news

なぜ、脆弱性診断を受けてもセキュリティ事故は減らないのか?(2024.9.3 開催)

~脆弱性診断の誤解を解き、正しいセキュリティ診断の実践方法を解説~

インシデントを未然に防ぐために実施される「脆弱性診断」

高度化するサイバー攻撃による甚大な被害が多く発生している現在、多くの企業・組織が情報セキュリティの確保とリスク管理のため、定期的に「脆弱性診断」を実施しています。
脆弱性診断を実施することで、顧客の要請に応じることが可能です。また、カード決済関連の「PCI-DSS」、クラウドサービスの認証「ISMAP」など、インターネットサービス業界特有のセキュリティ基準や法令順守のための「お墨付き」をもらう狙いがあります。さらにインシデント発生時の迅速な対応と復旧が可能になり、予防的な対策を講じることで将来的なコストの削減も期待できます。

それでも減らないセキュリティ事故、本当にその脆弱性診断は役に立っているのか?

ただ、多くの企業・組織がサービスのリリース前に脆弱性診断を実施しているにもかかわらず、セキュリティ・インシデントは増える一方で、その事後対応に追われているのが現実です。診断結果として検知された脆弱性に対して、適切な対応・修正できなければ攻撃者に悪用されるリスクは消えることはありません。
また、常に変化し続ける脅威に対して、新たに登場する攻撃手法や脆弱性に迅速に適応できなければ、セキュリティ脅威からの効果的な防御は困難になってしまいます。

御社では、以下のような問題をどうやって解決しておられますか。適切なノウハウと打開策を持っていますか。

  • – 毎度繰り返される、脆弱性検査前の稟議書と発注プロセス
  • – 検査費用削減のためにテスト範囲を絞る面倒な作業
  • – ページごとのリクエストの詳細な解説の準備
  • – Webアプリケーションの環境設定に関するテストとの切り分け
  • – 開発工程の遅れなどによるテストスケジュールの調整
  • – 予算のつかない、でも見過ごすことができないサイトの検査・・・
  • – そして費用対効果の算定

見過ごされてしまうセキュリティリスクの真実

ビジネスのデジタル化が進む中、多くのアプリケーションが、異なる技術やフレームワーク、サービスを組み合わせて構築されて複雑化しています。その結果、セキュリティ脆弱性の発見と修正を困難にし、品質管理/保証部門、プロダクトマネジャーなどシステムのセキュリティ推進の担当者の管理を難しくしています。
また、外部の脆弱性診断サービスを利用しても、診断ツールやサービスの質によって脆弱性を検出できない場合があり、誤検知や漏れが発生するとセキュリティリスクは残る可能性があります。加えて、一般的な検査項目にしか対応していなかったり、潜在的なセキュリティリスクを特定できないケースも見受けられます。

脆弱性診断の誤解を解き、正しい「脆弱性診断」実施・パートナー選定のポイントを解説

本セミナーは「外部の脆弱性診断サービスを利用しているが、その効果に疑問を持っている」「脆弱性診断サービスを上手く活用できているか不安がある」などの問題意識を持っている企業・組織の方を対象に開催します。
まず、脆弱性診断サービスの限界や問題点を指摘して、脆弱性診断に関する誤解を解くとともに従来サービスを過信する危険性の理解を深めてもらいます。また、より高い効果が見込めるリスクベースのアプローチなど正しい実施方法やサービス選定のポイントなども解説します。

「セキュリティリスクを軽減する効果的な脆弱性診断を実施する」ためのヒントを知りたい方は、ぜひご参加ください。

2024年9月3日 12:00-13:00 にて開催いたしました

ご視聴のお申し込み

当日の録画映像をご覧になりたい方、また脆弱性診断に関するご相談は
お問い合わせからお申し出ください。

資料ダウンロード

こちらからダウンロード可能です。
https://majisemi.com/e/c/rsrch-20240903

ニュース一覧へ戻る

arrow_upward