今どき情報セキュリティ対策がまったく無策の企業というのはないだろう。どこの企業もそれなりの予算と人員で対策を講じている。ところが、「それが完璧か?」と問われると、「絶対安全」などと誰も自信を持って言えないのである。たまたま、まだ攻撃を受けていないだけだったり、すでにシステムの奥深くに侵入されているのだが、それに気付いていないだけだったりするのだ。今あなたが感じた不安を軽減するには、システムの脆弱性診断を実施するしかない。
情報セキュリティをめぐっては、企業の顧客情報が漏えいしたり、ランサムウエアなどで勝手にデータが暗号化されて身代金を要求されたり、さらには重要な社会インフラを機能不全に陥れるサイバー攻撃を受けたり、といった被害が注目を集めている。内部からの意図的な手引きは別にして、ほとんどのケースはネットワーク機器のコントロールを乗っ取られるか、クライアント・マシンが標的型攻撃などでマルウエアに感染することによって、引き起こされる。
企業はセキュリティ・ポリシーに基づいて、アカウント管理、システムのアーキテクチャーを工夫し、サーバーのセキュアな設定、クライアントのウイルス対策、OSやアプリへの修正パッチの適用をしている。しかし、情報セキュリティ対策をより完全なものにするためには、脆弱性を診断する手立てが必要だ。
脆弱性診断ツールには規模や形態など様々なものがある。セキュリティ・コンサルタント会社が使うような高度のものもあれば、末端のユーザーが手軽に使えるような簡便なものもある。あるいは、大規模なシステム管理ツールの一部として備わっている診断ツールや、特定用途に特化した診断ツールもある。特定用途向けとしては、Webアプリケーションなどの脆弱性診断ツールがあり、Webを通じてビジネス展開している企業には欠かせないだろう。また、オープンソース特有の脆弱性診断ツールもあって、オープンソースでシステム開発をする事例が増えている中、注目すべきツールだ。
脆弱性診断ツールは、企業の情報セキュリティをレベルアップするための必須ツールになっている。今回紹介する各社の製品・サービスもぜひチェックして欲しい。