見出し画像
Photo by taro_whitey

システム担当者向け【脆弱性検証の必要性と費用相場】

BES -情報セキュリティ-

どうも、脆弱性検証サービスに詳しいセールスエンジニアです。普段はサイバーセキュリティ対策センターにおります。23歳(女)✌️
こちらをご覧になっておられるということは、サイバーセキュリティに詳しい方々なのだろうという(前提)でお話しさせていただきます。

本日は、脆弱性検証!(ぜいじゃくせいけんしょう)

IT業界に長年いらっしゃる方でも、「なんですかそれは。。」
とおっしゃる方が多いです。
素人でもわかるように詳しく解説していきましょう。


脆弱性検証とは?

さっそく、Chat GPTに聞いてみました!

脆弱性検証は、システムやソフトウェアに存在する脆弱性を特定し、それらを悪用された場合の影響やリスクを評価するプロセスです。通常、セキュリティ専門家が行い、システムのセキュリティを強化するための重要な手法の1つです。

ChatGPT

うーーーーーん!わかりにくい!
要点はおさえているなと思います。さすがです👍

要は
IoT機器(PCや複合機、その他もろもろ)、アプリや自社開発システム、
とにかくこの世の中で使われている機器類、ネットワークには、脆(もろ)い部分が存在しています。
(もともと脆弱なわけではないですよ。悪いハッカー集団が粗探しをして
「よっしゃ〜!ラッキー!」てな感じで。ここから侵入できるぜ〜というような粗探しをするので、「それ」が、脆弱性となります。イタチごっこです。)
しかし、侵入されてからでは遅いので先回りして脆弱性を探し出して、攻撃された場合の影響、現時点で可能な対策をお伝えする。というのが、
脆弱性検証(脆弱性の検証)です。攻撃者視点で様々な手法を駆使しながらハッキングを仕掛けてみます。

攻撃を受けないと気づかないものなの?

鋭いですね。
ウイルス対策ソフトと違うのはまさにここ!です。
脆弱性検証は、攻撃を仕掛ける(仕掛けてみる)というやり方。
攻撃できてしまったら、まずいんですよ。
だがしかし、恐ろしいことに・・・
脆弱性検証をしてみるとよくわかりますが、
大体、攻略できてしまうんです。
ちょっとちょっと・・・!!💦💦
そんなときは「早急に対策をしてください」の連絡を差し上げて
対策をしてもらっています。

ちょっとここで、ウイルス対策ソフトについてお話ししましょう。
明日別の記事で書こうかなと思いましたが、
ちょうど、ウイルス対策ソフトというワードが出てきたので(笑)簡単に。

ウイルス対策ソフト 現状

まずはこちらをご覧ください。
2023年度 下半期 の警察庁が公開しているデータです。
(しっかりご覧になりたい方は、調べてみてくださいね。)

警察庁 サイバー空間をめぐる脅威の情勢等 p48

(左図)サイバー攻撃の被害に遭った企業や団体の92%がなんと・・・
ウイルス対策ソフトを導入していた。ふむふむ。
で・・・導入してたけど、79%はウイルス検出がなかった・・・キャー泣

(こんなことを大々的に申し上げると抹殺されそうなので、大きな声で言えませんが、これが現状です・・・!)

簡単にいうと、ウイルス対策ソフトの導入=安心安全ではないよ!
ということです。

企業のシステム担当者様は、よく言います。
「うちはセキュリティやっているので大丈夫です!」
「ウイルス対策ソフト入れてます!(ドヤ!)」
という感じで。

えーっと、、、
(私の生き方として、「自分以外の事象を否定しない」がモットー。)ですので「左様でございましたか!」「セキュリティ意識を高くもっておられるようで、我々としても嬉しい限りです!」なんていう社交辞令を済ませて、本題に入らせていただきます。

実際には、サイバー攻撃の被害に遭っていても警察へ届け出ない(信用失墜などを防ぐため)パターンもありますので、このデータが全て,ではないです。
被害件数はもっと多いでしょう。


ウイルス対策ソフト、この辺りにしておいて、また後日詳しく書きます。

最後に、お金の話をしましょう。

脆弱性検証費用

「脆弱性診断」は無料〜〜数十万円と、幅広く、ありますね。
「脆弱性検証(ペネトレーションテスト)」は無料というわけにはいきません。
いわゆるブラックリスト化されているものでスキャンするのか
(自動)
人の手で攻撃者視点でハッキングを仕掛けてみるのか
(手動)
では、中身が大幅に違います。
先ほども申し上げたように、サイバー空間の脅威はイタチごっこです。次々に新しい脆弱性が出来上がっているので、ブラックリストでは追いつけません。
ウイルス対策ソフトを導入していた組織の79パーセントがウイルス検出がなかったように、脆弱性診断ウイルス対策ソフトと似たところがあります。
ですから、ウイルス対策ソフトと同様、安価な理由はここにあるでしょう。

本題の、脆弱性検証(ペネトレーションテスト)はノード数(端末等の数、規模)によりますが、相場で500万円〜1000万円
一回きりです。
見積もりをとってみると、わかります。

やはりコストがかかるというのが
中小企業に普及しない理由です。
大手企業さんは率先して脆弱性検証(ペネトレーションテスト)をやっておられますから。

いかがだったでしょうか。

やはり、コストがかかりますね。
とはいえ、また別の機会に書かせていただきますが、
実は大手企業やお国と取引する際の条件になりつつあります。
「できない」ではなく、「やらないと取引できない」に変わりつつあるということです。
そんなわけもあって次回は、
 
脆弱性検証の常識を覆す
相場の50分の1で脆弱性検証が可能・・・?
超安価!脆弱性検証サービスのご紹介です。
コスト削減の理由が単純!明快!
次回お楽しみに!

それではまた!!




いいなと思ったら応援しよう!