概要
自社システムのセキュリティリスクを把握するため
社内に脆弱性診断体制を作りませんか
| お勧めお客様例 |
|
|---|
自社システムをセキュアに保ちたいけれど…
-
- 脆弱性診断を外部に委託すると膨大な費用が必要…
-
- 診断ツールでは発見できないセキュリティリスクがある…
-
- 社内スタッフのセキュリティ知識だけでは不安が残る…
-
- 診断ツールを購入しても使いこなせるだろうか…
脆弱性診断体制構築は
システムの脆弱性を自社で継続的にチェックしていくための体制構築を支援するパートナーシップ・プログラムです。
システムに対するセキュリティ面からの品質チェックや定期的なセキュリティチェックを内製化できます
ツールでは見つからない脆弱性があります
システムに潜む脆弱性を自社内で検出するには手軽で高速なツールが普及していますが、全ての脆弱性を検出できるわけではありません。
参考:Webアプリケーション脆弱性診断におけるツールと手動の違い
| ツール | 手動 | |
|---|---|---|
| Webアプリケーションの入出力チェックの漏れ | ◎ | ○ |
| サーバー設定に起因する脆弱性 | ◎ | ○ |
| パッケージソフトの脆弱性 | ◎ | ○ |
| アプリケーションロジックに起因する脆弱性 | × | ◎ |
| セッション管理に起因する脆弱性 | × | ◎ |
技術トレーニングだけでは業務体制は作れません
また、診断業務は事前準備、実際のチェック、報告書作成と、大きく3つのプロセスに分けられます。いずれが欠けても業務としてスムーズに実践するのは困難です。
業務として脆弱性診断に取り組んでいくためには工数見積もりや計画立案など、社内調整に必要なプロセスも考えなくてはなりません。
脆弱性診断を業務として捉えた実践ノウハウを提供
経験豊富な当社の脆弱性診断技術員が、診断計画の策定からツール・手作業による診断の実施、レポート作成にいたるまでの脆弱性診断に求められる専門的なノウハウを、実際の脆弱性診断作業を通じてご提供します。
サービス内容
お客様自身で脆弱性を診断するための社内体制構築を支援します。
まずは、第一段階としてSCSKセキュリティがこれまで数多くの業務で培った脆弱性診断の実践ノウハウを基礎から分かりやすくご提供します。
次に、お客様自身による脆弱性診断の段階でSCSKセキュリティの脆弱性診断エンジニアが支援・OJTを行う「オンサイト診断支援」で、実践的なスキルトランスファーを実施します。
さらに、お客様からの脆弱性診断に関する技術的・業務的なご質問にお答えする「お問い合わせ支援」により、お客様社内での脆弱性診断体制構築を総合的にバックアップさせて頂きます。
診断体制事前ヒアリング
対象となるWebアプリケーションやプラットフォーム/ネットワークの規模、重要度、診断頻度等をヒアリングしながら適切な診断手法、利用ツールの選定、中長期的な習熟プランを決定します。
実践ノウハウのご提供
経験豊富な当社の脆弱性診断技術員が、診断計画の策定からツール・手作業による診断の実施、レポート作成にいたるまでの脆弱性診断に求められる専門的なノウハウを、技術トレーニングと実際の脆弱性診断作業を通じて体系的に教育します。
お問い合わせに対する支援
診断に係る工数算出、ツールが検出した脆弱性の精査、お客様が作成された報告書の添削など、診断ツールのサポート窓口では通常得ることができない「脆弱性診断」に関するご相談に脆弱性診断技術員がメールでお応えします。
オンサイト診断支援
お客様先にSCSKセキュリティの脆弱性診断技術員がお伺いし、環境に合わせた脆弱性診断ツールの設定カスタマイズ、手作業による脆弱性診断実施時の助言・代行、結果報告書作成支援、報告会への同席等を通じてお客様の診断技能定着を支援します。
運用改善
定期的にSCSKセキュリティ技術員がお客様先へ訪問し、脆弱性診断に関するご質問、課題等に直接お答えします。運用改善案のご提示や最新のセキュリティ情報の提供など、脆弱性診断体制の運用維持を支援します。
モデルケース
モデルケース <某製造業様>
某製造業様にて社内にセキュリティチェック体制を構築
開発コスト、期間全体の短縮に向けた取組みを支援
自社開発するアプリケーションのセキュリティコストが課題に
増え続けるセキュリティ上の脅威を前に、アプリケーションの脆弱性チェック、セキュリティ確保が命題となっています。こうした昨今の事情から、自社で業務アプリケーションを開発している某製造業様において、オリジナル開発されるアプリケーションの開発コスト上昇が課題となっていました。そこで、自社内でセキュリティチェックができる体制を作り、コスト削減と開発期間短縮の両方を目指すことになりました。
社内体制の構築でアプリケーション本数が多くなってもコストがかかりすぎない体制を目指す。
技術的指導だけではなく業務プロセス構築支援が必要
まず自社内でセキュリティチェックが出来る体制を整える為、ツールの検討から入りました。脆弱性ツール取扱い業者から説明を受け、どの業者からもツールを利用する事で脆弱性チェックが全て網羅されるとの話があり、ツールとそれを使いこなす為のトレーニングで十分と思っていました。
しかし、脆弱性診断サービスとツールを取り扱っているSCSKセキュリティから紹介を受けた時、ツールは脆弱性診断の約70%をカバーするのみで残り30%は手動で診断する必要がある事を知り、ツールでは全てを網羅しない事がわかりました。また自社内でセキュリティチェックが出来る体制を整える為には技術的なスキルの習得以外にもWebサイト開発者・管理者との調整、工数算出、報告書の作成等様々なスキルが必要である事もわかりました。
多くのツール取扱い業者はツールの操作方法をレクチャーするトレーニングを提供していますが、Webアプリケーション診断を業務として取り入れる視点に欠けていると思いました。そこで白羽の矢が立ったのが、SCSKセキュリティが提供する脆弱性診断体制構築でした。業務プロセス構築支援や、脆弱性チェック時に実際に脆弱性診断を行っているエンジニアに立ち会ってもらいながらOJTで学べるのがポイントとなりました。
実践ノウハウの提供、現場でのOJTの2段階で実施
まず行われたのは、脆弱性診断体制構築支援プログラムにもとづく脆弱性診断の実践ノウハウ提供です。実際に導入する脆弱性診断ツールを使い、脆弱性チェックのための技術的な手法をアプリケーション品質管理部門のエンジニア3名で参加し、習得しました。ツールの操作方法だけではなく、手作業で補うべきチェック項目についても学びました。また、スケジュール作成など業務面で必要な知識も、この段階で身につけました。
次に、オンサイト診断支援プログラムにもとづき、OJTを通じたスキルトランスファーが行われました。初回の脆弱性診断業務を行う際に、SCSKセキュリティのエンジニアがオンサイトで立ち会い、診断に関するノウハウを実践形式で習得しました。
コスト、開発期間の圧縮に成功! オンサイト支援サービスの効果も実感
自社内に脆弱性診断の体制を構築できたことで、開発に伴うセキュリティ維持コストは各段に低く抑えられるようになりました。以前であれば脆弱性診断を断念していた小規模なアプリケーションもチェックできるようになり、全体のセキュリティレベル向上にも貢献しています。また、脆弱性診断を外部に委託していた頃は、アプリケーション開発が終わるのを待って診断実施、結果が判明するまで待つ必要がありましたが、社内に体制を構築できたことで、開発しながら部分的に脆弱性診断に取り掛かれるようになり、アプリケーション開発期間も短縮されました。
初回診断時に行われたオンサイト支援により、事前に提供を受けた脆弱性診断ノウハウの理解が深まり、効果を実感しました。現在はオンサイト支援サービスを終え、脆弱性診断業務を自社内で行っており、脆弱性診断業務に関する不明点がある場合はSCSKセキュリティのセキュリティエンジニアが質問にお答えする問い合わせ支援サービスを利用し、日々脆弱性診断業務を行っております。
