ここではサイバーセキュリティリスクへの対策OODAループの中のOrient(状況判断)として行う脆弱性診断について解説。その必要性や注目ポイントなどをご紹介します。
脆弱性はセキュリティホールとも呼ばれ、プログラムやシステム設計上での欠陥のことです。脆弱性をそのまま放置するのは、家の鍵が壊れても修理せず開放しているのと同じなので、攻撃者の不正アクセスターゲットになります。
システムの脆弱性には種類があるので、サイバー攻撃から守るためにはどこにセキュリティ上の穴があるのか特定が必要でこれを脆弱性診断と言います。脆弱性に関する情報が調査機関から公開されているかチェックも必要です。
脆弱性診断(セキュリティ診断)とは?
目的や必要性について詳しく見る
脆弱性があると攻撃者から悪用され、不正アクセスにより情報漏洩のリスクが高まります。また不正操作を目的とした攻撃によりシステムが乗っ取られたり、ホームページデータの改ざんや他システム攻撃の踏み台に使われる可能性もあります。
そうしたセキュリティ上のリスクを低くし、穴を塞ぐために脆弱性診断が必要となるのです。脆弱性を突かれてウイルスに感染してしまえば、被害は拡大していくばかり。取引企業も巻き込むような事態になると経営や信用問題にも発展してしまいます。
OSやファームウェアは開発元から脆弱性を塞ぐためのアップデートファイルが提供されます。脆弱性診断に入る前に、更新情報などからシステムが最新の状態かどうか確認しましょう。脆弱性を突かれてサイバー攻撃を受けてしまう企業には、こうした更新・アップデート作業が遅れたことが原因となるケースも少なくありません。
脆弱性のチェックは専用ツールにより自動診断を行うケースと、人による手動診断の2種類があります。
ツール診断はボタンひとつで脆弱性チェックができるので手間や時間がかかりませんが、複雑なシステムは誤診する可能性があります。手動診断は精度が高く、設計上の不具合も発見できますが時間と費用が高くなる傾向があります。
どちらが優れているとは一概には言えません。提供企業へ相談をするのが確実だと言えるでしょう。
システムはアプリケーションとその土台となるOSなどのプラットフォーム、そこに接続するスマホやタブレット端末などが組み合わさって動作します。脆弱性はそれぞれに存在するため、どこを診断するか対象を明確にすることが必要です。どこを攻撃されても脆弱性に対応できているか丁寧にチェックすることがセキュリティ向上につながります。
脆弱性診断に終わりはありません。その時点では完璧であっても、アプリケーションの機能が追加されたりOSのバージョンアップなどがあると新たな脆弱性が発生するからです。また脆弱性に関する情報も増えていきます。
OODAループの中でも重要な位置づけになるためチェックと情報収集は常に心がけておきましょう。また。本サイトの監修者であるアルファネットはセキュリティ対策のアドバイスも行っているので、相談先の一つに加えておくとよいでしょう。
【Decide(意思決定)】
IDおよびアクセス管理を導入する
当ページの監修協力であるホワイトハッカーが所属する株式会社アルファネット。事務機器用品を中心とするカタログ通販サービス「たのめーる」が有名な大塚商会のグループ企業です。
大塚商会はコンピュータ・ネットワーク関連のシステムインテグレーション事業や、コンピュータ機器の保守、アウトソーシングのサービスも中核にしており、その中でアルファネットはサイバーセキュリティ対策の専門グループ企業として活躍しています。
巨大なデータベース・ネットワークを日々守り続けているのは、ホワイトハッカーの主導による正確な診断と、ツールによる包括的な診断によるもの。大塚商会のグループ企業や顧客を中心に、そのサービスを提供してきました。
またメール訓練など、社員育成の提供にも力を入れています。
ペネトレーションテスト(Webアプリケーション侵入試験)/標的型メール訓練サービス/情報セキュリティ教育/CSIRT構築/クラウド型WAFサービス/セキュリティ診断サービス/ランサムウェア対策調査サービス
悪意のある命令を実行できる
脆弱性の特定は、本来は対象となるシステムをリリースする前に実施することが望ましいといえます。まずは要件定義の段階でセキュリティ要件を明確にし、対策すべき範囲(アプリケーションを対象とするのか、プラットフォームを対象とするのか、もしくは両方なのかなど)や脆弱性を明確にしておくことが重要となります。
この段階では実際に脆弱性の特定を行います。脆弱性の特定には、手動による検査とツールによる検査の2種類があり、以下のような特徴があります。
手動:詳細な検査が可能だが高度な知識と時間が必要
ツール:手動に比べ短時間で検査可能だが精度は低い
これらには専門的な知識が必要となるため、検査をアウトソースすることも考えられます。