例えるとするならば、皆さんの勤めている企業でも、従業員は、健康診断を実施しているかと思います。それはなぜでしょうか。　自覚症状のない病気の早期発見を行うことができるから、というのは言うまでもないですね。

また、健康診断は、病気の早期発見による早期治療で重症化を防ぐこと以外に、医療費の負担を減らすこともできます。このように健康診断（人間ドック）の受診は、複数のメリットを生むため定期的に受診を行っているかと思います。

実は定期的な診断は、企業のネットワーク環境にも同様のことが言えます。定期的なセキュリティの診断を実施して、攻撃を受ける可能性のある致命的な脆弱性を発見し、対策を施すことによって、未然にインシデントを防ぐことが出来るし、対策費用の増大化も防ぐことが出来るのです。

我々が日々利用しているICTツールは、我々の利便性を向上してくれていますが、導入後そのまま放置していいという訳ではなく、脆弱性が発見された場合、アップデートを行う必要があります。脆弱性をそのままにしておくとサイバー攻撃者の被害を受ける恐れがあります。

特に、コンテンツマネジメントシステム（特にWordPress）は、　多くの企業のホームページで利用されていることから、サイバー攻撃者のターゲットにされやすいと言われています。サイバー攻撃者は、脆弱性を利用し以下のような攻撃を仕掛けてきます。

【攻撃例】

1. 不正侵入により機密情報を搾取
2. Webサイトを改ざんし、クレジットカード等の情報を搾取
3. DDos攻撃等、他の攻撃の踏み台として利用

WordPressの脆弱性を突いた事件は多々発生しております。
以下はその事例です。

• 2021年ある企業にてプラグインの脆弱性を突かれた結果ウェブサイトが改ざんされてしまい、ウェブサイトの閲覧者を悪意のある外部サイトへ誘導する状態にされてしまった。
• 女性向けファッション事業を手掛ける企業のウェブサイトで、使用していたWordPressの脆弱性を突かれウェブサイトが改ざん、メール送信機能が悪用された結果、大量のスパムメール送信の踏み台にされてしまった。

1. WordPress・テーマ・プラグインのバージョンを最新版に保つ
2. 不要なプラグインは削除する
3. バックアップを定期的に取得する
4. アカウント情報の管理
5. セキュリティ用のプラグインを導入する
6. WAFの導入
7. 定期的に脆弱性情報を収集

上記がWordPressの対策例ですが、ネットワーク管理者はそれ以外にもサーバを始め管理すべき箇所は多岐にわたり、すべてを把握するには手間もかかりますし、最悪の状態として、対策の見落としをしてしまう可能性もあります。

そこで、人間が病院で診断を受診するのと同様に、セキュリティの専門家によるネットワーク脆弱性診断を受診することをお薦めします。診断を受診することで、効率よくネットワーク環境の状態を把握することができます。

また、ネットワーク環境の状態を把握していれば、対策をすべき箇所や順位も明確にすることができ効率的に対策を実施することができます。