セキュリティ診断
客観的な視点でセキュリティリスクを洗い出す「セキュリティ診断」
セキュリティ診断とは、さまざまな手法を用いて客観的な視点で対象システムの脆弱性を洗い出すことです。
一般的にブラックボックスタイプとホワイトボックスタイプがあります。
ブラックボックスタイプは外部の攻撃者の視点で対象システム(OSやミドルウェア、Webアプリケーションなど)に対して実際に不正アクセスなどの疑似的な攻撃を仕掛け、その結果を基に脆弱性を発見する方法です。さまざまな手法を用いてセキュリティホールなどの弱点を探し、発見した場合は、その影響度や影響範囲まで調査するケースもあります。
ホワイトボックスタイプは、システム設計書や仕様書、ソースコード、設定情報などのドキュメント類から机上で診断を行うタイプのセキュリティ診断です。
セキュリティの脅威は日々多様化しているため、客観的な方法で定期的にセキュリティ診断を実施することで、潜在的な脆弱性や想定外のセキュリティリスクを洗い出すことが必要です。