WEBアプリケーション診断とプラットフォーム診断の違い
こちらでは、WEBアプリケーション診断とプラットフォーム診断の違いについて紹介しています。脆弱性診断について気になっている人は、ぜひ参考にしてみてください。
そもそもプラットフォーム診断とは?
企業のプラットフォームに脆弱性があると、安全に使用できなくなってしまいます。プラットフォーム診断は、企業システムの基盤となるOS・ミドルウェアの診断を行う、企業にとって重要度が高いセキュリティ診断です。診断には「リモート診断」と「オンサイト診断」の2種類があり、主に、ネットワークの内側・外側の両面から診断します。
WEBアプリケーション診断との主な違い
- ネットワークの内側・外側の両面から診断
- 「リモート診断」と「オンサイト診断」の2種類がある
リモート診断は、ネットワークの外側からネットワークに接続するサーバの脆弱性やアクセス制限の診断。オンサイト診断は、内部ネットワークに接続している機器の脆弱性について診断を行います。
WEBアプリケーション診断とプラットフォーム診断、どちらを選ぶべき?
セキュリティ診断には主に、WEBアプリケーション診断とプラットフォーム診断の2種類の方法があります。
WEBサイトを運営している場合は、WEBアプリケーション診断がおすすめです。診断方法にはツール診断と手動診断があるため、手間とコスト、効果のバランスを考えて診断することができます。
HOW TO CHOOSE
WEBアプリケーション
脆弱性診断会社の選び方
WEBアプリケーションの脆弱性診断を行う会社の選び方について、単発で依頼するのか、継続して依頼するのかなど、自社の状況や課題に応じた依頼方法を考えましょう。
「ごひいきにしてくれているクライアントからの要望で高いセキュリティ性を求められている」、「開発が多くリリース前には必ず診断を行いたい」や「油断していたら既に攻撃を受けてしまった!」など、まずは自社が置かれている状況や課題を把握しましょう。
継 続
例えばこんな会社は、
- アップデートの多いサービスや、
複数のサービスを展開している
- 取引先からの依頼で
診断を行わなくてはならない
長くお付き合いのできる
継続向きの会社を選びましょう
単 発
例えばこんな会社は、
- 攻撃や被害に遭い、とにかく急いでいる
- 継続的に診断してもらう予定はない
迅速診断を得意とする
単発向きの会社を選びましょう
ペネトレーションテストとは?
ペネトレーションテストは、実際に攻撃者が仕掛けて来ると想定される攻撃シナリオを検討し、疑似攻撃を実施。その結果、目的達成の可否を検証し、現状のセキュリティ対策の有効性を評価するものです。侵入テストとも呼ばれているペネトレーションテストは、診断・調査の一環として用いられています。
WEBアプリケーション診断との主な違い
- システム、人、組織、ルールが調査対象
- 疑似攻撃を行って、一定期間内で目的を達成できるかの調査
脆弱性の有無だけでなく、侵入後の挙動やリスクとなる情報資産がないかなど、攻撃者の目線に立った調査を行います。
ソースコード診断とは?
ソースコードとは、開発者が書いたプログラム。ソースコード診断とは、アプリケーションのソースコードを解析し、セキュリティと品質上の問題となるバグを検出する診断のことをいいます。セキュリティベンダーが提供する診断サービスの他、無料の診断ツールもあります。スマートフォンやWEBアプリケーション、IoT機器上で動くアプリケーションが診断対象です。
WEBアプリケーション診断との主な違い
- 開発フェーズ初期から実施可能
- 未使用のコード、ログの改ざんも検知可能
ソースコード診断なら、一般的な脆弱性診断では検出しにくい脆弱性も発見できる可能性があります。また、開発フェーズ初期から診断を行うことで、リリース直前・リリース後に脆弱性が発見される可能性を抑えることができます。
違いを理解して自社に合ったセキュリティ診断をしましょう。
WEBアプリケーション診断とプラットフォーム診断、ソースコード診断について解説しました。それぞれの特徴と違いを理解し、どれが適しているかを見極めた上で利用するようにしましょう。
本サイトでは、WEBアプリケーションの脆弱性診断をしてくれる会社の中で、OWASPの基準を満たした診断項目を設けていたり、IPAの認定を受けていたりする特に信頼のおける会社を2社、状況・課題別に紹介しています。
専門家に依頼して脆弱性診断をしたい場合、それぞれ会社ごとに特徴があるので、よく確認してみましょう。
[状況・課題別]
おすすめの
WEBアプリケーション
脆弱性診断会社2選をみる
