IT企業のセキュリティ対策の重要性が日々増している中、自社のシステムが安全に運用できているかどうか確かめておくのは、重要な業務の1つです。
そんなシステムの安全性を検証する方法の一つに「脆弱性診断」があります。
脆弱性診断とは、システムを構築しているコンピュータやネットワークを調査し、脆弱性を含めた様々なセキュリティリスクを発見するサービスのことです。
この記事では、脆弱性診断の概要や必要性、具体的な内容について紹介します。
また、企業が実施するべき対策がわかるセキュリティチェックシートを無料で配布しています。ぜひご活用ください。
脆弱性診断とは
脆弱性診断とは、ネットワーク、OS、ミドルウェアやWebアプリケーションなどに脆弱性がないか診断することです。脆弱性とは、そのシステムにおけるセキュリティ的な弱点のことを指す言葉で、システムを構築しているプログラムのバグとも言えます。
脆弱性を放置したままシステムを使い続けることは、非常に危険です。
システムのリリース時や更新時には、必ず脆弱性診断を実施して、脆弱性を特定し修正するようにしましょう。脆弱性を常に探し、その修正をすることで、もしサイバー攻撃の標的にされても、脆弱性を悪用した被害を未然に防ぐことができます。
また脆弱性が発見されても、修正プログラムが存在しない場合は、修正プログラムがリリースされるまで、そのシステムを使わないようにしましょう。
脆弱性診断とセキュリティ診断の違い
脆弱性診断とセキュリティ診断は、どちらもシステムのセキュリティを評価する手法ですが、その目的とアプローチは違います。
脆弱性診断は、先述した通り、ネットワークやOS、ミドルウェア、Webアプリケーションなどの悪用可能性のある弱点を探し出し、セキュリティ状況を確認する作業です。
反対に、セキュリティ診断は、サーバーやアプリの欠陥を検出することです。主にOS・ミドルウェア・Webアプリケーションが検査の対象となります。
脆弱性診断に近い概念としてペネトレーションテストがあり、ペネトレーションテストはシステムに直接アクセスし、現実的な攻撃シナリオを用いて問題箇所を特定し、サイバー攻撃を防ぐ手段となります。
脆弱性はサイバー攻撃の標的に
インターネット上に存在する悪意のある攻撃者は、様々な方法でシステムの脆弱性を狙ってきます。
例えばECサイトなどのWebサイトや、自社で開発したシステムなどでは、コンピュータ上で様々なプログラムが動作しており、データベースと連携して動作していることもあります。
このような頻雑なプログラムで動作しているシステムはバグが発生しやすく、それが脆弱性になってしまい、攻撃者にとって隙を与えることになりかねません。
攻撃者はインターネットを経由して、自社のシステムに侵入しウイルスに感染させ、機密情報や金銭を窃取することを主な目的としています。
自社のシステムがウイルスに感染した場合、自社が被害者となるだけでなく、自社から他社へとウイルスを感染させる媒介となってしまうこともあります。
また、自社のコンピュータが乗っ取られてBotとなり、DDoS攻撃の攻撃源として悪用されることも考えられます。そうなってしまった際の会社の信頼の低下による業績の影響は、はかり知れません。万が一の状態に備えて、脆弱性の修正をすることが重要です。
脆弱性診断(セキュリティ診断)の必要性
脆弱性診断の目的は、セキュリティの穴である脆弱性を発見し、サイバー攻撃のリスクを減らすことです。
また、それに加えて自社システムの脆弱性を知ることによって、何を修正すればいいか、そしてどんなサイバー攻撃を対策すればいいか分かります。
自社システムに脆弱性があると、情報の流出やセキュリティ攻撃への悪用に使われかねません。
そこで、事前にシステムの脆弱性診断をしておけば、セキュリティ事故に繋がるリスクを低減できるため、結果的にセキュリティ対策コストを低減させることが可能です。
セキュリティ対策として、一般的なセキュリティソフトの更新や、各種ソフトウェアへのセキュリティパッチの適用をルール化している企業もあるでしょう。
しかしそれらだけでは脆弱性対策としては不十分です。
なぜなら、ソフトウェアやミドルウェアには日々新たな脆弱性が発見されており、セキュリティパッチがリリースされていたとしても、システムの管理者やユーザーが最新のパッチを適用させているとは限らないからです。
対策しているつもりでも、セキュリティリスクがある可能性は0ではありません。なので、脆弱性診断は、いち早く企業として取り入れるべきです。また脆弱性が発見されていても、セキュリティパッチのリリースが遅れている状況も考えられます。
脆弱性の発見と対策のタイムラグを悪用したサイバー攻撃は「ゼロデイ攻撃」と呼ばれており、深刻な問題となっています。
ゼロデイ攻撃については、「ゼロデイ攻撃の内容と対策とは?修正プログラム提供前に脆弱性を攻撃!」で詳しく解説しているので、ご覧ください。
また、ゼロデイ脆弱性については「ゼロデイ脆弱性とは?その危険性や例、対策方法などを解説」をご覧ください。
ここまで説明した通り、しっかりとした脆弱性対策を施すのは、難しいことなのです。
より強固なセキュリティを実現するには、外部のセキュリティの専門家による脆弱性診断を受ける必要があります。
その理由は、自社による対策だけでは不十分な箇所も、専門家が攻撃者の視点で脆弱性診断を行うことで、発見の難しい脆弱性を解消し、サイバー攻撃の被害に遭う可能性を減らすことができるからです。
脆弱性診断(セキュリティ診断)の内容とは
最近では、脆弱性診断専用のツールを使った診断も多く活用されています。ツールを使った診断は、比較的低コストなので、自社に予算がない場合はツール診断を選択すると良いでしょう。
しかし、しっかりとセキュリティ対策をするならセキュリティ専門のエンジニアによる直接診断が必要です。
コーポレートサイトやキャンペーンサイトなど、それほど複雑ではないWebサイトの診断ではツールを使った診断で事足りますが、ECサイトのように複雑なWebサイトや、機密情報、個人情報など重要な情報を取り扱っているWebサイトは、セキュリティ専門のエンジニアをアサインして直接診断を行ったほうが良いでしょう。
脆弱性診断の内容は具体的には以下です。
| 診断方法 | 見るべきポイント | |
|---|---|---|
| Webアプリケーション 脆弱性診断 | セキュリティのスペシャリストによるマニュアルの検査・ソースコードの診断や分析 | 設計や開発の不備によるセキュリティリスク |
| ネットワーク脆弱性診断 | インターネット経由のリモート診断と、イントラネット内からのローカル診断 | サーバーやネットワーク機器の設定ミスや脆弱性によるリスクの可視化と対策 |
| スマートフォンアプリケーション脆弱性診断 | クライアントとサーバーの両方のアプリケーションの診断と、セキュア開発ガイドラインの提供 | サーバー上のアプリケーションとスマートフォンにインストールされたアプリケーションの両方のセキュリティ上のリスク |
| IoTセキュリティ脆弱性診断 | IoTデバイス、スマートフォンアプリケーション、Webアプリケーション、ネットワークの各レイヤにおける攻撃者視点でのセキュリティリスク診断 | IoTシステムの各レイヤのセキュリティリスクの可視化と脆弱性の対策 |
| セキュリティ事故予防訓練 | 疑似的なマルウェアや標的型攻撃メールを使用した疑似体験による現状評価 | クライアント環境におけるセキュリティ耐性 |
| セキュリティポリシー診断 | セキュリティ対策チェックシートへの回答結果による、課題と対策の提示。既存のセキュリティポリシーを踏まえた改善方法の分析と診断 | 内部運用、アプリケーション、サーバー、クライアントの4つ観点の外部脅威と内部脅威の診断 |
| エンドポイント診断 | セキュリティパッチの適用状況やアプリケーションのバージョンの確認 | 情報漏えいや標的型攻撃によるリスクの分析と診断 |
脆弱性診断(セキュリティ診断)の頻度はどの程度にすべきか
インターネットを介して発生する侵入やサービス妨害といった、インシデントの報告を受け、対応の支援、発生状況の把握、手口の分析、再発防止のための対策の検討や助言などを、技術的な立場から行なうJPCERT/CC(Japan Computer Emergency Response Team Coordination Center)が「Webサイトへのサイバー攻撃に備えて」内で適切な頻度を発表しています。
システムの内容にもよりますが、一般的には1年に1回程度の定期的な脆弱性診断と、システムに変更が実施された場合の都度実施が良いとされています。
自社で診断できる項目でしたら、自社で対応すれば良いのですが、自社で適切に診断できない項目や、技術的に難易度の高い項目については、サーバー事業者やセキュリティ企業と相談して実施することをおすすめします。
脆弱性診断(セキュリティ診断)の導入事例
脆弱性診断の導入事例として、株式会社イエラエセキュリティの事例を3つ紹介します。
ECサイトの脆弱性診断(大手ECサイト企業)
ECサイトでは、ネットワークを経由した不正な値の入力のチェックや、リクエストの改ざん、不正コードの挿入などの疑似的な攻撃による診断を行いました。診断の結果、個人情報の漏えいのリスクがある脆弱性を発見し、攻撃を未然に防止することができました。
ちなみに、ECサイトに関しては、経済産業省が2023年1月20日に発表した、ECサイトの脆弱性対策と本人認証の仕組みを導入することを義務化する方針が固められています。
2024年3月末までに、すべてのECサイトが脆弱性対策と本人認証を導入することを、検討会の報告書案に盛り込まれていました。
SNSアプリの脆弱性診断(SNSサービス運営会社)
iOSアプリの開発中に、Android版の開発が急遽決定し、自社で脆弱性診断を行う時間が確保できなかったため、脆弱性診断を依頼されました。
JSSECのセキュアコーディングガイドやOWASPMobileTop10などのセキュリティガイドラインに従って診断を行った結果、「WebViewを通じたローカルファイルの漏えい」などの致命的な脆弱性を未然に防ぐことができました。
コワーキング施設のネットワーク脆弱性診断(官公庁)
コワーキング施設の開所にともない、利用者が安全にネットワークを利用できるかどうか確認するために診断を行いました。
新型コロナの影響もあり、直接診断できなかったため、東京にあるサイバートラスト株式会社とコワーキング施設をリモートで接続して脆弱性診断を行いました。
診断の最中に、中レベルの指摘事項が発見されましたが、リアルタイムで対応でき、診断は順調に進みました。
主な脆弱性診断(セキュリティ診断)サービスの紹介
では、脆弱性診断サービスは、具体的にどんなものがあるのか、紹介します。
OWASP ZAP【無料】
無料で使えて、誰でも操作がしやすいことで評価の高い、Webアプリケーション脆弱性診断ツールです。
世界基準で利用されているオープンソースを利用しているため、インターフェイスが最もわかりやすく、ITの知識がなくてもかんたんに脆弱性を洗い出すことができるのが強みです。
また、実際に脆弱性が発生してしまった時に備えての実践を踏むことができる診断練習用サイトも使用可能です。
脆弱性診断というものの理解を深めることができるのが、OWASP ZAPの大きな特徴です。
Web Doctor
日本RA株式会社が提供するWeb Doctorは、SaaS型の診断用ツールを利用したWebサイトの自動脆弱性診断サービスです。
外部のネットワークからインターネット経由で疑似攻撃を行う形で診断するため、かんたんな申込みだけで、すぐに診断を開始できます。
また、SaaS型サービスのため、Webサーバーへのアプリケーションのインストールや専用ハードの設置などは一切不要、低コストで診断が可能です。 また、診断開始からレポート提出まで3~5営業日のスピード診断が可能なのが、WebDoctorの大きな特徴です。
AEGIS-EW(イージスEW)
株式会社 未来研究所が提供する、AEGIS-EW(イージスEW)は、専門知識不要で運用できる総合サイバーセキュリティ脆弱性診断ツールです。
サイバーセキュリティの専門的な知識を持たない方でも、ひと目で脆弱性が判断できます。
世界標準であるCVSS(Common Vulnerability Scoring System、日本語では「共通脆弱性評価システム」と呼ばれる )に応じた深刻度を、色を使ってビジュアル化し、直感的なUIで使いやすいです。
また、「脆弱性診断漏れ」を防ぐASM (Attack Surface Management)のパッシブスキャン (Passive Scan)と呼ばれるサーバ調査方法を採用し、メインドメインに関連する「すべてのサブドメイン」を洗い出せるのも、大きな特徴と言えるでしょう。
IssueHunt
IssueHunt株式会社が提供するIssueHuntは、成果報酬型で脆弱性診断を実施できる「バグバウンティ」と「脆弱性報告窓口」を実施できるプラットフォームです。
バグバウンティとは、脆弱性を発見した人に対し報奨金を支払う仕組みなので、そもそも脆弱性が見つからなければ、費用が掛からないという仕組みです。
そのため、余分な費用を抑えつつ、脆弱性を効率的に対処しながら、顧客情報や情報資産をサイバー攻撃やハッキングから守ります。
既存の対策では検知できなかった、未知の脆弱性をあぶり出せるのが、他のサービスにはない特徴といえるでしょう。
まとめ
脆弱性診断について詳しく紹介しました。
脆弱性が存在していることで、サイバー攻撃の発生時に不正アクセスやWebサイトの改ざんなどの被害が発生し、金銭的な被害だけでなく、自社の社会的信用も失われてしまいます。
セキュリティ対策にかける費用は、コストではなく投資と考えるべきです。
もし自社でセキュリティ対策を何も行っていないのであれば、まずは脆弱性診断から検討してみてはいかがでしょうか。
