なぜ、脆弱性診断が必要なのか？ - GSX｜グローバルセキュリティエキスパート株式会社

なぜ、脆弱性診断が必要なのか？脆弱性に対する考え方と必要な理由

脆弱性とは、脆弱性に対する考え方とは？

脆弱性とはその1 脆弱性とは、例えて言うなら、バケツに空きそうな亀裂のこと。

脆弱性とはその1 イメージ

脆弱性とはその2 脆弱性は、バケツに空きそうな亀裂が大きければ大きいほど危険。
（亀裂からの水漏れは脆弱性を突かれることを意味します）

脆弱性とはその2 イメージ

では、脆弱性を塞ぐためには何をすればいいのか？

脆弱性に対する考え方その1 バケツの亀裂を見つけて塞ぎます。

脆弱性に対する考え方その1 イメージ

脆弱性に対する考え方その2 あるいは、亀裂が拡がらないように外壁を作ります。
また、亀裂を突かれても拡がらないような応急処置も可能です。

脆弱性に対する考え方その2 イメージ

脆弱性診断の実施（亀裂の有無・大きさを検出し、穴埋めする）セキュリティシステム導入（外壁で亀裂の拡がりを防ぐ）

脆弱性に対する考え方その3 お客様の優先度に応じて、
・脆弱性診断の実施
・セキュリティシステム導入
のご支援をさせていただきます。 ーお客様のお悩み例ー
・小規模なWebサイトなのでシステム改修で十分対策できる
・脆弱性診断で対処できるシステムではない
・脆弱性を潰すための改修時間は相当掛かり、費用も膨大
・今まさに攻撃されていて、即時対応できる手段を選びたい脆弱性に対する考え方その3 イメージ

脆弱性に対する考え方その4 脆弱性に対する考え方その4 イメージ

脆弱性診断は、検出した脆弱性に対して対策措置を実施することでシステムのセキュリティレベル向上に役立てる事を目的として実施します。
脆弱性診断の結果をもとに、改修あるいは対策措置を実施し、脆弱性を無くしていくことがサイバー攻撃などの脅威に対するセキュリティレベル向上に直結すると考えています。

では、なぜ、脆弱性診断は必要なのか？

理由1 安全なWebサイトをご提供するためにお客様のサービスの利用者に、安心してWebサイトをご利用いただくために、脆弱性を払拭し、安全な環境をご提供することは、何にも代えがたい大切な要素です。
安心でき、安全なWebサイトであることを維持し続けるために、脆弱性診断は欠かすことはできません。

理由2 情報セキュリティ対策へのコストを低減させるために開発設計時などの上流工程にセキュアコーディングの考え方を組み込んでおくと、仮にリリース前脆弱性診断を実施するときに、脆弱性が出にくい傾向にあります。
結果、システムに対して手戻りが減るので、情報セキュリティ対策へのコストが減るということにも繋がります。

理由3 情報セキュリティインシデントの懸念を払拭するために企業に対して、不正アクセスをはじめとする主に外部公開サーバへの直接攻撃が日常茶飯事化しています。
それが元に個人情報漏えい、Webサイトの見た目の改ざん、システムダウンやアクセス障害、踏み台化などの被害が後を絶ちません。
またWebサイトに脆弱性があったばかりに、マルウェア配布サイトに改ざんされてしまうケースも頻発しています。
脆弱性診断を実施することで、情報セキュリティインシデントの発生を最小限に留めることができます。