されていないサービスの脆弱性も検出できます。ただし、リモート診断と比較してコストと時間がかかる傾向にあります。
プラットフォーム診断の費用
プラットフォーム診断の費用相場は、診断の範囲、対象システムの規模、診断方法によって大きく変動します。
また大規模なシステムや複雑なネットワーク構成の場合、100万円を超えることもあります。オンサイト診断を含む場合は、さらに高額になる傾向があります。
プラットフォーム診断サービスの見積もりを行う場合、料金体系だけでなく、診断の頻度と内容、追加オプションなどの料金を見て見積もりを取るとよいでしょう。
プラットフォーム診断の流れ
プラットフォーム診断は以下の手順で行われます。
- ヒアリング
- プラットフォーム診断の実施
- レポート作成
ヒアリング
プラットフォーム診断前のヒアリングでは、診断対象となるシステムの詳細情報を収集して診断の目的や範囲を明確にします。
ヒアリングする情報の内容の例としては、システムの構成や使用している技術、過去のセキュリティインシデントなどがあります。診断目的や範囲が明確となれば、ヒアリングを元に適切な診断方法や計画を立案可能となります。
プラットフォーム診断の実施
プラットフォーム診断では収集した情報を基に、専門家が対象システムに対して網羅的な調査を行います。
診断例として、サーバやネットワーク機器の設定確認、脆弱性のスキャン、SSL/TLSの調査などが含まれます。もしも診断中に緊急度の高い脆弱性が発見された場合、即座に相手に報告することもあります。
レポート作成
プラットフォーム診断が完了すると、発見された脆弱性を分析して診断結果をまとめた詳細な報告書を作成します。
報告書には、脆弱性の説明、想定されるリスク、セキュリティ対策の方法などが含まれます。プラットフォーム診断を専門家に依頼した場合、必要に応じて追加の説明やセキュリティ対策の計画を支援することもあります。
プラットフォーム診断を依頼する際のポイント
プラットフォーム診断を外部委託する場合、診断担当者とのコミュニケーションミスやサービス選定の失敗による脆弱性の見逃しを防ぐために、以下のポイントを確認・明確化しておきましょう。
- 診断範囲
- 診断方法
- 診断スピード
- セキュリティ
診断範囲
プラットフォーム診断の実施においてシステムやネットワーク全体を網羅しているか、重要な資産が含まれているかを確認することが重要です。また、外部からのアクセスポイントだけでなく、内部ネットワークや仮想環境も含めるべきかを検討します。
さらに、クラウドサービスやIoTデバイスなど、新しい技術要素も考慮に入れる必要があります。診断範囲が広いほど、より包括的なセキュリティ評価が可能になりますが、コストと時間も増加します。そのため、組織のリスク許容度や予算に応じて、適切な範囲を設定することが重要です。
診断方法
診断方法は、自動化ツールを使用した診断と、専門家による手動診断の組み合わせが一般的です。自動化ツールは、既知の脆弱性を効率的に検出できますが、誤検出や見落としの可能性があります。
一方、手動診断は、複雑な脆弱性や組織固有のリスクを発見できる利点がありますが、時間とコストがかかります。また、リモート診断とオンサイト診断の選択も重要です。
リモート診断は、コスト効率が高く、地理的制約がありませんが、内部ネットワークの詳細な診断には限界があります。オンサイト診断は、より包括的な診断が可能ですが、コストが高くなります。
診断スピード
セキュリティ企業によっては営業日数や営業時間が少なく、ヒアリングから診断着手まで、時間がかかる場合があります。脆弱性の有無をすぐに知りたい場合、セキュリティリスクが発生する可能性や、業務に支障をきたす可能性があるため、スピード重視の場合、365日営業している企業を選ぶのが安全です。
セキュリティ
プラットフォーム診断では、機密情報やシステムへのアクセスを必要とするため、依頼先の企業のセキュリティ対策について調べておくと安全です。
プロバイダーのデータ保護方針、従業員の背景チェック、セキュリティ認証(ISO 27001など)の有無を企業のWebサイトで確認しておきましょう。
また、意図せぬ情報漏えいを防ぐために診断結果の保管方法や、診断終了後のデータ削除についても明確にしておく必要があります。
編集部おすすめ調査会社:デジタルデータフォレンジック(おすすめ度)
以上のポイントをもとに、プラットフォーム診断ができるおすすめの調査会社をご紹介します。
こちらの業者は、3.9万件以上の相談実績を持ち、民間の調査会社でありながら官公庁や大手企業との取引実績も多く、幅広い調査に対応していておすすめです。
まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。
| 費用 | ★見積り無料 まずはご相談ください |
|---|---|
| 調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
| サービス | 脆弱性診断、プラットフォーム診断、WEBアプリ診断、ハッキング・不正アクセス調査、マルウェア・ランサムウェア感染調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査など |
| 特長 | ✓累積ご相談件数39,000件以上 ✓国際基準をクリアした厳重なセキュリティ体制(ISO認証、プライバシーマーク取得済) ✓警視庁からの捜査協力依頼・感謝状受領の実績多数 |
デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。
規模が大きな調査会社でありながら、携帯のウイルス感染調査などの実績もあるようですし、24時間365日の相談体制、ニーズに合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。
脆弱性診断以外にも幅広い調査に対応しているだけでなく、ケースごとに専門チームが調査対応を行っているとのことで、高品質な調査が期待できます。さらに、警察への捜査協力も行っているなど、信頼がおける専門業者です。
相談・見積りを“無料“で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。
↓調査項目・プラン・料金などは公式サイトへ↓
まとめ
プラットフォーム診断はネットワーク機器、サーバー、OS、ミドルウェアなどに脆弱性がないか調査するために、必要です。
外部の専門家による詳細なプラットフォーム診断を行う際は、診断範囲や診断方法などを互いに明確にして脆弱性の見落としが内容にしましょう。