セキュリティのよくある質問

セキュリティのよくある質問

■使い方に関して

+ エレシークのセキュリティ診断結果までの流れ
<無料利用の場合>
1.会員登録
2.サイト一覧(ログインTOP)へ
3.診断ボタンを押して診断スタートへ
4.診断レポート提供
A:定期診断の次の決済日以降、追加したFQDN数だけ費用が発生します。
+ エレシークの診断方法について
A: 一般的に行われているWebアプリケーションのセキュリティ診断は、実際のシステム内に侵入して行なうものですがエレシークのセキュリティ診断は診断対象のアプリケーションへの侵入は行なっていません。外部から確認できる情報を複合的に独自のロジックに基づき判断したものです。
+ 診断後、問題・課題が見つかった場合はどうすればいいですか?
A: 診断後にお渡しするレポートをシステムを開発された部署または業者様に対策をご依頼ください。依頼先が無い場合は、弊社で引き受けるすることも可能です。但し対象のシステムの規模・内容にもよりますのでご了承ください。診断後の対応は診断費用とは別となります。
+ 診断結果を開発会社に話してもらえますか?
A: 診断の結果を代行して説明することは可能です。別途費用になりますのでお問い合わせください。 尚、対象の診断サービスの範囲内となりますので予めご了承ください。
※診断サービスは価格によって診断範囲が異なります。広く網羅的に診断したい場合は診断範囲の広いサービスをご利用ください

■セキュリティに関して

+ 個人情報を扱っていないのですが、セキュリティ診断の必要はありませんか?
A: 「情報漏えい」以外にも脅威はあります。社内の営業情報、製品の設計情報など産業スパイが含まれる場合もあります。 また、他の企業への攻撃の踏み台にされたり、マルウェアに感染するなどして第三者に被害を及ぼす可能性もあります。マルウェアに感染するとGoogle等の検索エンジンに表示されなくなる場合があるなど、甚大な被害を被る場合も想定されますのでセキュリティについては十分に知識を持って定期的なセキュリティ診断を行なうことをお勧めします。
+ 簡単なホームページですが、セキュリティ診断の必要はありませんか?
A: 先の質問と同様で、情報漏えいだけではなく沢山の脅威があります。第三者に被害を及ぼした場合、賠償金の問題だけではなく会社の信用を失うなどIT以外の業務に関しても影響が出る場合があります。
+ 高度なシステムではないので脆弱性なんてないのではありませんか?
A: こちらも先の2つの質問と同様で数ページしかないWebサイトも脆弱性を持ち合わせていたために、社内の機密情報が漏れる、第三者に被害を与えて会社の信用をなくしてしまった等の被害が考えられます。 昨今のセキュリティ被害の拡がりを踏まえるとインターネットを使う以上、セキュリティに関する知識を持ち合わせて定期的にセキュリティに向き合う必要があるといえます。
+ 会社の規模が大きくないので、攻撃の標的にされることはなのではありませんか?
A: 規模の大小は関係ありません。攻撃者は直接的に被害を与えようとする標準型攻撃と、第三者に被害を拡散させたいマルウェア感染などに分かれ、どちらの対象にもなりうる可能性が十分にあります。自社への被害だけではなく第三者への被害も踏まえて、セキュリティ診断を定期的に行なうことを推奨します。
+ システム会社に任せているので、問題ないのではないですか?
A: なんとも言えませんが、一般的にアプリケーションを開発するエンジニアとネットワークエンジニアは異なります。言い換えると技術が異なりますのでお任せしている業者にもよりますが専門のエンジニアの有無をご確認いただくことをお勧めしますまた、Webアプリケーションのセキュリティ診断の対策を行なっていたとしても、セキュリティ診断はあらゆる脆弱性を想定して実施されますので”対策”と”診断”は別物として対応されることをお勧めします。時間を経過すると様々な脆弱性が発見されますので定期的なセキュリティ診断を行なうのも重要です。
+ 付き合っているベンダーにセキュリティを頼んでいるので問題ないのでは?
A: 対策方法にもよりますが、ファイアウォールやアンチウィルス等の対策ではないでしょうか。ネットワーク側の対策とWebアプリケーションのセキュリティ対策は異なります。またセキュリティ機器は多機能で強固なセキュリティを持ち合わせたものは、かなり煩雑を極めているためベンダーの設定如何によっては適切なセキュリティが行なわれていないケースも見られます。セキュリティ診断を行なうことにより設定の不備等も発見され、総合的にセキュリティ強固の是否を確認することができます。時間が経つと攻撃手法も多種多様になり、システムの脆弱性も沢山発見されますのでセキュリティ機器だけではなく定期的なセキュリティ診断と併せてセキュリティ全体を考えることをお勧めいたします。
+ 数年間、セキュリティに問題がなかったので、問題ないのでは?
A: 定期的にセキュリティ診断を行なっていない場合、非常に危険な状態と言えます。ITシステムは性善説で構築されたものであり、攻撃者がセキュリティホールを突きやすいものであるということを前提にお考えください。日々新たな攻撃手法が発見されています。数年前に構築された時と現在では攻撃手法のパターン数が異なります。 特にWebアプリケーションを構成する土台の部分であるOSミドルウェアは、必ず何らかの脆弱性を含んでいると言っても過言ではありません。数年前に構築されたシステムでOSミドルウェアのパッチ更新を行なっていない場合は、すぐにセキュリティ診断を行ない対策を打たれることを強くお勧めします。
+ 大手が漏えいしているんだから、規模の小さい会社には防げないのではないですか?
A: そんなことはありません。大手企業は大規模・複雑なネットワーク構成・システム・アプリケーションを有しているために、複次的に脆弱性を含んでしまう可能性があるためです。全国に沢山ある特定の事業所の小さなセキュリティホールから侵入され、本社の基幹システムに侵入される等の事例もあります。 小さな会社と大きな会社では、セキュリティに対して考慮すべき範囲が異なります。先にいくつか回答していますが、数ページのホームページしか有していない企業様においても定期的に診断を行ない、安心安全なインターネットサイト・サービスを第三者に提供いただきたいと思います。
+ ファイヤーウォールが防いでくれるのではないですか?
A: 貴社がサイトをネット上に公開していれば、攻撃者はファイヤーウォールをすり抜けることができます。ファイヤーウォールが防いでくれることは限られます。
+ セキュリティ対策でファイヤーウォール、アンチウイルスソフトIDS、IPS等を入れているので問題ないのではないですか?
A: IPS,IDS,WAFにおいても設定如何では容易に攻撃者が侵入することができます。 セキュリティ診断は当該セキュリティ対策機器の有無に関わらず、多種多様なセキュリティホールの発見を試みますので既存のセキュリティ対策の是否についても確認することができます。 日々新たな脆弱性、攻撃手法が発見されていますのでセキュリティ機器に頼るだけではなく定期的な診断の実施を推奨致します。
+ セキュリティ診断・対策はコストが沢山掛かるのではないですか?
A: 弊社では、無料のサービスから有料のサービスまで多くのメニュー、商品をご用意しております。 お客様のネットワーク・システム・アプリケーションに応じた診断、対策を行なって頂けるように商品を提供しています。

■診断サービスの利用後について

+ サーバーも含めてセキュリティ管理はできますか?
A: MSPサービス(サーバー運用監視サービス)をお請けしておりますのでセキュリティを十分に考えた運用保守サービスを提供しています。
+ セキュリティを見直したいので相談できますか?
A: 高いセキュリティの維持を踏まえた必要なサービスをフルラインでご提供します。セキュリティの幅広い知識をもったエキスパートエンジニアがセキュアなWebサイトを構築・運用するノウハウをご提供致します。
診断を始める
上に戻る ↑