脆弱性のない堅牢なシステムかどうかを調べるための方法としてセキュリティ診断があります。セキュリティ専門業者だけなく、最近ではSI会社やアプリケーションの開発会社までも、セキュリティ診断サービスを売りにしているところが少なくありません。
読者の皆さんの中にも、かつてセキュリティ診断を業者さんにお願いした方がおられるのではないでしょうか。
このコラムではセキュリティ診断の種類を解説し、状況に応じてそれらを使い分けるお勧めパターンをご理解いただくことを目指します。
診断対象からみたセキュリティ診断の種類
セキュリティ診断サービスを診断対象で分類すると、以下の3つの種類に分けることができます。
1.プラットフォーム診断
WindowsやLinuxなどのOS、ミドルウェアおよびネットワーク機器のファームウェアが対象となるセキュリティ診断です。
ネットワーク診断というサービス名称のこともあります。診断対象の数で従量課金するのが一般的です。
2.Webアプリケーション診断
ユーザが開発したWebアプリケーションを診断対象とします。Webアプリケーションのリリース、更新のタイミングで実施することが多く、課金は遷移する画面数の従量課金が一般的です。
3.スマホアプリ診断
スマホアプリでも個人情報やクレジットカード情報などの機密性の高い情報を取り扱うことが普及してきました。
スマホアプリ診断はユーザが開発したスマホアプリを対象にセキュリティ診断を行います。
ユーザアプリを対象にするよことはWebアプリケーション診断に似ています。
課金体系もWebアプリケーション診断同様、遷移する画面数の従量課金が多いようです。
次回はセキュリティ診断の中でも基本となるプラットフォーム診断の効果的な使い方についてご説明します。