ネットワーク脆弱性診断とは?
【応用編】:企業のセキュリティを守る重要な対策

Share

このシリーズでは全3回にわたり、ネットワーク脆弱性診断について取り上げます。最終回となる第3回目は応用編として、企業が直面するネットワークのセキュリティ課題について、事例とともに紹介します。最後に、ネットワーク脆弱性診断の実施メリットや適切なサービス選びのポイントを解説します。

企業が直面するネットワークセキュリティの3つの課題

近年、企業ネットワークに対する攻撃はますます高度化・多様化しており、外部からのサイバー攻撃だけでなく、内部要因によるセキュリティリスクも増加しています。企業が直面しがちなセキュリティ課題について主な例を紹介します。

  1. 外部からの攻撃
    外部からのサイバー攻撃は、組織にとって最大の脅威の一つです。例えば、ランサムウェア攻撃によって重要なデータが暗号化され、多額の身代金を要求される事例が増加しています。また、DDoS攻撃によってウェブサイトやシステムが停止し、業務継続に支障をきたすケースもあります。
  2. 内部脅威(内部者の不正行為、設定ミス)
    内部者による不正行為や設定ミスも深刻な課題です。例えば、従業員が意図せず機密情報を漏洩したり、不適切なシステム設定が攻撃者に侵入の隙を与えたりするケースもあります。特に、クラウドサービスの設定ミスは外部から気づかれにくいため、重大な被害を引き起こすことがあります。
  3. ハイブリッド環境における複雑な管理
    クラウドとオンプレミスのシステムが共存するハイブリッド環境では、ネットワークの複雑さが増し、セキュリティ管理が難しくなっています。例えば、クラウド環境でのアクセス制御ミスや、オンプレミス環境の古いシステムに未適用のセキュリティパッチが攻撃の入り口となることがあります。

これらのセキュリティ課題を放置してしまうと、情報漏洩や業務停止といった直接的な損害だけでなく、顧客や取引先の信頼を失うという長期的な影響も避けられません。これらの課題に適切に対応するためには、ネットワーク環境全体の脆弱性を把握し、的確な対策を講じることが不可欠です。

ネットワーク脆弱性のリスクとは?古いOSやソフトウェア使用の危険性

企業のネットワーク環境で脆弱性が放置されていると、攻撃者に侵入されるリスクが高まります。よく知られるネットワークの脆弱性カテゴリの例は以下の通りです。

  • 古いソフトウェアやOS
    サポートが終了したOSや古いバージョンのソフトウェアを使用していると、攻撃者が既知の脆弱性を悪用し、システムに侵入するリスクが高まります。
  • デフォルト設定や弱いパスワード
    ネットワーク機器やアプリケーションがデフォルト設定のままだと、攻撃者が簡単に侵入できる可能性があります。また、『123456』や『password』のように単純な文字列で構成されたパスワードは、総当り(Brute-Force)攻撃の成功率を高めます。

ネットワークの脆弱性を悪用した攻撃事例

ネットワークの脆弱性を悪用した攻撃は、世界中で多くの企業に甚大な影響を与えています。ここでは、実際に起きた攻撃事例の情報が掲載されているサイトの一部をご紹介します。

  1. ランサムウェア攻撃の事例
    近年、企業で最も被害件数が増えているサイバー攻撃はランサムウェア攻撃です。ランサムウェアは、個人情報や企業の機密情報などの重要なデータを暗号化することによって、被害者に深刻な損害をもたらします。

    【2025年最新】国内外におけるランサムウェアの被害企業一覧とその実態
    参考:https://cybersecurity-jp.com/contents/data-security/1612/
  2. DDoS攻撃の事例
    【2024年版】国内DDoS攻撃被害企業の例
    参考:https://act1.co.jp/column/0125-2/

SQAT.jpでは以下の記事でDoS攻撃・DDoS攻撃に関する情報をご紹介しています。こちらもあわせてご覧ください。
DoS攻撃とは?DDoS攻撃との違い、すぐにできる3つの基本的な対策

攻撃者は依然として、セキュリティがあまいシステムを狙っているため、隙をつくらないよう事前に防御しておきたいところです。ネットワーク脆弱性診断を定期的に実施することで、潜在的なリスクを早期に発見し、被害を未然に防ぐことができます。次の項目で、ネットワーク脆弱性診断実施によるメリットについて具体的に紹介します。

ネットワーク脆弱性診断実施によるメリット

ネットワーク脆弱性診断を実施することで得られるメリットは大きく分けて以下の3つになります。

  • 攻撃リスクの低減
    ネットワーク脆弱性診断を実施することで、サーバやネットワーク機器、端末などに対する攻撃リスクを大幅に低減できます。ネットワーク脆弱性診断では、情報漏洩やデータ改ざんの原因となるセキュリティホール、構成ミス、OSやミドルウェア、サーバソフトウェアの未適用パッチを事前に特定することによって、どのように対策を講じればよいかがみえてきます。これにより、サイバー攻撃のリスクを未然に防ぎ、ビジネス継続性を確保します。結果的に企業全体のセキュリティレベルが向上するため、自組織がサイバー攻撃の対象となる機会を減らし、安心して業務を進められる環境を整えることができます。
  • 顧客・取引先からの信頼向上
    顧客や取引先に対し、情報資産を守るための積極的な姿勢をアピールすることで、信頼度が向上します。診断の実施は、セキュリティコンプライアンスの基準を満たすことにも寄与し、パートナー企業や規制当局からの信頼性を確保します。結果的に、安心感を提供することで取引関係の強化や新規顧客獲得のチャンスを広げ、企業成長を後押しします。
  • セキュリティ対策コストの削減
    ネットワーク脆弱性診断は、長期的な視点で考えると、セキュリティ対策コストを削減する効果があります。診断を通じて、リスクの優先順位を明確化し、効果的かつ効率的な対策を講じることで、不要な出費を回避できます。例えば、全てのシステムやデバイスに無差別に対策を施すのではなく、本当に必要な部分にのみリソースを集中させることが可能です。また、診断の結果をもとに適切な運用改善やセキュリティツールの選定を行うことで、運用コストを最適化します。さらに、セキュリティインシデント発生時の対応コストや業務停止による損失を未然に防ぐことにもつながります。

定期的な脆弱性診断の実施の重要性

脆弱性診断は一度実施したらそれで終わりというものではありません。脆弱性は日々増加し続けるため、診断実施後に適切なセキュリティ対策を行っていたとしても形を変えて自組織のシステムにサイバー攻撃を行う可能性は十分にあります。顧客が安心してサービスを利用し続けられるためにも定期的な診断を実施し、洗い出されたセキュリティ上の問題に優先順位をつけて、ひとつひとつ対処することが重要です。診断ツールの検討に関しては自組織の環境やシステムの特性に合わせたものを選定し、継続的なセキュリティ対策に有効活用できるようにしましょう。

脆弱性診断サービスの選び方

脆弱性診断サービスを選ぶ際には、信頼性と効果的な診断を提供できるベンダーを選定することが重要です。選定時に注目すべきポイントをご紹介します。

  • ベンダーの実績確認
    まず、ベンダーの実績を確認することが大切です。過去に同業種の企業での診断経験があるか、セキュリティに関する認定資格を持つ専門家がいるかを確認しましょう。例えば、独立行政法人情報処理推進機構(IPA)が公開している「情報セキュリティサービス基準適合サービスリスト」には、経済産業省が策定した「情報セキュリティサービス基準」に適合した信頼性の高い事業者のサービスが掲載されています。また、顧客レビューや導入事例の有無も信頼性を判断するポイントです。
  • 診断範囲やツールの使用状況
    提供される診断範囲や使用ツールを確認しましょう。ネットワーク、アプリケーション、クラウド環境など、対象範囲が自社のセキュリティニーズに合致していることが重要です。また、自動診断ツールと手動診断を組み合わせたサービスは、より精度の高い結果が期待できます。
  • コストパフォーマンスとアフターサポート
    コストパフォーマンスも重要なポイントです。見積もり金額だけでなく、診断後のレポート作成や改善提案、アフターサポートが充実しているかを確認しましょう。一時的な診断だけでなく、継続的なサポートを提供しているベンダーは、長期的なセキュリティ向上に貢献します。

また、選定時は価格だけで判断せず、サービス内容やサポート体制も慎重に検討しましょう。診断結果が形骸化しないよう、実行可能な改善提案を行うベンダーを選ぶことも重要です。

適切な脆弱性診断サービスを選ぶことで、ネットワークのセキュリティリスクを大幅に軽減できます。弊社ブロードバンドセキュリティが提供するSQAT脆弱性診断サービスでは、診断範囲の柔軟なカスタマイズや専門家によるサポートを提供しています。詳細はこちらをご覧ください。

SQAT脆弱性診断サービスの優位性

SQAT®(Software Quality Analysis Team)サービスは「システムの弱点をあらゆる視点から網羅する」「正確かつ客観性の高いレポートをする」「お客様にわかりやすく説明する」が特徴です。お客様は、すべての問題部位と脆弱性のポイントの把握、リスクに対する明確な理解、具体的な対策立案のヒントを得ることが出来ます。

SQAT脆弱性診断サービスの特長

外部からの脆弱性診断のみご提供するのではなく、様々な情報セキュリティ対策の観点からサービス・ソリューションを組み合わせ、お客様にとって最適解をご提案するのが、SQAT脆弱性診断サービスの特徴です。

まとめ

ネットワーク脆弱性診断は、企業のセキュリティを守るために不可欠な対策の一つです。本記事では、外部攻撃、内部脅威、ハイブリッド環境の管理の複雑さという主要なセキュリティ課題を解説しました。特にランサムウェアやDDoS攻撃の事例では、情報漏洩や業務停止など深刻な被害が発生しています。脆弱性診断を実施することで、未適用パッチや設定ミスなどを特定し、サイバー攻撃のリスクを低減させることが可能です。また、定期的な診断は顧客や取引先の信頼向上にも寄与し、長期的にはコスト削減や効率的なリソース配分に繋がります。診断サービス選定時には、ベンダーの実績、診断範囲、コストパフォーマンス、アフターサポートの確認が重要です。特に弊社のサービスである、SQAT脆弱性診断サービスは柔軟な診断範囲や専門家のサポートを特徴とし、企業のセキュリティ強化を総合的に支援します。定期的な診断の実施で潜在リスクを早期発見し、セキュリティレベル向上を図りましょう。

Security Report TOPに戻る
TOP-更新情報に戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像

ネットワーク脆弱性診断とは?
【実践編】:実施の手順・診断ツールの効果的な選定ポイントを解説

Share

このシリーズでは全3回にわたり、ネットワーク脆弱性診断について取り上げます。第2回目の今回は実践編として、ネットワーク脆弱性診断のステップ、NessusやOpenVASなどの脆弱性診断ツールの比較、選定ポイントについて解説します。セキュリティ強化に役立つ情報満載です!

ネットワーク脆弱性診断のプロセス

脆弱性診断は、情報システムやアプリケーションに存在するセキュリティ上の欠陥を特定し、リスクを軽減するための重要なプロセスです。以下は、脆弱性診断の一般的な流れです。

事前準備および調査

  • 診断対象の特定
    どのシステムやアプリケーションを診断するかを決定します。これには、Webアプリケーション、サーバ、ネットワーク機器などが含まれます。
  • 診断範囲確定
    診断する機能や画面遷移を洗い出し、重要な部分に焦点を当てます。これにより、コストや時間を効率的に管理できます。

診断実施

  • ツールを用いたスキャン
    自動化されたセキュリティ診断ツールを使用して、ネットワーク上の脆弱性をスキャンする方法です。この方法の利点は、短時間で広範囲のチェックが可能なことです。ツールは既知の脆弱性のデータベースを参照し、ポートスキャンやサービスやソフトウェアのバージョン確認、不適切な設定の検出などを行います。
  • エンジニアによる手動診断
    専門のセキュリティエンジニアが自らの経験と知識を活かして行う診断です。ツールでは検出できない複雑な脆弱性や、システム特有の問題点を見つけ出すことができる点が優れています。例えば、「アクセス権限の不適切な設定」や、「ビジネスロジックの欠陥」などが該当します。

リスク分析

検出された脆弱性について、その深刻度や影響度を評価します。過去のデータ・最新の脅威動向および各種国際標準(例: CVSS等)を踏まえたリスク分析を実施します。

診断結果のレポート作成(対応策の提示)

発見された脆弱性の詳細、再現手順、および推奨される対策を含む報告書を作成します。この報告書は関係者に提供され、必要な対策が講じられる基礎となります。

フォローアップ

再診断:レポートの結果により、対処が必要な脆弱性の部分において修正が加えられたあと、再度その部分の診断を行い、脆弱性が適切に対処されたか確認します。また、必要に応じて追加のサポートやアドバイスも提供されます。

この流れは一般的なものであり、具体的なプロセスは組織やシステムによって異なる場合があります。

セキュリティ専門企業によるセキュリティ診断

外部のセキュリティ専門企業に脆弱性診断を依頼した場合は、まず事前準備や調査において、診断する範囲を決めます。組織にとって重要度が高い部分、すなわちサイバー攻撃を許してはいけないシステムやサーバ、Webアプリケーションを選定します。診断が終了するとベンダーからレポートが提供されます。レポートに記載された脆弱性には深刻度や影響度などがスコア化されていることがあります。そのレポートをもとに、内容に応じて優先度をつけて、問題のある箇所を対処していきます。また、必要に応じて報告会が行われることもあります。

セキュリティ専門企業によるセキュリティ診断の図

脆弱性診断ツールの例

脆弱性診断ツールは、システムやネットワーク内のセキュリティ上の弱点を検出し、未然にリスクを防ぐための重要な役割を果たします。以下に代表的なツールを紹介します。

  • Nessus
    Nessusは、Tenable社が提供する商用の脆弱性スキャナで、ネットワーク機器やサーバ、アプリケーションに存在する脆弱性を高精度で検出します。ユーザーフレンドリーなインターフェースと定期的な脆弱性データベースの更新により、最新の脅威にも対応可能です。多様なプラグインを活用して、幅広い診断が行える点も特徴です。ただし、商用ツールのため、導入や運用にはコストがかかります。
  • OpenVAS
    OpenVASは、オープンソースの脆弱性診断ツールで、無料で利用可能です。高い拡張性と柔軟性を持ち、コミュニティによる継続的なアップデートで最新の脆弱性情報にも対応しています。多様なスキャン設定が可能で、カスタマイズ性に優れています。一方、設定や運用には専門的な知識が求められるため、導入時には適切な人材の確保が重要です。
  • Burp Suite
    Burp Suiteは、PortSwigger社が開発したWebアプリケーションのセキュリティテストに特化したプラットフォームです。ユーザがブラウザからWebアプリケーションにアクセスしたとき、サーバに対するリクエストとレスポンスを分析することで脆弱性を診断します。無料版と有料版があり、無料版でも十分な機能を持っているため、世界中で利用されています。

効果的な診断ツールの選び方

ツールを選ぶ際には、以下の点を考慮することが重要です。

  • コスト
    初期費用やランニングコストを比較検討し、予算に合ったツールを選択します。 ツールには無料版と有料版が存在し、それぞれ機能やサポート体制が異なります。無料版は初期費用がかからない反面、機能が限定されている、サポートが受けられないといった場合があります。一方、有料版は充実した機能とサポートを提供しますが、導入コストが発生します。自社の予算や必要な機能を明確にし、費用対効果を検討することが重要です。
  • スキル
    ツールの操作性や必要な専門知識も選定時の重要な要素です。専門人材がいる場合は、高度な設定やカスタマイズが可能なツールを選ぶことで、より詳細な診断が可能です。一方、専門知識が乏しい場合は、ユーザーフレンドリーで操作が簡単なツールを選ぶと、効果的に活用できます。ツールの操作性やサポート体制を確認し、自社の人材スキルに適したものを選びましょう。
  • 診断範囲
    診断対象の規模や範囲もツール選定の際に考慮すべきポイントです。大規模なネットワークや複数のWebサイトを管理している場合、診断範囲が広く、同時に複数の診断が可能なツールが適しています。また、将来的な拡張性も視野に入れ、スケーラビリティの高いツールを選ぶことで、長期的な運用がスムーズになります。診断範囲や項目が自社のニーズに合致しているかを確認しましょう。

これらのポイントを総合的に評価し、自社の要件に最適な脆弱性診断ツールを選定することが、効果的なセキュリティ対策につながります。

まとめ

脆弱性診断は、情報システムやアプリケーションのセキュリティリスクを特定し、軽減するための重要なプロセスです。まず事前調査で診断対象と範囲を確定し、Webアプリやサーバ、ネットワーク機器に焦点を当てます。診断では、ツールを使ったスキャンで既知の脆弱性を迅速に検出し、エンジニアが手動でツールでは見つけられない複雑な問題を特定します。次に、検出した脆弱性の深刻度や影響度を評価し、CVSSなど国際標準に基づいたリスク分析を実施します。結果はレポートとしてまとめ、再現手順や対策が示されます。修正後には再診断を行い、対策が有効か確認し、必要に応じて追加のサポートも提供されます。外部ベンダーに依頼する場合も、事前調査からレポート提供までの流れは同様です。代表的な診断ツールには、商用のNessus、オープンソースのOpenVAS、Web診断向けのBurp Suiteがあり、それぞれ特性が異なります。ツール選定では、コスト、操作スキル、診断範囲を考慮し、自社に適したものを選ぶことが効果的なセキュリティ対策に繋がります。

Security Report TOPに戻る
TOP-更新情報に戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像

【CWE TOP 25 2024年版】にみる新たなセキュリティ脅威と指針

Share

最も危険なソフトウェアエラー 「CWE TOP 25」2024年版発表

2024年11月22日、米MITREが運営するHSSEDIと米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、「2024 CWE TOP 25 Most Dangerous Software Weaknesses(最も危険なソフトウェアエラーTOP25 2024年版)」を発表しました。

CWE TOP 25は過去1年間に報告された3万件を超える脆弱性データを分析し、深刻度や影響範囲が大きい脆弱性タイプをランク付けしたものです。セキュリティ対策の優先順位を定め、効率的にリスクを軽減するための重要な指針として注目されています。

順位脆弱性名昨年順位
1クロスサイトスクリプティング(CWE-79)2
2範囲外の書き込み(CWE-787)1
3SQLインジェクション(CWE-89)3
4クロスサイトリクエストフォージェリ(CWE-352)9
5パストラバーサル(CWE-22)8
6範囲外の読み取り(CWE-125)7
7OSコマンドインジェクション(CWE-78)5
8解放したメモリの使用(CWE-416)4
9認可の欠如(CWE-862)11
10危険なタイプのファイルのアップロード許可(CWE-434)10
11コードインジェクション(CWE-94)23
12不適切な入力検証(CWE-20)6
13コマンドインジェクション(CWE-77)16
14不適切な認証(CWE-287)13
15権限管理の不備(CWE-269)22
16不適切なデータ逆シリアル化(CWE-502)15
17権限を持たないユーザへの機密情報の漏洩(CWE-200)30
18不適切な認可(CWE-863)24
19サーバーサイドリクエストフォージェリ(CWE-918)19
20メモリバッファ境界内での不適切な処理制限(CWE-119)17
21NULLポインター逆参照(CWE-476)12
22ハードコードされた資格情報の使用(CWE-798)18
23整数のオーバーフローまたはラップアラウンド(CWE-190)4
24制御されていないリソース消費(CWE-400)37
25重要な機能の使用に対する認証の欠如(CWE-306)20

出典:https://cwe.mitre.org/top25/archive/2024/2024_cwe_top25.htmlより弊社翻訳

CWEとは

CWE(Common Weakness Enumeration)は、ソフトウェアにおける共通脆弱性分類です。脆弱性項目ごとに一意のIDが決められ、そのタイプごとに体系化されています。ソフトウェアやシステムに存在する脆弱性を体系的に分類・整理したデータベースであり、開発者やセキュリティ専門家が脆弱性の回避や修正を行うための知識を提供します。

このデータベースを基に作成されたCWE TOP 25は、影響の深刻度や頻度を基準に順位付けされています。前年度と比較して順位を上げている項目については、特に脅威が高まっていると言えます。自組織のセキュリティの弱点と関係しているかといった分析や優先的に対策すべき項目の検討などに役立つ情報です。

2024年度の全体的な傾向

2024年版のTOP25では、クロスサイトスクリプティング(XSS)が最も危険な脆弱性として1位に返り咲きました。昨年は2位だったXSSが再びトップとなったことで、この脆弱性が依然として攻撃者にとって非常に有用であり、深刻なリスクをもたらしていることが浮き彫りとなっています。さらに、範囲外メモリへの書き込みやSQLインジェクションも上位にランクインしており、依然として攻撃手段に活用されている実態が明らかになりました。これらの脆弱性はシステムへの不正アクセスやデータ漏洩を引き起こす可能性があり、引き続き厳重な警戒と対策が求められます。

まとめ

CWE TOP 25は、ソフトウェアセキュリティにおける脆弱性を特定し、効果的な対策を講じるための指針として機能します。開発者にとっては、脆弱性を事前に予測し、修正作業を効率化するための実用的なツールであり、セキュリティ専門家にとっては、リスク評価や診断の基準を提供します。さらに企業にとっては、このリストを活用することで、セキュリティ戦略を再構築し、組織やシステムのセキュリティ体制を強化するための基盤となります。

CWE TOP 25が提供する洞察は、企業や組織が脆弱性を未然に防ぎ、安全なソフトウェアやシステムを構築するための重要なステップとなります。特に、攻撃の高度化が進む現代では、このリストを活用してリスクの排除や対策の強化を図ることが、企業の存続と顧客信頼の維持に直結します。CWE TOP 25をもとに、最新のセキュリティ対策を実施することが今後さらに重要になるでしょう。


Security Report TOPに戻る
TOP-更新情報に戻る

サイバーインシデント緊急対応

サイバーセキュリティ緊急対応電話受付ボタン
SQAT緊急対応バナー

ウェビナー開催のお知らせ

  • 2025年1月15日(水)13:00~14:00
    スピード診断と短納期で解決する「SQAT® with Swift Delivery」セミナー
  • 2025年1月22日(水)14:00~15:00
    ランサムウェア対策の要!ペネトレーションテストとは? -ペネトレーションテストの効果、脆弱性診断との違い-
  • 2025年1月29日(水)13:00~14:00
    サイバー攻撃から企業を守る!ソースコード診断が実現する“安全な開発”
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    ネットワーク脆弱性診断とは?
    【基本編】:企業のセキュリティを強化するための対策

    Share

    ネットワーク脆弱性診断は、サイバー攻撃のリスクを未然に防ぐ重要な対策です。このシリーズでは全3回にわたり、ネットワーク脆弱性診断について取り上げます。第1回目の今回は基本編として、ネットワーク脆弱性診断とは何か、診断項目、診断の必要性ついて解説します。本シリーズを通して、セキュリティ強化の第一歩を踏み出しましょう!

    ネットワーク脆弱性診断とは

    ネットワーク脆弱性診断とは何かを考えるとき、健康診断をイメージしてもらうと、わかりやすいでしょう。企業や組織のネットワーク環境を細かく調査し、存在するセキュリティ上の弱点や欠陥を特定し、改善策を提案します。近年、サイバー攻撃の手法が高度化・巧妙化しており、ネットワークの脆弱性を放置すると、情報漏洩やシステムダウンといった重大な被害を招く可能性があります。ネットワーク脆弱性診断を実施することで、未然にリスクを発見し、適切な対策を講じることが可能となります。

    実施による効果

    ネットワーク脆弱性診断は、専門の知識やツールを備えたセキュリティエンジニアが、ネットワーク内の機器やシステムに潜む脆弱性を洗い出す作業です。具体的には、「古いソフトウェアの使用」、「不適切な設定」、「不十分なアクセス制御」などを検出します。これにより、攻撃者が悪用する可能性のある脆弱性を明らかにし、組織のセキュリティレベルを向上させることができます。

    診断対象範囲

    ネットワーク脆弱性診断の対象範囲は多岐にわたります。主な対象は以下の通りです。

    • ネットワーク機器:ルータ、スイッチ、ファイアウォールなど
    • サーバ:ウェブサーバ、データベースサーバ、メールサーバなど
    • システム:オペレーティングシステム、アプリケーションソフトウェア
    • IoTデバイス:ネットワークに接続された各種デバイス

    これらの機器やシステムが適切に保護されていない場合、ネットワークセキュリティ全体の低下を招き、攻撃の入口となることでサイバーリスクに繋がる可能性があります。

    ネットワーク脆弱性診断の診断項目

    ネットワーク脆弱性診断では、多角的な視点からセキュリティリスクを評価します。以下が診断項目の主な例になります。

    診断項目主な例
    ホストのスキャン・TCP、UDP、ICMPでのポートスキャン
    ・実行中のサービスの検出
    ネットワークサービスの脆弱性・DNSに関する調査
    ・メールサーバに関する調査
    ・FTPに関する調査
    ・RPCに関する調査
    ・ファイル共有に関する調査
    ・SNMPに関する調査
    ・SSHサーバに関する調査
    ・データベースサーバに関する調査
    ・その他サービスに関する調査
    Webサーバの脆弱性・Webサーバの脆弱性
    ・Webアプリケーションサーバの脆弱性
    ・許可されているHTTPメソッド
    各種OSの脆弱性・Windowsの既知の脆弱性
    ・Solarisの既知の脆弱性
    ・各種Linuxディストリビューションの既知の脆弱性
    ・その他各種OSの既知の脆弱性
    悪意あるソフトウェア・バックドアの調査
    ・P2Pソフトウェアの調査
    ネットワーク機器の脆弱性・各種ルータ機器の既知の脆弱性
    ・各種ファイアウォール機器の既知の脆弱性
    ・その他各種ネットワーク機器の既知の脆弱性
    その他・その他ホスト全体の調査

    弊社株式会社ブロードバンドセキュリティのSQAT® ネットワーク脆弱性診断サービスでは、上記の表にある診断項目のほか、お客様のご希望に応じて、「サービス運用妨害(DoS)攻撃」「総当り(Brute Force)攻撃」なども実施しています。

    弊社のネットワーク脆弱性診断サービスについての詳細や無料相談は、以下のサービスページ内のお問い合わせフォームからお問い合わせください。

    ネットワーク脆弱性診断サービスリンクバナー
    サービス紹介動画(WEBアプリケーション/
    ネットワーク脆弱性診断)

    またサービスのデモンストレーション動画を公開中です。こちらも併せてご覧ください。

    ツール診断

    ツール診断は、自動化されたセキュリティ診断ツールを使用して、ネットワーク上の脆弱性をスキャンする手法です。この方法の利点は、短時間で広範囲のチェックが可能なことです。ツールは既知の脆弱性のデータベースを参照し、ポートスキャンやサービスやソフトウェアのバージョン確認、不適切な設定の検出などを行います。ただし、自動化ツールでは検出できない複雑な脆弱性が存在する場合もあるため、ツール診断だけで高いレベルのセキュリティを確保することは難しいのが現状です。

    ツール診断は機械的な検査であるため、過検知や誤検知なども含まれることが多くありますが、その結果を専門家の目で補正することで正確な情報が得られます。比較的手軽に行えることから、開発段階で実施されることも多い診断です。また、定期的な簡易診断として用いることで、コストを低減しつつ最新の状態を保つことができるといった利用方法もあります。

    CPEサービスリンクバナー
    サービス紹介動画
    (デイリー自動脆弱性診断診断)

    またサービスのデモンストレーション動画を公開中です。こちらも併せてご覧ください。

    手動診断

    手動診断は、専門のセキュリティエンジニアが自らの経験と知識を活かして行う診断です。ツールでは検出できない複雑な脆弱性や、システム特有の問題点を見つけ出すことができる点が優れています。例えば、「アクセス権限の不適切な設定」や、「ビジネスロジックの欠陥」などが該当します。手動診断は時間とコストがかかるものの、より深いレベルでの脆弱性診断が可能となります。

    ネットワーク脆弱性診断の種類

    ネットワーク脆弱性診断は、その実施方法により大きく二つに分類されます。

    リモート診断

    リモート診断は、外部からネットワークに接続し、遠隔で脆弱性診断を行う方法です。この手法のメリットは、物理的な場所に依存せず、迅速に診断を開始できる点です。インターネット経由でアクセス可能な部分についてのセキュリティ評価に適しています。ただし、内部ネットワークの詳細な診断には限界があるため、内部からの攻撃リスクを完全に評価することは難しいです。

    オンサイト診断

    オンサイト診断は、セキュリティエンジニアが実際に現地に赴き、ネットワーク内部から診断を行う方法です。内部ネットワークの全体像を把握し、詳細なセキュリティ評価が可能です。物理的なセキュリティや、内部システム間の通信の安全性など、リモート診断では見落としがちな部分もチェックできます。ただし、スケジュール調整や移動に時間がかかる場合があります。

    弊社のネットワーク脆弱性診断サービスについての詳細や無料相談は、以下のサービスページ内のお問い合わせフォームからお問い合わせください。

    ネットワーク脆弱性診断サービスリンクバナー

    なぜネットワーク診断が必要なのか

    ネットワーク診断が必要な理由は、主に以下のような点にあります。

    情報資産を守るため

    CIA説明画像

    情報のセキュリティの3要素、「機密性」「完全性」「可用性」を守る上で、脆弱性診断は重要です。


    「機密性」…限られた人だけが情報に接触できるように制限をかけること。
    「完全性」…不正な改ざんなどから保護すること。
    「可用性」…利用者が必要なときに安全にアクセスできる環境であること。

    これらの要素を適切に満たすことが、情報セキュリティを担保する上では欠かせません。

    情報セキュリティ事故を未然に防ぐため

    攻撃者より先にシステムに隠れた脆弱性を検出して対策することで、攻撃や事故発生の確率を下げることができます。ひとたび個人情報やクレジットカード情報の漏えい事故が発生すれば、さまざまな対応・復旧費用や対策工数の発生は避けられません。ブランドの毀損や企業イメージの低下も招きます。

    サービス利用者の安心のため

    パソコンやインターネットを補助的に利用していた昔と異なり、現在はWebサービスやアプリケーションそのものが利益を生み出しています。生活や経済がネットワークなしに成り立たない昨今、脆弱性診断などのセキュリティ対策は、事業を継続しサービス利用者の安心を守るため、欠かせないものとなっています。

    まとめ

    ネットワーク脆弱性診断は、現代のビジネスにおいて不可欠なセキュリティ対策の一つです。ネットワーク機器やサーバ、システムに潜む脆弱性を早期に発見し、適切な対策を講じることで、サイバー攻撃から組織を守ることができます。ツール診断と手動診断を組み合わせ、リモート診断やオンサイト診断を適切に選択することで、効果的なセキュリティ強化が可能です。ネットワーク診断を実施し、組織全体のセキュリティレベルを向上させましょう。

    Security Report TOPに戻る
    TOP-更新情報に戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    暗号技術の未来:量子コンピュータ時代の情報セキュリティ

    Share

    私たちの安全なシステム利用や事業継続のためにかかせない暗号技術は、量子コンピュータの登場によりいま大きな転換期を迎えています。本記事では、現行の暗号方式が直面する課題から、次世代の耐量子暗号の動向について解説。特に企業のセキュリティ担当者向けに、最新の暗号技術の標準化動向、暗号化の実装ポイント、そして情報漏洩のリスクを防ぐための対策のポイントを紹介します。暗号技術を安全に活用するため、必要なポイントややっておくべきことを知りたい方は必見です。

    現代の暗号技術が直面する課題

    暗号技術は情報セキュリティを支える重要な技術の1つです。暗号技術があればこそ、私たちは安心して業務システムを利用し、インターネット経由での事業活動を行うことができています。

    一方で、今、次世代暗号に関する話題が、少しずつ一般的なニュースでも取り上げられ始めています。なぜ、次世代暗号技術が求められているのでしょうか。その背景には、既存の暗号技術に対する次のような懸念があるためと考えられます。

    量子コンピューターによる脅威

    量子コンピューターは、従来の暗号化方式を数秒で解読できる可能性があると言われています。これにより、将来的には既存の暗号技術が無力化され、サイバー攻撃のリスクが増加する恐れがあります。

    暗号化されていないデータの活用リスク

    暗号化が行われていないデータを活用する場面では、情報漏洩のリスクが高まります。一部の企業では、顧客データや機密情報を暗号化せずに使用しているケースもあり、適切な管理が求められます。

    量子コンピュータの脅威に対抗:耐量子暗号

    将来、コンピュータの処理能力の進化によって、現在普及している暗号技術が無力化されてしまうと言われています。これは昨今よく取りざたされている、量子コンピュータの登場に起因しています。量子コンピュータは量子力学を計算過程で用いて並列計算を実現することで、現在のコンピュータと比較して圧倒的な処理能力を保持するとされています。

    量子コンピュータの登場による既存の暗号技術への脅威、そしてその対策は以下のとおりです。

    ※公開鍵暗号、共通鍵暗号については後述

    「暗号の2030年問題」とは?

    量子コンピュータは2030年には実用化されると想定されているため、その頃にはサイバー攻撃者が量子コンピュータを用いた攻撃を実行してくる恐れがあるということになります。これが、「暗号の2030年問題」と言われるものです。このため、2030年に先駆けて、防御策を実現する必要があります。そこで、耐量子暗号の選定や鍵長ポリシーの見直し、といった次世代暗号に向けた標準化が、日米において進められています。

    暗号技術の標準化動向

    ●米国:NIST(米国立標準技術研究所)
    耐量子暗号アルゴリズム(2024年8月公開)
    参考:
    https://www.nist.gov/news-events/news/2024/08/nist-releases-first-3-finalized-post-quantum-encryption-standards
    ●日本:CRYPTREC(暗号技術検討会(総務省・経産省))
    →各種タスクフォース等により調査検討中
      NISTと同等の時期での標準化を目指す

    例えば、ポスト量子暗号(PQC)など、量子コンピューターに耐性を持つ暗号技術の開発が進んでおり、今後のセキュリティ戦略の重要な柱になるとされています。

    暗号化とデータ活用の両立:高機能暗号技術

    従来の暗号技術は、
    ●データの秘匿:保管している内容が第三者にわからないようにする
    ●改竄の防止:メッセージ認証等、内容が書き換えられていないかチェック
    ●認証:なりすましが行われていないか電子証明書による確認
    ●通信の安全性確保:ネット上で流れるデータ内容が第三者にわからないようにする
    といった機能に特化したものです。  

    そして、データの照合や分析といったデータ活用時の処理は平文(データが暗号化されておらず、誰が見ても内容がわかる状態)で実施しているのが現状です。このため、データ処理者に対する平文データへのアクセスを許容せざるを得ず、結果として、業務上の利便性等の都合により、暗号化されていてしかるべき重要情報が平文のまま保存されているといった実情があります。結果、内部犯行はもちろんのこと、外部からの不正アクセスを受けた場合に、平文の重要情報が盗取されてしまう恐れがあるわけです。

    これに対し、従来に加えて付加的な機能がある暗号技術の総称が、「高機能暗号技術」です。

    なかでも、暗号化したまま演算処理できる「準同型暗号」は、今まさに、実装ライブラリについての国際標準化推進活動が進行中です。準同型暗号のような高機能暗号技術が実用化されれば、クラウドサーバ上における暗号化したままでのデータ照合や分析、個人情報や機密データを秘匿したままでの様々な処理の実現といった、セキュリティが保持されたデータ活用に期待が持たれています。

    現在主流の暗号方式の種類

    さて、次世代暗号技術のことを述べてきましたが、ここで、従来の暗号技術、すなわち現在主流の暗号技術について確認してみましょう。現在使用されている暗号技術は以下のとおりです。

    暗号方式特徴主な用途主な暗号種別
    共通鍵暗号 暗号化も復号も同じ鍵を使用
    →処理が高速
    →鍵の管理が煩雑
    ファイルの暗号化DES
    Triple DES
    RC5
    AES
    公開鍵暗号 公開鍵と秘密鍵を作成して暗号化と復号で異なる鍵を使用
    →セキュリティ強度が高い
    →鍵の管理が容易
    →処理は低速
    共通鍵の鍵配送
    電子署名
    電子証明書
    RSA
    DSA
    DH(Diffie-Hellman)
    ECC(Elliptic Curve cryptosyste:楕円曲線暗号)
    ハイブリッド暗号 共通鍵暗号の受け渡しには公開鍵暗号を、データ自体の暗号化には共通鍵暗号を使用
    →安全性が保たれたうえで高速な処理が可能
    SSL/TLS(HTTPS通信)鍵交換:DH
    暗号化:AES、Camellia

    共通鍵暗号と公開鍵暗号を組み合わせた「ハイブリッド暗号」には、身近な利用例として、SSL/TLSがあります。HTTP通信をSSL/TLSによって暗号化するHTTPS通信です。共通鍵暗号と公開鍵暗号のそれぞれの長所を組み合わせることで、セキュリティ強度の高い暗号化を実現し、通信の安全性を高めています。

    暗号化されていないデータの活用リスク

    このように、暗号技術は情報セキュリティの基盤技術として、インターネット通信、電子署名、ファイルやデータベースの暗号化等に活用され、安全な事業活動に寄与しています。

    ここで気をつけたいのが、通信上を流れるデータには注意を払っていても、自組織内で保存する重要なデータが平文のまま、というケースです。これは、ビジネス上の非常に大きなリスクとなり得ます。ここでは主に二つのリスクが考えられます。一つ目は、攻撃者の侵入を許してしまった場合、使用可能な状態の情報にアクセスを許してしまうことによる情報漏洩のリスク、二つ目が内部による犯行を誘発するリスクです。過去には実際に、保存データが平文であったことで深刻な情報漏洩となってしまった例が存在します。

    暗号化されていなかったことにより個人情報が漏洩した事例

    2020年
    通販サイト(日)*8
    約6,300件漏洩
    パスワードを平文で保存
    2020年
    カード決済事業者(米)*9
    約250万件漏洩
    クレジットカード情報を平文で保存
    2019年
    ファイル送信サービス(日)*10
    約480万件漏洩
    パスワードを平文で保存
    ⇒サービス終了
    2018年
    航空会社(中)*11
    940万件漏洩
    バックアップファイルを平文で保存
    ⇒多額の制裁金等
    2017年
    信用情報機関(米)*12
    約1億4,500万件漏洩
    ユーザデータを平文で保存
    ⇒格付け引き下げ、
    多額の制裁金等
    2014年
    通信教育会社(日)*13
    約3,500万件漏洩
    内部関係者による犯行
    ⇒刑事裁判での過失責任認定等

    仮に攻撃者の侵入を許してしまったとしても、暗号化でデータを保護することによって、情報漏洩の被害を防ぐことが可能です。また、ランサムウェアの二重脅迫*14や、内部犯行に対しても暗号化は有効です。

    安全な暗号技術導入のために必要なポイント

    では、取りあえず暗号技術を導入していれば安心かというと、決してそんなことはありません。

    暗号化を実装したつもりで、実はこんな状態になっている、ということはないでしょうか。

    ●一部の個人情報や機密情報といった重要情報がHTTP通信で送信されている
    ●サーバ証明書が期限切れである
    ●信頼できない認証局SSL/TLS証明書を使用している
    ●危殆化した暗号アルゴリズムや鍵長を利用しているプラットフォームがある
    ●ソースコードに独自の暗号化関数(またはライブラリ)を実装している
    ●ソースコードにおいて暗号鍵がハードコード(※)されている

    ※ハードコード… 本来、ソースコード内には記述すべきではない処理や値を直接書き込むこと。(例:税率など)動作環境や利用条件に応じて処理や値を変更する場合、対応が困難になる。

    各プロトコルのサポート状況(2024年5月3日時点)

    例えば、前述した「ハイブリッド暗号」で触れたSSL/TLSの実情について見てみましょう。IPA(独立行政法人情報処理推進機構)が2024年6月19日に公開した「TLS暗号設定ガイドライン第3.1.0版」では、暗号化通信のプロトコルバージョンについて、TLS 1.3を推奨し、TLS1.0 や TLS1.1についてはセキュリティ例外型のみで利用可能としています。しかしながら、TLS 1.1以下をサポートしているサイトがいまだ全体の3割程度存在することがわかります(グラフ参照)。たとえブラウザで無効化されていたとしても、攻撃者がブラウザを経由せずサーバを攻撃する恐れがあるため、TLS 1.1以下の接続を許容すること自体がリスクとなります。早急にTLS 1.1以下での接続可否を確認し、接続が可能な場合は対処を実施するべきです。

    自組織の現状確認、最新の暗号技術動向の把握に努め、環境・リスクに応じた適切な暗号技術の実装を行う必要があるでしょう。

    安全に暗号技術を活用するためにやっておくべきこと

    せっかくコストをかけて暗号技術を導入していても、適切に実装できていなければ宝の持ち腐れになってしまいます。まずは自組織の暗号化実装がセキュリティ対策として実効性のあるものか、現状の確認を行うことを推奨します。

    例えば以下のような観点でチェックすることが必要です。

    環境・システムへの暗号化実装による実効性確認のポイント

    ●プラットフォーム
    ●Webアプリケーション
    ●API
    ●スマホアプリ
    ●クラウドサービス

    確認方法の例

    ●システム脆弱性診断
    ●PCI DSS準拠チェック
    ●ソースコード診断
    ●クラウド設定チェック(CISベンチマーク、ベストプラクティス適合度)
    ●ペネトレーションテスト

    現状、適切な暗号技術の実装がなされていれば、来る次世代暗号技術への移行準備を実施する段になっても、スムーズに対応することができるでしょう。

    参考情報:暗号化実装に関するガイドラインの紹介

    ■電子政府における調達のために参照すべき暗号のリスト
    (CRYPTREC暗号リスト)(最終更新:2024年(令和6年)5月16日)
     総務省・経済産業省
     https://www.cryptrec.go.jp/list.html

    ■TLS 暗号設定ガイドライン(2024年6月19日第3.1.0版公開)
     IPA(独立行政法人情報処理推進機構)・NICT(国立研究開発法人情報通信研究機構)
     https://www.ipa.go.jp/security/crypto/guideline/ssl_crypt_config.html

    ■暗号鍵管理システム設計指針(基本編)(2020年7月)
     IPA(独立行政法人情報処理推進機構)・NICT(国立研究開発法人情報通信研究機構)
     https://www.ipa.go.jp/security/crypto/guideline/gmcbt80000005u7d-att/ipa-cryptrec-gl-3002-1.0.pdf

    ■SP 800-57 Part 1: Recommendation for Key Management: Part 1 – General」(2020年5月4日)
     NIST(米国立標準技術研究所)
     https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-57pt1r5.pdf

    ■SP 800-175B: Guideline for Using Cryptographic Standards in the Federal Government: Cryptographic Mechanisms(2020年3月31日)
     NIST(米国立標準技術研究所)
     https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-175Br1.pdf


    ウェビナー開催のお知らせ

  • 2024年11月6日(水)12:50~14:00
    【好評アンコール配信】
    自動車業界の脅威を知る!自工会・部工会サイバーセキュリティガイドラインから学ぶセキュリティ対策
  • 2024年11月13日(水)14:00~15:00
    ウェブ担当者必見!プライバシー保護規制対応と情報セキュリティ-サイバー攻撃への事前・事後対応-
  • 2024年11月20日(水)13:50~15:00
    サプライチェーンのセキュリティ対策-サプライチェーン攻撃から企業を守るための取り組み-
  • 2024年11月27日(水)12:50~14:00
    【好評アンコール配信】
    Webアプリケーションの脆弱性対策-攻撃者はどのように攻撃するのか-
  • 最新情報はこちら

    Security Report TOPに戻る
    TOP-更新情報に戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    セキュリティトピックス動画申し込みページリンクへのバナー画像

    WordPressとWP Engineが対立!ACFプラグイン問題で何が起きているのか?【2024年最新情報】

    Share

    今、WordPressとWP Engineの間でプラグインをめぐる対立が勃発し、ウェブ開発業界に大きな波紋を呼んでいます。何が起きたのか?その背景と現在の影響は?ユーザにはどんな具体的な影響があるのか?そして今後の対応策や展望について解説します。ウェブサイト運営者や開発者必見の内容です。

    何が起きたのか?

    WordPressとWP Engineの対立は、単なる企業間の争いではありません。発端は商標の使い方から始まり、プラグインの管理方法、さらにはシステムの根幹にかかわる機能の変更にまで広がってしまいました。特に注目すべきは、プラグイン「Advanced Custom Fields(ACF)」をめぐる問題です。10月13日、WordPress側が「Secure Custom Fields(SCF)」として名称を変更し、独自にリリースしたことが業界全体に大きな波紋を呼んでいます。

    現在の影響と対応

    WordPressとWP Engineの対立は、多くのユーザに実務的な影響を及ぼしています。最も深刻なのは、プラグインの自動更新が停止されたことです。これにより、多くのウェブサイト運営者は手動での更新作業を強いられています。また、セキュリティ面での懸念も高まっており、特に中小企業のウェブサイト管理者にとって大きな負担となっています。

    今、ユーザにどんな影響が?

    誰もが一番困ってしまうのは、プラグインの自動更新が止まってしまったことです。今までボタン一つで済んでいた更新作業を、手動でやらなければならなくなりました。特に中小企業のサイト管理者の方々は、この対応に頭を悩ませています。セキュリティ面での心配も出てきているのです。

    何が問題になっているの?

    大きく分けると2つの問題があります。一つ目が、「WordPress」という名前の使い方です。WP Engineの使い方に対して、WordPress.comを運営するオートマティック社が「それは違うでしょ!」と異議となえているわけです。WP Engineは独自の開発方針を持っていますが、これがWordPressコミュニティの方向性と合致していないことが問題視されています。二つ目が、WP Engineがパフォーマンス向上を目的としてWP Engineが一部機能を無効化したことです。このコア機能の変更に関して、ユーザデータの保護の観点から批判が出ています。

    業界全体への影響は?

    この対立は、WordPress関連の業界全体に波紋を広げています。プラグイン開発者たちは、開発方針の見直しを迫られています。また、ホスティング業界全体にも波及効果があり、オープンソースコミュニティのあり方について、新たな議論が巻き起こっています。

    どう対応すればいい?

    現状では、ウェブサイト運営者は定期的な情報確認が不可欠です。公式ブログやフォーラムでの最新情報をチェックし、必要に応じて代替策を検討する必要があります。特に重要なのは、独自のセキュリティ対策を強化することです。定期的なバックアップの実施や、セキュリティ監視の強化が推奨されます。もしものときのために、セキュリティ対策も見直しておくと安心です。

    この先どうなるの?

    この問題の解決には時間がかかると予想されます。両者の交渉は継続していますが、法的な解決を含めて様々な可能性が検討されています。現在の混乱した状況が、新しいセキュリティ体制の構築につながるきっかけとなる可能性もあるでしょう。

    まとめ

    今回の騒動は、オープンソースのソフトウェアを商業的に使う際の難しさを浮き彫りにしました。この状況下では、ユーザが自身の環境に合わせた適切な対応を取ることが重要です。情報収集を怠らず、必要に応じて専門家に相談することも検討すべきでしょう。状況は日々変化していますので、継続的な注意が必要です。

    ※この記事は2024年10/15の状況を基に作成されています。最新の情報は各公式サイトでご確認ください。

    参考情報:


    Security Report TOPに戻る
    TOP-更新情報に戻る

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン

    SQAT緊急対応バナー

    ウェビナー開催のお知らせ

  • 2024年10月23日(水)13:00~14:00
    【好評アンコール配信】
    インシデント発生の事前準備・事後対応-拡大するサイバー攻撃への対策方法とは-
  • 2024年11月6日(水)12:50~14:00
    【好評アンコール配信】
    自動車業界の脅威を知る!自工会・部工会サイバーセキュリティガイドラインから学ぶセキュリティ対策
  • 2024年11月13日(水)14:00~15:00
    ウェブ担当者必見!プライバシー保護規制対応と情報セキュリティ-サイバー攻撃への事前・事後対応-
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。


    Security Serviceへのリンクバナー画像

    BBsecコーポレートサイトへのリンクバナー画像

    セキュリティ緊急対応のバナー画像

    APIとは何か(1)~基本概念とセキュリティの重要性~

    Share

    APIは、システム間のデータや機能のやり取りを円滑にするために欠かせない技術です。しかし、その利便性の反面、APIのセキュリティリスクも増大しています。本シリーズでは数回にわけて、APIの本質的な役割から、セキュリティリスクとその対策までを解説していきます。シリーズ第1回目の今回は、APIの基本的な定義から、その仕組みや連携方法、そしてセキュリティ上の課題について学びます。

    APIとは

    API(Application Programming Interface:アプリケーション・プログラミング・インターフェース)とは、ソフトウェアの機能を他のプログラムでも利用できるようにするための仕組みです。APIは、アプリケーションやサービスが外部のプログラムと情報や機能を共有する際の「インターフェース」として働き、異なるプログラム同士の連携を可能にします。例えば、地図情報を提供するアプリがAPIを利用して他のアプリに地図データを提供することで、ユーザは別のアプリ内でもその機能を活用できるようになります。

    APIの仕組み -API連携とは-

    ソフトウェアやアプリ、プログラム同士を、APIを介して機能連携させるのが「API連携」です。あるソフトウェアに他のソフトウェアの機能を埋め込むイメージです。API連携によってソフトウェア同士が相互にデータと機能を共有できるようになります。

    【APIの活用例】

    社内業務システム : チャットAPIを活用してコミュニケーション
    会員サービスサイト : SNSアカウント認証APIでログイン
    ネットショップ : クレジットカード・認証APIで決済
    飲食店サイト : 地図情報APIで店舗位置情報表示 × 予約受付APIで予約対応

    APIのセキュリティ

    APIは異なるソフトウェア間の通信を可能にしますが、同時に攻撃者にとっての格好の標的にもなり得ます。そのため、APIを利用する企業やアプリケーション開発者にとってAPIのセキュリティ対策は重要な課題です。セキュリティリスクは他のプログラムやサービスと機能やデータを共有しているAPI特有の仕組みから生じます。APIが不適切に設計・管理されていると、未認証のアクセス、データ漏洩、機密情報の不正取得といったリスクが高まります。以下は、APIセキュリティに関する主なリスクの例です。

    • データ漏洩: APIを通じて個人情報や機密情報が漏洩するリスク
    • 不十分な認証:認証要素が不十分なことによる不正アクセスのリスク
    • サイバー攻撃:標的型攻撃、インジェクション攻撃やDoS攻撃などのサイバー攻撃を受けてしまうリスク
    • APIキーの窃取: APIキーが盗まれることによる不正利用のリスク

    APIのセキュリティはなぜ重要なのか

    スマートフォンやIoT端末の普及に伴い、様々なAPIが利用されるようになりました。SNS事業者が提供するAPIサービスやスマートフォン向けのAPIサービスがあるほか、複数のSaaSのAPIを連携させるサービスも登場しており、私たちを取り巻くあらゆるサービスで幅広く提供されています。このため、APIをターゲットにした攻撃も増加しています。
    (※APIを悪用した攻撃についてはシリーズ第2回目で解説します。)

    APIセキュリティが重要視される理由は、現代社会においてAPIがデータや機能の共有に不可欠な役割を果たしているためです。APIを通じてやり取りされるデータや機能は、悪意のある攻撃者に狙われる可能性があり、適切なセキュリティ対策がなければ、情報漏洩やシステム侵入のリスクが増大します。特に、認証や認可の不備、暗号化の欠如が原因で、機密データが外部に漏れるケースが多く見られます。また、APIは外部に公開されることが多いため、DDoS攻撃やボットによる過負荷のリスクも存在します。したがって、APIの設計段階からセキュリティを考慮し、定期的な監視や脅威の検知を行うことが、システム全体の安全性を保つために不可欠です。

    また、企業やアプリケーション開発者にとっては、信頼性と顧客データ保護に直結する重要な要素でもあります。適切なセキュリティ対策を講じることで、データの改ざんや不正アクセスを防ぎ、システムの安全性を確保することができます。

    まとめ

    (Application Programming Interface:アプリケーション・プログラミング・インターフェース)とは、ソフトウェア間で機能や情報を共有するための仕組みであり、異なるプログラム同士を連携させます。APIは、地図情報の提供やSNSアカウントの認証など、さまざまな用途で活用されており、現代のデジタルサービスには欠かせない存在です。しかし、APIはその便利さの反面、攻撃の標的にもなりやすく、セキュリティの観点から注意が必要です。APIの不適切な設計や管理は、データ漏洩、不正アクセス、サイバー攻撃のリスクを高めます。特に、認証や認可の欠如、適切に暗号化がされていないことなどにより機密情報が漏れる恐れがあります。また、外部に公開されるAPIはDDoS攻撃やボットのターゲットになることもあります。そのため、企業のセキュリティ担当者やアプリケーション開発者はAPIのセキュリティ対策を講じ、定期的な監視や脅威の検知を行うことが不可欠です。これにより、信頼性を維持し、顧客データの保護が可能となります。

    Security Report TOPに戻る
    TOP-更新情報に戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    SQLインジェクションで航空セキュリティシステムをハッキング!あなたのフライトは安全?

    Share

    近年、航空機のセキュリティはますます厳しくなってきています。しかし、私たちが安心して空の旅を楽しんでいる裏側で、実は深刻なセキュリティ問題が潜んでいることをご存知でしょうか?この度、イアン・キャロルサム・カリーは、空港のセキュリティシステムに存在する重大な脆弱性を発見しました。この脆弱性を悪用すると、誰でも簡単に航空会社の乗組員になりすまし、セキュリティチェックなしで機内に乗り込むことが可能になります。さらには、コックピットへの不正侵入もできてしまうのです。

    KCMシステムとは?

    KCM(Known Crewmember)システムは、航空会社の乗務員がスムーズに空港のセキュリティチェックを通過できるようにするためのシステムです。乗務員は、特別なバーコードやIDを提示することで、通常のセキュリティ検査を免除されることができます。

    脆弱性の発見

    イアン・キャロルとサム・カリーが注目したのは、KCMシステムを運営しているベンダーの一つであるFlyCASSという会社でした。FlyCASSのシステムには、SQLインジェクションという脆弱性が存在しており、この脆弱性を利用することで、誰でもシステムに不正にアクセスし、乗組員の情報を自由に書き換えたり、新しい乗組員を追加したりすることが可能になっていました。

    問題の深刻さ

    この脆弱性がもたらす影響は計り知れません。

    • セキュリティの崩壊: 航空機のセキュリティの根幹を揺るがすものであり、テロなどの悪質な行為に悪用される可能性も否定できません。
    • 乗客の安全への脅威: 不正に機内に乗り込んだ人物が、機内で暴れたり、機体を操作したりする可能性も考えられます。
    • 航空業界への信頼の失墜: このような重大なセキュリティ問題が発覚した場合、航空業界全体の信頼を失墜させ、人々の航空機に対する不安感を煽る可能性があります。

    開示とその後

    イアン・キャロルとサム・カリーは、この問題の深刻性を認識し、速やかに関係各機関に報告しました。しかし、残念ながら、問題の修正には時間がかかり、また、関係各機関からの対応も遅々として進まなかったという現状があります。

    対策

    この問題を解決するためには、以下の対策が急務です。

    • 脆弱性の迅速な修正: FlyCASSをはじめとする関連企業は、脆弱性を早急に修正し、システムの安全性を確保する必要があります。
    • セキュリティ意識の向上: 航空業界全体で、セキュリティに対する意識をより一層高め、定期的なセキュリティ監査を実施する必要があります。
    • 法整備の強化: 航空機のセキュリティに関する法整備を強化し、このような事態が再び起こらないようにする必要があります。

    まとめ

    今回の発見は、航空業界のセキュリティシステムを信頼しきってはいけないことを示すものであり、私たちに大きな警鐘を鳴らしています。私たちは、この問題をきっかけに、より安全な航空業界の実現に向けて、社会全体で取り組んでいく必要があるでしょう。

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    ウェビナー開催のお知らせ

  • 2024年9月11日(水)14:00~14:30
    CVSSとSSVCで実践する次世代脆弱性管理:サイバー攻撃対策セミナー2024
  • 2024年9月18日(水)13:00~14:00
    【好評アンコール配信】
    ランサムウェアの脅威を知る-脅威に備えるためのランサムウェア対策-
  • 2024年9月25日(水)13:00~14:00
    【好評アンコール配信】
    ランサムウェア対策の要~ペネトレーションテストの効果、脆弱性診断との違いを解説~
  • 2024年10月2日(水)13:00~14:00
    【好評アンコール配信】
    サイバー攻撃に備えるために定期的な脆弱性診断の実施を!
     - ツール診断と手動診断の比較 –
  • 2024年10月9日(水)13:00~14:00
    【好評アンコール配信】
    システム開発のセキュリティ強化の鍵とは?
     -ソースコード診断で手戻りリスクとサイバー攻撃を未然に防ぐ-
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    マルウェアとは マルウェアの基礎知識
    -意味、種類、ウイルスとの違いを解説-

    Share

    近年、サイバー攻撃はますます高度化・多様化しており、企業の機密情報や個人情報が狙われるリスクが高まっています。なかでも、マルウェアは個人や企業にとって深刻な脅威となっています。本記事では、マルウェアの基本的な知識から、その種類、感染経路、そしてマルウェア感染による企業への影響まで、幅広く解説します。セキュリティ対策の重要性を再確認し、被害を未然に防ぐための情報をお届けします。

    マルウェア(malware)とは

    マルウェアとは、「Malicious(マリシャス=悪意のある)」と「Software(ソフトウェア)」を組み合わせた造語で、コンピュータやネットワークに害を与える悪意のあるプログラムの総称です。具体的には、ユーザの意図しない動作を引き起こし、情報の窃取や破壊、システムの乗っ取りなどを目的とするプログラムを指します。代表的なものにコンピュータウイルス(=ウイルス)、ワーム、トロイの木馬、スパイウェア、ランサムウェアなどがあります。

    マルウェアは、メールの添付ファイルや不正なWebサイト、ソフトウェアの脆弱性などを通じて感染し、個人情報の漏洩や金銭的被害、業務妨害など深刻な問題を引き起こす可能性があります。そのため、日常的なセキュリティ対策が非常に重要です。

    マルウェアとウイルスの違い

    マルウェアは、悪意のあるソフトウェアの総称で、コンピュータウイルスはその一種です。ウイルスは自己複製し、他のプログラムやファイルに感染して広がる特徴を持つのに対し、マルウェアには様々な種類があり、必ずしも自己複製しません。つまり、全てのウイルスはマルウェアですが、全てのマルウェアがウイルスというわけではありません。マルウェアは、より広範な脅威を指す用語です。

    マルウェアの主な分類

    マルウェアは大きくわけて以下の3つの分類に分けられます。

    1. ウイルス
      コンピュータウイルスは、自己複製する悪意のあるプログラムです。ユーザがプログラムやファイルを実行することで動作し、自己複製して他のプログラムやファイルに感染します。感染したファイルが開かれるたびに広がり、データの破壊やシステムの動作不良を引き起こします。ウイルスは通常、ファイルやプログラムを破壊する目的で作成され、感染拡大によるシステムの停止を引き起こす可能性があります。
    2. ワーム
      ワームは、自己複製する悪意のあるプログラムです。ユーザの操作なしに、ネットワークの脆弱性を利用して感染したコンピュータからネットワーク内の他のコンピュータに拡散し、ネットワークの帯域を消費してシステムのパフォーマンス低下や停止を引き起こすことがあります。ワームはウイルスと異なり、ホストプログラムを必要としません。特に企業や大規模ネットワークに対して深刻な脅威です。
    3. トロイの木馬
      トロイの木馬は、通常のソフトウェアやファイルに見せかけてユーザにインストールさせる悪意のあるプログラムです。ユーザのコンピュータに侵入したあと、何かのトリガーが起こった場合に、バックドアの作成や情報窃取などを自動的に実行します。自己複製能力はありませんが、一度実行されると重大な被害をもたらす可能性があります。

    マルウェアの主な種類と特徴

    マルウェアにはいくつか種類があります。以下に代表的なマルウェアの特徴をご紹介します。

    ランサムウェア

    ランサムウェアは、ユーザのデータやファイルを暗号化し、アクセスを不能にするマルウェアです。サイバー攻撃者は暗号化されたデータやシファイルの暗号化解除と引き換えに、身代金の支払いを要求します。攻撃者は、データの復元やアクセスの回復のために身代金を要求します。「Ransom(ランサム=身代金)」と「Software(ソフトウェア)」を組み合わせた造語で、これが名称の由来です。多くの場合、身代金は暗号通貨で支払うことが要求され、支払ったとしてもデータが復元される保証はありません。このため、ランサムウェアは組織にとって非常に深刻な脅威となっています。

    近年、二重脅迫型の攻撃も増加しており、支払いに応じなければデータを公開すると脅迫されます。被害者は重要データへのアクセスを失い、業務停止や金銭的損失に直面します。感染経路には、メール添付ファイル経由、VPN経由、リモートデスクトップ接続経由など様々なものがあります。

    スパイウェア

    スパイウェアは、ユーザの個人情報を収集し、ユーザが意図しないうちに外部に送信するマルウェアです。収集するデータには、キーロガーやスクリーンキャプチャー機能を持つものもあり、パスワードやクレジットカード情報などを窃取します。スパイウェアは、一般的に無意識のうちにインストールされることが多く、主にダウンロードしたソフトウェアや悪意のあるリンクを介して広がります。正規ソフトウェアに偽装して侵入することが多いため、検出が困難です。感染してしまうと、個人のプライバシー侵害だけでなく、企業の機密情報漏洩にも繋がる危険性があります。

    スケアウェア

    スケアウェアとは、虚偽のセキュリティ警告を表示し、無駄なソフトウェアを購入させる詐欺的なソフトウェアです。実際にはセキュリティ問題がないにもかかわらず、感染していると偽り、解決策として高額なソフトウェアをすすめます。ユーザの不安を煽り、冷静な判断を妨げることにより、被害を拡大させるのが特徴です。

    アドウェア

    アドウェアは、ユーザの同意なしに広告を表示するソフトウェアです。主にウェブブラウザにインストールされ、ポップアップ広告やバナー広告を表示します。ユーザのオンライン行動を追跡し、広告のターゲティングに利用することもあります。アドウェアそのものは必ずしも悪意があるわけではありませんが、システムのパフォーマンス低下やプライバシー侵害の原因となることがあります。一部のアドウェアは悪質な広告を表示し、マルウェアの配布を促すこともあります。

    ファイルレスマルウェア

    ファイルレスマルウェアは、ディスク上にファイルを残さずに、システムのメモリやプロセスに直接感染するマルウェアです。これにより、従来のウイルス対策ソフトウェアでは検出しにくくなります。ファイルレスマルウェアは、通常、システムの脆弱性を利用して実行され、バックドアとして機能することが多いです。

    トロイの木馬のタイプ

    マルウェアの分類の一つである「トロイの木馬」は動作によりいつくかのタイプに分けることができます。

    • ダウンローダー型:一見無害にみえるファイルを通じてマルウェアをダウンロードし感染させます。
    • ドロッパー型:侵入後に複数のマルウェアを一度にシステムにダウンロードし、展開します。
    • バックドア型:攻撃者がシステムに不正アクセスするための裏口を作り、遠隔操作や情報窃取を行います。
    • キーロガー型:ユーザのキーボード入力を記録し、パスワードなどの個人情報を盗み取ります。
    • パスワード窃盗型:システムやアプリケーションに保存されているパスワードを探索し、盗み出します。
    • プロキシ型:感染したPCをプロキシサーバとして使い、他のシステムへの攻撃を隠蔽します。
    • ボット型:感染したPCをボットネットの一部として使用し、大規模なDDoS攻撃などに利用します

    マルウェア感染による企業の被害

    マルウェアに感染することで、次のような被害が発生します。

    • 情報漏洩:個人情報や機密データが攻撃者に盗まれ、企業の信用や顧客の信頼が損なわれます。
    • Webサイトの改ざん:攻撃者が不正なコードを埋め込み、訪問者を悪意あるサイトにリダイレクトさせたり、偽情報を掲載したりすることで、Webサイト利用者に被害を与えます。
    • PC動作不能:マルウェアがシステムを破壊・損傷し、PCやサーバが動作不能に陥り、業務が停止するリスクがあります。
    • デバイスの乗っ取り:マルウェアがデバイスを遠隔操作可能な状態にし、攻撃者が不正操作などの行為を実行します。
    • 金銭損失:ランサムウェアなどの攻撃により、身代金の支払いを強要され、システムの復旧コストや顧客対応などにより多額の金銭的な損害が発生します。

    マルウェアの主な感染経路

    マルウェアの感染経路としては、大きくわけて以下のようなものが挙げられます。

    ・メール

    マルウェアの感染経路として最も一般的なのがメールです。特に「フィッシングメール」と呼ばれる手法で、信頼できる企業やサービスを装ったメールが送られてきます。受信者がメール内のリンクをクリックしたり、添付ファイルを開いたりすると、マルウェアが自動的にダウンロードされ、システムに侵入します。これにより、個人情報の盗難やランサムウェアの感染が発生することがあります。メールのリンクや添付ファイルを開く前に、その送信元が信頼できるかを必ず確認することが重要です。

    ・Webサイト

    不正なWebサイトもマルウェアの感染源となります。特に不正な広告やフィッシングサイトなどは、利用者がサイトを訪れただけでマルウェアが自動的にダウンロードされることがあります。これを「ドライブバイダウンロード攻撃」と呼びます。また、信頼できるWebサイトであっても、第三者によって改ざんされている可能性があるため、Webサイトを利用する際は、最新のウイルス対策ソフトによるスキャンの実行、ブラウザのセキュリティ設定を適切に行うことなどが重要になります。

    ・ファイル共有ソフト

    ファイル共有ソフトを使用することも、マルウェア感染のリスクを高めます。ユーザがダウンロードしたファイルにマルウェアが含まれていることが多く、特に海賊版ソフトウェアや違法に共有されたコンテンツには注意が必要です。これらのファイルを実行すると、システムが感染し、データが破壊されたり、外部に漏洩したりする可能性があります。正規のソフトウェアやコンテンツを使用し、不明なファイルはダウンロードしないことが推奨されます。

    ・外部ストレージ(USBメモリ)

    外部ストレージ(USBメモリ)は、便利である反面、マルウェアの感染経路としても広く利用されています。感染したUSBメモリをパソコンに挿入すると、システムにマルウェアが拡散し、企業内ネットワーク全体に影響を及ぼすこともあります。USBメモリを使用する際は、信頼できるデバイスのみを使用し、不必要に他人のUSBメモリを挿入しないように注意する必要があります。また、ウイルススキャンを行ってから使用することが推奨されます。

    ・クラウドストレージ

    ユーザがマルウェアに感染したファイルをアップロードし、他のユーザがそれをダウンロードすることで、マルウェア感染が広がることがあります。また、クラウドサービス自体がハッキングされることで、全てのクラウドサービス利用者に影響が及ぶ可能性もあります。クラウドストレージを利用する際は、アップロードするファイルの安全性を確認し、適切なアクセス制限と二要素認証などのセキュリティ対策を講じることが重要です。

    まとめ

    マルウェアは、コンピュータやネットワークに悪影響を与える悪意のあるプログラムの総称です。代表的なものには、コンピュータウイルス、ワーム、トロイの木馬、スパイウェア、ランサムウェアなどがあります。

    主な分類として、自己複製し他のファイルに感染するウイルス、ネットワークを通じて拡散するワーム、正常なソフトウェアに偽装するトロイの木馬があります。その他の種類には、データを暗号化して身代金を要求するランサムウェア、個人情報を収集するスパイウェア、偽のセキュリティ警告を表示するスケアウェア、不要な広告を表示するアドウェア、ファイルを残さずにメモリ上で動作するファイルレスマルウェアなどがあります。

    マルウェアは主にメール、不正なWebサイト、ファイル共有ソフト、外部ストレージ、クラウドストレージなどを通じて感染します。感染すると、情報漏洩、Webサイトの改ざん、システムの動作不能、デバイスの乗っ取り、金銭的損失などの被害が発生する可能性があります。マルウェアに感染すると深刻な被害を受け、企業に大きな影響を与えるため、適切なセキュリティ対策の実施が必要です。

    Security Report TOPに戻る
    TOP-更新情報に戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    セキュリティトピックス動画申し込みページリンクへのバナー画像

    ランサムウェア攻撃にも悪用!VMware ESXiの脆弱性(CVE-2024-37085)

    Share

    CVE-2024-37085の解説

    1.脆弱性の概要

    • 名称:CVE-2024-37085
    • 種類:認証バイパス脆弱性
    • 対象システム:VMware ESXi(仮想マシンを管理するソフトウェア)
    • 公開日:2024年
    • 対応状況:2024年7月のアップデートで修正済み

    2.リスクと影響

    • 深刻度:中(CVSSv3.1スコア: 6.8)
    • 潜在的な被害:
      • システムへの完全なアクセス権限の取得
      • データの漏洩
      • システムの乗っ取り
    • 攻撃者の条件:十分なActive Directory (AD) 権限を持っていること
    • 影響を受ける組織:VMware ESXiを使用する企業や組織
    • 既にランサムウェア攻撃グループよる悪用が確認されている

    3.対策方法

    • パッチ適用: VMwareが提供する最新のセキュリティアップデートを速やかに適用
    • システム監視:異常なアクセスや動作を監視し、迅速に対応
    • アクセス制御:Active Directoryの権限を見直し、必要最低限の権限に制限
    • バックアップ:定期的なデータバックアップを実施し、万が一の際に備える
    • 情報収集:NVDやVMwareの公式サイトで最新情報を継続的に確認

    4.確認方法と推奨アクション

    • 使用中のVMware ESXiのバージョン情報を確認
    • 影響を受けるバージョンを使用している場合は、直ちにアップデートを実施

    5.情報の入手先

    • National Vulnerability Database (NVD):詳細な脆弱性情報
    • VMware公式サイト:パッチ情報や詳細な説明
    • GitHub:公開されているセキュリティアドバイザリ

    この脆弱性は、仮想化環境を使用する多くの組織に影響を与える可能性があるため、迅速かつ適切な対応が重要です。特に、Active Directory権限の管理とシステムの定期的なアップデートが重要な防御策となります。

    【関連リンク】

    https://nvd.nist.gov/vuln/detail/CVE-2024-37085
    https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24505

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    Security Report TOPに戻る
    TOP-更新情報に戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    セキュリティトピックス動画申し込みページリンクへのバナー画像