セキュリティ脆弱性診断スキャン

情報セキュリティ監査は、業務監査と連携して行われたりします。
毎年、システムの脆弱性診断をセキュリティ企業に依頼して、システムの問題ないことを確かにしたり、発見された問題を修正することによって、システムの信頼性を確保します。

Web企業の場合、Webアプリケーションなどの脆弱性診断がメインになります。
一般的にセキュリティスキャンを行うための独自ツールやオープンソースのスキャナー(Nmap,Nessusなど)等を利用したり、マニュアルによるペネトレーションテストを行います。外部からの診断や外部からの診断を行います。

テスト項目は、基本的によく知られた脆弱性に対して行われます。
XSSやSQL Injection、コマンドインジェクション、ヘッダインジェクション、パストラバーサルなどのテストが中心です。
普通のエンジニアが普通にプログラムを書いていることと、コアソフトウェアが定期的にstableなバージョンへアップグレードされていれば、特に問題になるようなことはありません。

テスト期間については、対象とするサーバ台数/ネットワーク規模などに依存します。
大きなネットワークでは、６０人月程度ぐらいかかると言われます。

テストに投入される人数などは、企業によってまちまちです。もちろんネットワークの規模によっても異なります。それなりに大きなネットワークが対象の場合には、シニアを数名とシニア未満が数名といった数人が投入されることになるでしょう。

価格については、ネットワークの規模(IPの数)などで増加していく傾向があります。１００ＩＰで５００万円程度、数万ＩＰで２５００万円といった傾向があります。
この手の価格は、おおむね平均化されており、どこも横並びなのでしょう。グローバル企業であっても、グローバル市場の中で横並びになっているようです。どちらかといえば、そういった企業のほうが高そうなイメージはありますが、水準もグローバルなので、価値はあるのかもしれません。

セキュリティスキャンを実施した結果、その診断レポートが上がってくるわけですが、わかり難いレポートがあがってくることもあります。
そういう企業は、次の選定のときには、問答無用で自動的に外します。グローバル企業だったりするとただの翻訳である可能性もあり、輪をかけて解らなさが加速する恐れがあります。

企業によるセキュリティ診断は、コストが高いということもあり、色々なオープンソースのツールを組み合わせた独自スキャナーを構築して、自前で巨大なネットワークをスキャンしている企業もあります。

LAC、IBM(ISS)、SBT、サイバーディフェンス研究所などの企業がセキュリティ脆弱性スキャンを実施しているようです。

脆弱性スキャンは、セルフサービスでがんばりましょう。

---