Biz Magazine トップ > セキュリティ > 脆弱性診断(セキュリティ診断)とは?なぜ必要なのか/選び方も解説
会社で使用しているITシステムに脆弱性があると、サイバー攻撃による被害を受けるリスクが高まります。企業にとって致命的なリスクになり得る個人情報漏えいなどのトラブルを避けるためにも、脆弱性診断を実施し、現在のリスクを可視化するとともに、適切なセキュリティ対策を講じることによりサイバー攻撃対応能力を高めることが重要です。
脆弱性診断の重要性や効果的な脆弱性診断サービスの選び方を知ったうえで、適切なITリスクマネジメントを推進しましょう。
この記事では、脆弱性診断の概要やその必要性、診断の種類や対象、診断サービスの選び方などを紹介します。
- 【目次】
脆弱性診断とは?
脆弱性診断とは、システムを構成するソフトウェアやミドルウェア、ウェブアプリケーション、ネットワーク、OSなどに存在するセキュリティ上の脆弱性を可視化し、そのリスクや影響を評価する一連のプロセスのことです。
セキュリティ上の問題を把握するためのプロセスであるため、脆弱性診断は「セキュリティ診断」とも呼ばれます。
脆弱性診断の実施によりシステムにおけるセキュリティ上の弱点を把握することは、情報漏えいやサイバー攻撃被害などのリスクを未然に防ぐうえで大いに役立つでしょう。
脆弱性診断の特長は、比較的短期間で実施可能かつ、費用対効果が高い点です。ウイルス対策やOSのバージョンアップといった基本的な対策に次いで、重要なセキュリティ対策だといえます。
IT技術の進歩とともにシステムが日々複雑化している中、各デバイスや環境における脆弱性の増加と共に、サイバー攻撃のリスクが高まっています。そのため、脆弱性診断によってシステムの弱点を見つけだして早急に対策を講じることが重要です。
脆弱性とは?
ここでは、そもそも脆弱性とはどのようなものなのかを解説します。脆弱性とは、OSやソフトウェア、ネットワークなどに存在するセキュリティ上のリスク要因となる欠陥のことです。設計上のミスやソフトウェアのバグ、設定・管理の不備(例:パッチを適用していない、バージョンを更新していない)など、脆弱性が生じる原因は多岐にわたります。
ちなみに、脆弱性の類語として「セキュリティホール」があります。これは、OSやソフトウェアにおける設計上のミスにより、本来できない操作ができたり、第三者に機密情報が見えてしまったりするようなセキュリティ上の弱点を指す言葉です。
脆弱性を悪用する主要な攻撃手法としては「SQLインジェクション」「クロスサイトスクリプティング」「リモートファイルインクルージョン」などが挙げられます。
特に、不正な文字列を入力することでデータベースからの情報漏えいなどを狙うSQLインジェクションは発生頻度が高いため、SQLインジェクションに関連する悪用されやすい脆弱性は、優先的に対応が求められます。
また、ユーザーがテキストを投稿できる掲示板などのウェブアプリケーションでは、外部からのコード入力によって被害が発生するクロスサイトスクリプティングへの対策が必要です。
脆弱性診断を行う必要性・目的
脆弱性診断には、システムやソフトウェアに潜む脆弱性を見つけてリスクの高さを評価する目的があります。診断を通して高リスクの脆弱性が発覚した場合、その脆弱性を修正してセキュリティの強化を図ることで、サイバー攻撃などの被害を未然に防ぐことが可能です。
脆弱性診断の必要性が高まっている背景には、サイバー攻撃の多様化・高頻度化やITシステムの複雑化といった事情があります。また、ソフトウェアのアップデートが頻繁に行われてセキュリティ面の対策が追いつかないといったケースもあります。
近年のサイバー攻撃は、個人情報などの直接的な詐取だけでなく、ウェブサイトの改ざんといった形でも頻繁に行われます。ウェブサイトが改ざんされると、ユーザーへのウイルス感染やユーザーの個人情報の漏洩に伴う社会的信用の失墜など、企業は大きな被害を受けることになります。
IT技術の進歩にともない、現代社会は生活のいたるところにITシステムが存在しています。このような状況下で、安心して消費者にサービスを利用してもらうためにも、脆弱性診断などによってリスク要因を特定し対策することが強く求められています。
脆弱性を放置して情報漏えいなどの事故が起きてしまった場合、企業は煩雑な対応を迫られ、本来の業務に注力できなくなるでしょう。それだけではなく、SNSなどを通じて情報が拡散され、企業・ブランドのイメージが大きく損なわれるといった事態は免れません。
万が一のケースにおける損失の大きさを考慮すると、脆弱性診断を適切に行う必要性は十分あるといえるでしょう。
脆弱性診断を行わないリスク
ITシステムの脆弱性を放置することにより、企業は多くのリスクにさらされることになります。ここでは、脆弱性診断を行わない場合のリスクについて、具体的な例を3つ挙げて説明します。
サイバー攻撃を受けやすくなる
脆弱性を放置すると、会社のシステムやソフトウェアが悪意のある者によって外部からサイバー攻撃を受けやすくなります。
サイバー犯罪者は、通信の際にデータが暗号化されていないなどの脆弱性を目ざとく見つけて悪用します。そのため、脆弱性診断でシステム全体のセキュリティリスクを調査して、いち早く対策を講じることが重要です。
脆弱性を放置することは、家に例えるなら鍵をかけないままにしておいたり、故障した防犯装置を使用したりすることに似ています。不用心な家は泥棒に侵入されてしまうように、セキュリティ対策が十分でないシステムは常にサイバー攻撃の脅威にさらされています。
ネットワークは全世界とつながっており、すべてのシステムが世界中のサイバー犯罪者に攻撃されるリスクがあると忘れないでおくことが大切です。
ウイルス感染のリスクが高まる
サイバー攻撃では、マルウェア(malware)と呼ばれる悪意のあるソフトウェアやプログラムをシステムに忍び込ませ、多くの場合、個人情報の抜き取りやデバイスの乗っ取りなどを狙います。
マルウェアには「トロイの木馬」や「ワーム」などいくつかの種類がありますが、最も一般的なのは「(コンピュータ)ウイルス」と呼ばれるものです。プログラムの一部を改ざんしてシステムに潜り込み、病気におけるウイルスのように自己増殖してほかのシステムへ伝染していくことからこの名が付けられました。
システムがウイルスに感染すると、そのシステムを利用した顧客にまで被害がおよぶため、感染を未然に防ぐことが重要です。
人間が健康診断を受けるように、システムも脆弱性診断によって健全な状態を維持する必要があります。
会社全体がダメージを受ける恐れがある
脆弱性の放置によってシステムがサイバー犯罪者の標的となり、ウイルス感染や不正アクセスなどの攻撃を受けると、その会社はウェブサイトの改ざんや機密情報の漏えいといった損害を生じます。
この事態を収拾するために、会社は業務を停止する必要が生じ、その結果として売り上げ減少などの直接的なダメージを受けるでしょう。また、不正に入手された個人情報などを基に、身代金を要求するようなランサムウェアの脅威にさらされる恐れもあります。
さらに、情報漏えいなどによって会社の社会的信用が失墜して顧客が離れていくことも考えられます。このように、脆弱性を放置することにより会社全体が大きなダメージを受ける恐れがあるため、早い段階でのセキュリティ強化が必要です。
脆弱性診断の種類とその診断対象
脆弱性診断にはいくつかの種類があり、おもに「ウェブアプリケーション診断」「プラットフォーム診断」「クラウド診断」「ソースコード診断」の4種類が挙げられます。また、混同されることの多い「ペネトレーションテスト」と脆弱性診断の違いも押さえておきましょう。
ここからは、ペネトレーションテストと脆弱性診断の違いに加え、上記4つの診断の概要とその診断対象を紹介します。
ペネトレーションテストとの違い
脆弱性診断と同じく、システムのセキュリティを確認する方法にペネトレーションテストがありますが、それぞれ目的やアプローチが異なります。以下は両者の目的・方法・調査対象を比較した表です。
| 目的 | 方法 | 調査対象 | |
|---|---|---|---|
| 脆弱性診断 | システムの脆弱性を特定し、ランク付けなどを行うこと | 既定の診断項目を基に、ツールまたは手動で脆弱性を網羅的に調査する | システム全体 |
| ペネトレーションテスト | 実際に攻撃が可能であるかどうかを確かめ、特定の脆弱性を発見すること | 対象のシステムと周辺環境を専門家が調査したうえで、作成したシナリオに沿って攻撃を実施する | 検証内容によって異なる |
脆弱性診断は、多様な脆弱性を想定してシステム全体の診断を行う方法です。一方のペネトレーションテストでは、現実的な攻撃シナリオを想定したうえで実際にシステムへの侵入を試み、問題点を見つけてセキュリティの強化を図ります。
このように、脆弱性診断とペネトレーションテストは目的や方法が異なるため、把握したいリスク要因に応じて使い分けることが大切です。
ウェブアプリケーション診断
ウェブアプリケーション診断では、日常の業務などで利用する機会が多く、サイバー攻撃によって狙われやすいウェブアプリケーションやウェブサイトを対象として脆弱性を診断します。
ウェブアプリケーション診断の調査対象は、ECサイトやSNS、ゲーム、バックオフィスなどのすべてのウェブアプリケーションです。ウェブアプリケーションにはニーズに応じて幅広い機能が実装されており、脆弱性が見つかるポイントも多様なため、ウェブアプリケーションごとに柔軟な診断が求められます。
ウェブアプリケーション診断には、SQLインジェクションやクロスサイトスクリプティングに悪用され得る脆弱性を調査して情報漏えいやデータ改ざんなどの被害を未然に防ぐ目的があります。
プラットフォーム診断
サーバーやネットワークなどを対象として脆弱性の有無を調査するのがプラットフォーム診断です。具体的には、ネットワーク機器の状態や稼働中のサービスに対する安全性、OSにおける既知の脆弱性への対応などを検査します。
プラットフォーム診断は大きく「リモート診断」と「オンサイト診断」の2種類に分けられます。インターネットを通じて外部からシステム全体の脆弱性を調査することがリモート診断、社内で構築されているネットワーク内から問題点を調査することがオンサイト診断です。
新規のウェブサービスをリリースする際や、前回行った脆弱性診断から1年以上経過している場合などは、プラットフォーム診断の実施が推奨されます。
クラウド診断
クラウド診断は、利用しているクラウドプラットフォームについて、設定の不備などがないかどうかをチェックするサービスです。
クラウドサービスは提供されているサービスも多様で設定内容も幅広く、その設定を誤るとトラブルにつながる恐れもあります。例えば、社内向けのストレージ情報を誤って公開設定としてしまい、機密情報が漏えいしてしまうこともあるでしょう。
クラウド診断によりセキュリティの観点から設定状況を確認して、会社にとって不利益が生じる事態を未然に防ぎます。
ソースコード診断
ソースコード診断では、アプリケーションなどを動作させているプログラムに問題がないかどうかをコーディングレベルで解析して診断します。
ソースコードを参照せず、アプリケーションをさまざまなパターンで動作させた上でその振る舞いから調査する脆弱性診断を「ブラックボックステスト」、ソースコード診断を「ホワイトボックステスト」とも呼びます。
ソースコード診断を行えば、ブラックボックステストでは検出することが困難な脆弱性も検知可能であり、開発プロセスにおける手戻りが減る効果などが期待できるでしょう。
脆弱性診断のやり方
脆弱性診断のやり方には「ツール診断」と「手動診断」の2種類があります。以下にそれぞれのメリット・デメリットを簡単に紹介した表を示します。
| メリット | デメリット | |
|---|---|---|
| ツール診断 | ・コストを抑えて短期間で導入できる ・好きなタイミングで一度に広範囲を診断できる |
・複雑なシステムの場合、細部まで診断できない |
| 手動診断 | ・高い精度で診断できる ・複雑なシステムにも対応できる |
・診断結果が出るまでに時間が掛かる ・費用が高い |
脆弱性診断では、まずツール診断を実施してから、必要に応じて手動診断の実施を検討するのが基本です。事前にツール診断を行うことによって、手動診断にかかるコストと時間を減らせます。
ここからは、ツール診断と手動診断の特徴を詳しく説明します。
ツール診断
専用の診断ツールを使用して脆弱性を診断するツール診断は、短期間で安価に導入できる点が最大の特徴です。あらかじめ決められた脆弱性の項目を最短5分程度で診断が完了するサービスもあるほか、一度ツールを購入したあとは自社での運用も可能です。
ツール診断では、システムに対して機械的に擬似的な攻撃を行い、網羅的に脆弱性を特定します。ウェブブラウザなどから手軽に操作できて、大量のパターンを好きなタイミングで診断可能であることも魅力の一つです。
ツール診断の難点として、構成が複雑なシステムを細部まで診断できないことが挙げられます。また、診断結果を読み取る際に専門的な知識が求められる点にも注意が必要です。
ツール診断は、個人情報を扱わないウェブサービスやコーポレートサイトなどで推奨されています。
手動診断
手動診断は、セキュリティ診断の専門家が自ら脆弱性チェックを行う方法です。専門のエンジニアがシステムにアクセスして、複雑な構成であっても細部まで脆弱性を確認します。仕様設計上のミスに起因する脆弱性など、ツール診断では見落としがちな脆弱性もカバー可能で、より高精度な診断が期待できます。
手動診断の難点は、検査できる範囲が限られ、コストも高いことです。広範囲を素早く診断してほしい場合、手動診断は必要ないでしょう。
しかし、ECサイトのような個人情報を豊富に扱うウェブサイトやウェブサービスに関しては、情報漏えいなどのリスクに備えなくてはなりません。これらの脆弱性を診断する際は、高精度な手動診断をおすすめします。
脆弱性診断サービスの選び方
脆弱性診断サービスを選ぶ時は、診断可能な範囲やアフターフォローの内容、費用、実績などを比較検討することが重要です。ここからは、脆弱性診断サービスを選ぶ際のポイントを4つ紹介します。
診断の範囲・深度
脆弱性を診断可能な範囲はサービスごとに異なるため、調べたい項目や診断の目的は事前に確認しておく必要があります。SQLインジェクションやクロスサイトスクリプティングなど、各サービスで診断可能な脆弱性を調べたうえで、目的に合ったサービスを選ぶことが賢明です。
また、診断内容の深度も重要なポイントです。基本的には、ツール診断よりも手動診断のほうがシステムの細かい部分まで診断してもらえます。ツール診断でも網羅的な診断は可能ですが、より入念な診断が必要な場合は、専門家が自身の経験に基づいて精密な検査を行う手動診断を併用するとよいでしょう。
アフターフォロー
脆弱性診断のあとで、セキュリティの改善策を提示してくれるなどのアフターフォローも判断材料の一つです。サービスによっては、専門家のアドバイスにしたがってシステムを改善したあと、再び脆弱性診断を実施してくれる場合もあります。
診断後に専門家のサポートが受けられるか、報告書を作成してくれるかなど、アフターフォローの内容も事前に確認しておき、サービス選定の判断材料にするとよいでしょう。
費用
脆弱性診断で同じ項目を診断する場合でも、掛かる費用はサービスによって異なる場合があります。無料で利用できる簡易なものから、数百万円ものコストが掛かるサービスまであります。また、年に数回の診断を実施可能なプランなど選択肢は多様です。
脆弱性診断を行う際は、各サービスの診断内容と費用を比較して、コストパフォーマンスの高いものを選ぶことがおすすめです。どの項目をどの程度の頻度で診断したいのかを先に確認しておけば、余計な出費を避けることができます。
実績
脆弱性診断のツールを選ぶ際は、過去の導入実績を確認することも大切です。サービスごとに強みとするポイントは異なるため、自社のサービス領域に対応できるツールを選ぶとよいでしょう。選ぶ際のポイントとして、同業種での導入実績が豊富で評判がよいサービスなら、高品質な診断を受けられる可能性が高いといえます。
まとめ
昨今、ITシステムはその複雑さが増してサイバー攻撃も多様化しており、脆弱性診断の必要性は年々高まっています。
脆弱性診断にはいくつかの種類があり、その方法もツール診断と手動診断の2つに分けられます。診断の目的や検査したい項目などをあらかじめ確認したうえで、適切なサービスを選ぶことが重要です。
アフターフォローや実績が充実した脆弱性診断のサービスを導入して、セキュリティの不備によるサイバー攻撃の被害を未然に防ぎましょう。
楽天モバイルのサイバーセキュリティサービス
【安心セキュリティ定期健診(ASM/脆弱性診断)】なら企業様のIT資産を簡単に診断し、診断結果に対して最適なソリューションをご提案いたします。
- この記事をシェアする
