3.サプライチェーンの脆弱性

一方、メーカーなどソフトウエアを組み込む製品などは、その製品に対する脆弱性診断が必要です。サプライチェーンに対する攻撃というものを聞いたことはありますか? 大手企業を攻撃する場合、その企業で採用しているシステムや利用しているアプリケーションの脆弱性を利用して攻撃を仕掛けるといったものです。従って納入する製品やアプリケーションの脆弱性をふさいでおくことが重要になります。 

4.2種類の脆弱性診断

脆弱性の診断は大きく分けて2種類あります。一つは外部からの攻撃を許してしまう脆弱性の診断、もう一つは内部から攻撃を許してしまう脆弱性の診断です。
 

製造業や、医療関係者の方から「閉鎖されたシステムだから、脆弱性があっても攻撃されることはない」といったことをよく耳にします。実際にはそのようなことはなく、内部犯行者による情報漏えいや内部からのランサムウェア感染といった事例が後を絶ちません。したがって、内部システムの脆弱性診断をおこない、脆弱性をふさいでおくべきなのです。

アライドテレシスでは4月にこのような外・内部の脆弱性診断サービスを「Net.CyberSecurity」というブランドとして立ち上げることを発表いたしました。この診断サービスを実施することにより、外側は社外Webなどの脆弱性、内側は社内サーバーやネットワーク機器などの脆弱性を診断し、セキュリティホールの箇所と直し方を知ることができます。

次回はこのような外部からの攻撃の診断と内部システムの診断に関して、もう少し詳しく説明していきたいと思います。

(了)