情報システムのセキュリティ診断にはさまざまな手法があります。

　例えば、ネットワーク機器の構成や設定のチェック、サーバーやDBシステムの設定確認や、最新パッチがあたっているかの確認、そしてWebアプリケーションの設計・ソースコードのレビューを行って、問題がないかを確認するなどです。

　しかし、これらの手法は時間や手間がかかり、その分、費用や担当者の負担が大きくなることは想像に難くありません。

　そこで、おすすめしたいのが、いわゆる「ホワイトハッカー」がインターネット経由で外部から、「本物のサイバー攻撃と同じ手法」を使って脆弱性を診断する手法です。

　ハッカー視点でさまざまな手法を使って攻撃、侵入を図る疑似攻撃によって、脆弱性を発見していくため、実際の「攻撃」にシステムがどこまで耐えられるのかを把握することが可能です。また、自社で診断を行うよりも手軽に診断を行うことができますので、時間もコストも削減できます。

　日立ソリューションズでは、専任技術者であるホワイトハッカーが疑似的に「攻撃」を行う「セキュリティ診断サービス」を提供しています。

　この「セキュリティ診断サービス」では、診断用ツールとともに、ホワイトハッカーが手動で診断を行います。診断項目はIPAの「安全なWebサイトの作り方」、「ウェブ健康診断仕様」やOWASP（Open Web Application Security Project）による「OWASP Top 10 2017」に基づいており、信頼性の高い診断となっています。

　また、診断の結果を「セキュリティ診断結果報告書」にまとめて提出します。再現手順などもわかりやすく詳細に記載されており、脆弱性の修正や、修正後の確認がしやすいようになっています。

　日立ソリューションズでは10年にわたりセキュリティ診断サービスを行っており、これまで中央官庁・自治体、大手企業を含め700あまりの省庁・団体・企業のセキュリティ診断を実施、数多くの脆弱性を発見し、報告してきました。

　近年は、お客さま企業のネットワーク内部に侵入して、情報の取得を試みる「ペネトレーションテスト」の実施も行っています。

　また、セキュリティ技術向上のため、世界中のハッカーが参加する、最も権威のある世界最大のハッキングコンテスト「DEF CON CTF」の予選や、国内最大のセキュリティコンテスト「SECCON」、情報セキュリティトレーニングのグローバルリーダーであるSANS Instituteが主催するハッキングコンテスト「SANS 日本NetWars」などに積極的に参加。Core NetWars 日本大会では2回優勝するなど、その技術力を常に磨いています。

　いつ狙われるか、いつ攻撃されるかわからないサイバー攻撃の脅威に対し、備えを固める第一歩として、日立ソリューションズの「セキュリティ診断サービス」の活用を検討してみてはいかがでしょうか。