EC運営に不可欠なセキュリティ診断

脆弱性診断
(GMOサイバーセキュリティ byイエラエ)

脆弱性診断とは会社のシステムやソフトウェアなどに存在する脆弱性（セキュリティ上の弱点）を見つけて、そのリスクや影響を評価する一連のプロセスです。脆弱性診断はセキュリティを強化するための重要な手法の一つで、サイバー攻撃が巧妙化する昨今では欠かせないものになっています。

お問い合わせ

このような課題を
解決できます

セキュリティ対策をしたい

脆弱性とは

脆弱性とはWebアプリケーション、スマホアプリ、ソフトウェア、クラウドプラットフォームなどに潜む情報セキュリティ上の欠陥や弱点のことです。
脆弱性はソフトウェアのバグ、不適切な構成、セキュリティポリシーの不備、不正な操作など、さまざまな原因によって生じることがあります。

脆弱性診断が必要な背景

金銭的被害や信用失墜

脆弱性を放置していると攻撃者に狙われたときに悪用されてしまい、Webサイトの改ざん、不正アクセス、個人情報やクレジットカード情報、社外秘の情報などの重要情報の漏洩、企業内のネットワークへの侵入などの被害に発展することがあります。このような事象により、金銭的な被害を受けたり、個人や企業の評判や信用が損なわれることがあります。このような脆弱性が悪用されることを未然に防ぐために四半期～1年ごとに、システムに対する脆弱性診断を行うことが望まれます。

金銭的被害リスク例

賠償リスク

お客様情報の漏えいや、サイバー攻撃によるシステム停止により損害賠償請求を受けるリスク

費用リスク

サイバー攻撃の原因や被害範囲の調査、復旧、再発防止策実施などに関わるリスク

利益リスク

サイバー攻撃により対策が講じられるまでの間、自社の営業が停止し、喪失利益が生じるリスク

脆弱性診断の目的（リスクや影響の評価）

脆弱性診断の目的は、システムやソフトウェアなどに存在する脆弱性を見つけて、そのリスクや影響を評価することです。
またここでリスクが高い、影響が大きいと判断した脆弱性を修正することでシステムのセキュリティを向上させ、悪用の被害を未然に防ぐことが可能です。
前述の通り、脆弱性が放置されると悪意のある攻撃者によって悪用され金銭的被害や信用失墜につながる可能性があります。そうなる前に脆弱性を特定し修正をしてシステムを安全に保つ心がけが求められます。

EC事業者のセキュリティ対策について

割賦販売法に規定するセキュリティ対策義務の実務指針である「クレジットカード・セキュリティガイドライン」では以下のように方針が記載されています。
EC業界では脆弱性診断を含む基本的なセキュリティ対策の実施を必須化する動きがあることをご認識ください。

現状：セキュリティ対策実施状況の申告(試行)

全てのEC加盟店は、新規加盟店契約の申込み前に自らセキュリティ対策を実施し、契約申込みの際にカード会社（アクワイアラー）又はPSP（決済代行会社）にその実施状況を申告し、カード会社（アクワイアラー）と加盟店契約を締結することが求められる

今後：基本的なセキュリティ対策の必須化

「クレジットカード決済システムのセキュリティ対策強化検討会報告書」（2023 年 1 月 20 日）において、EC加盟店の漏えい対策の強化のための当面の対応として、EC加盟店のシステム、ECサイト自体の脆弱性対策（システム上の設定の不備への対策（PW 管理等）、脆弱性診断・対策、ウイルス対策等）の基本的なセキュリティ対策を必須とすることを2024年度末までに本ガイドラインに追記することが求められている。

脆弱性診断の種類と診断対象

脆弱性診断の種類

脆弱性診断には以下のような方法があります。

自動診断：自動化されたツールを使用してネットワークやシステムをスキャンして既知の脆弱性を検出する手法
手動診断：専門家が手動で特徴的なパターンを利用して脆弱性を見つける手法
ハイブリッド：ツールを使用しつつ手動でも脆弱性診断を行うハイブリッドな手法

脆弱性診断の対象

脆弱性診断の対象はWebアプリケーション、スマホアプリ、PCのソフトウェア、ミドルウェア、OS、ネットワーク機器、クラウドプラットフォームの他、IoTデバイスやブロックチェーンで用いられるスマートコントラクトなど新しい技術の出現によりますます広がりを見せています。

ペネトレーションテスト(侵入テスト)との違い

脆弱性診断とペネトレーションテストはいずれもシステムのセキュリティを評価する方法ですが、目的やアプローチが異なります。
脆弱性診断は脆弱性の有無を可視化することが目的であるのに対し、ペネトレーションテストは脆弱性を見つけたうえで、それらを悪用される行為が実際に発生するのかを検証するテストとなります。

GMOサイバーセキュリティ byイエラエの特徴

最高品質を最低価格でご提供

GMOサイバーセキュリティ byイエラエに所属するエンジニアは、世界各地で開催されるハッキングコンテストなどに参戦し、好成績を残しています。
最先端で高度化するハッキング技術をアップデートし続けていることにより、攻撃者の目線で企業が必要としている守る技術や手法を具体的に提案することを可能としています。
また、豊富な診断実績というアセットを有効活用し、AIによる作業の効率化によって、安価な価格で診断技術を提供することを実現しています。

*情報セキュリティのスキルを競うコンテスト

脆弱性診断関連サービスの選び方

【ご要望別】開発者向けサービスラインナップ

お客様のご要望	Webサイト向け	スマホアプリ向け	クラウド上で構築されたシステム向け
サービスリリースに間に合うように脆弱性診断を行いたい	Webアプリケーション診断	スマホアプリ診断	クラウド診断＜AWS/Azure/GCP/Salesforce＞
クライアントから第三者診断を求められ、予算を絞って依頼したい	おまかせWebアプリケーション診断	API診断※
自社開発のサービスの重要情報の保有量が増えてきて心配	Webペネトレーションテスト＜調査型＞
定期診断は行っているが別のアプローチでも診断したい	Webペネトレーションテスト
HTTP以外のプロトコルを利用していて診断できるか心配	HTTP以外のプロトコルの診断		Firebase診断
開発段階からセキュリティの相談にのってほしい	セキュリティコンサルティング～セキュア開発アドバイザリー～
UI/UX、開発含めて依頼したい	UI/UXデザイン、セキュアアプリケーション開発

※Webアプリケーション診断と診断内容は同等です

お問合せはこちら

簡易診断サービス「GMOサイバー攻撃ネットde診断」

GMOサイバー攻撃ネットde診断は経産省が推奨するASM(Attack Surface Management)にカテゴライズされるツールです。安価かつ手軽に脆弱性を可視化し対処法まで把握することができるため、何から手をつけていいかわからない、対策にかける予算がないといった課題にお応えすることが可能です。