企業をサイバーセキュリティのリスクから守る『OODAセキュリティ』 » 脆弱性診断(セキュリティ診断)

脆弱性診断(セキュリティ診断)

脆弱性診断(セキュリティ診断)とは

脆弱性診断(セキュリティ診断)

「脆弱性診断(セキュリティ診断)」では、ネットワークやOS、ミドルウェア、Webアプリケーションなどに、脆弱性がないかを診断します。

ちなみに「脆弱性(ぜいじゃくせい)」とは、WebアプリケーションやWebサイトの設計・開発を行う中で発生してしまうセキュリティ上の弱点や欠陥を指します。WebアプリケーションやWebサイトは人間が設計・開発する以上、不具合や欠陥の発生を完全に無くすのは難しいといえますが、このような脆弱性を放置してしまうと、悪意ある第三者から攻撃を仕掛けられる可能性が高くなります。もし攻撃を受けてしまった場合には、企業や団体などが保有する重要な情報や機密情報、個人情報が搾取されてしまい、大きな被害を受けるケースも考えられます。

このように、さまざまな攻撃につながってしまう脆弱性がないかを診断するのが「脆弱性診断」です。診断を行い、セキュリティの状態を確認することにより、悪意ある攻撃や情報漏洩につながる事故などの防止につなげられます。

引用元:アルファネット公式YouTube
https://youtu.be/ABZ9McSB5sE

脆弱性診断(セキュリティ診断)の目的

脆弱性診断(セキュリティ診断)を行う目的は、ソフトウェアやシステムにある脆弱性を網羅的に検出することであるといえます。悪意ある攻撃者は、脆弱性やセキュリティ上の不備を狙って攻撃を仕掛けてくるため、攻撃の侵入口となってしまう脆弱性を見つけることは、今後対策を行っていく上でも非常に重要であるといえるでしょう。

診断により発見された脆弱性は、「共通脆弱性評価システム(CVSS)」をはじめとする指標で評価されます。CVSSとは、ソフトウェアやシステムにおける脆弱性の深刻度を評価する国際的な指標です。このような指標を用いて必要な対策を講じるのに役立てていきます。

脆弱性診断(セキュリティ診断)の必要性

現在、パソコンやインターネットは私たちの生活に欠かせないものとなっています。そのため、脆弱性診断をはじめとするセキュリティ対策を行うことは、企業にとってサービス利用者の安全を守り、事業を継続するために必要なものであるといえます。

もし、第三者に脆弱性を見つけられ悪用された場合には、個人情報や機密情報の漏洩が発生する、システムがダウンするなどさまざまな被害の発生が考えられます。その場合には、まず影響が及んでしまった各方面への対応が必要になります。そうなると対応に要する費用が莫大なものになる可能性もありますし、企業イメージの低下も招きかねません。

脆弱性診断を行っておけば、情報セキュリティの観点から問題となる点を見つけられますので、対策を行うことによって企業のセキュリティリスクを抑えられます。サイバー攻撃は日々進化していますので、企業にとって脆弱性診断は非常に重要なものであるといえます。

脆弱性診断(セキュリティ診断)を
行わないリスク

悪意ある第三者から狙われやすくなる

脆弱性診断を行わないことは、「自社のシステムやネットワークにどのような脆弱性があるか」を把握できていない状態であり、悪意ある攻撃者にとっては「攻撃しやすい状態」であるといえるでしょう。このような状態の場合、情報漏洩やなりすましなどの被害に遭ってしまう可能性が高いといえますが、もし攻撃に遭った場合には顧客情報の流出などが発生する可能性もあります。

このように、現在ある脆弱性を把握していない状態ではセキュリティの強度を高めるのは難しいといえます。だからこそ脆弱性診断を行い、必要な対策を行うことが非常に重要です。

不正アクセスや情報漏洩に気付けない可能性がある

脆弱性を放置することは、その企業がセキュリティに関して危機感を持っていない状態であるともいえます。このような状態だと、もし不正アクセスを受けたり、情報漏洩が発生した場合にも被害に気付けなかったり、気付くタイミングが遅くなる可能性もあります。

もし被害に気付いていない場合、自社の被害が拡大するのはもちろんですが、そこから被害が拡大していく可能性も考えられます。例えば、第三者から不正アクセスを受け、サイトの閲覧者を悪意あるサイトへ自動的に誘導するようにサイトが改竄されていた例もあります。

このような場合、早めに対応を行わないとさらなる被害の拡大も十分に考えられますので、脆弱性診断を行って早めに対策を行っておくことが大切です。

脆弱性診断(セキュリティ診断)の対象

Webアプリケーション診断

企業が開発したWebアプリケーションにおける脆弱性を発見するための手法を、「Webアプリケーション診断」と呼びます。Webアプリケーション診断は、ECサイトやSNS、ゲームアプリなどWeb上で使用できるアプリケーション全てが対象となり、非常に幅広い範囲を対象としている点が特徴といえるでしょう。

またWebアプリケーションは、ユーザーのニーズに合わせて多彩な機能が実装されていることから、発見される脆弱性が各アプリケーションによって異なります。さらに、開発に使用されているプログラミング言語も異なるため、それぞれのアプリケーションに応じた診断が求められます。

Webアプリケーション診断
について
詳しく見る

プラットフォーム診断(ネットワーク診断)

プラットフォーム診断は、サーバやネットワーク機器等においてセキュリティ上の問題点がないかを診断するものです。企業のプラットフォームに脆弱性がある場合には安全に使用できないため、こちらも企業にとって非常に重要性の高い診断であるといえるでしょう。

プラットフォーム診断は、主にネットワークの内側と外側から診断を行います。このことにより、ネットワークに接続するサーバの脆弱性やアクセス制限の診断に加え、内部ネットワークに接続している機器についても脆弱性の診断を行えます。

プラットフォーム診断
(ネットワーク診断)について
詳しく見る

脆弱性診断(セキュリティ診断)の実施方法

手動診断

手動診断とは、セキュリティエンジニアなど、サイバーセキュリティの知識を持った人の手で脆弱性診断を行う手法です。人の手で診断を行っていくことから、それぞれのお客さまの環境に対して柔軟な対応が可能。例えば設計上のミスが原因で発生する脆弱性のように、機械的に発見が難しい脆弱性についても発見できる点も特徴です。

ただし、手動診断は人の手で行うことから作業時間・コストが多くかかる面があります。そのため、場合によっては予算や要件などに合わせてツール診断との併用も選択肢のひとつとして考えられるでしょう。

手動診断のメリット

  • 専門のエンジニアが診断を行うため、精度の高い診断ができる
  • 顧客のシステム環境に柔軟に対応ができる
  • テスト実施者の経験・知見を活かした検証が行える

手動診断のデメリット

  • 診断結果が出るまでに時間がかかる
  • 診断のための費用が高額になる傾向がある
  • 診断を行う担当者の経験やスキルによって診断の質が変わる場合がある

ツール診断

診断ツールを使ってシステムやアプリケーションの脆弱性を診断する方法です。膨大な量の診断を行う場合でも、短時間で脆弱性診断を実施できます。中にはWebブラウザから使用できるものもあり、手頃に診断を行える点が大きなメリットといえるでしょう。

ただし、複雑な構成のシステムやアプリケーションの場合にはツール診断を行うのが難しいケースがある点が、あらかじめ注意しておきたい部分といえます。

ツール診断のメリット

  • 短期間で広範囲の診断を行える
  • 比較的安価で診断を行える
  • Webブラウザから診断できるツールもあり、気軽に診断が可能

ツール診断のデメリット

  • 複雑なサイト構成の場合は細部まで診断するのが難しい
  • 誤検知が発生する場合がある

脆弱性診断(セキュリティ診断)と
ペネトレーションテストの違い

脆弱性診断(セキュリティ診断)と混同しがちなものとして、ペネトレーションテストがあります。ペネトレーションテストは、日本語では「侵入テスト」と訳され、脆弱性診断とは目的や手法が異なります。

脆弱性診断は、システムを構成するネットワークやOS、ミドルウェア、アプリケーションなどに脆弱性がないかを診断するものですが、ペネトレーションテストは実際に受ける可能性がある攻撃を想定し、その攻撃にどれだけ耐えられるかなどについてテストを行います

ペネトレーションテストの目的

ペネトレーションテストは、攻撃者が脆弱性を悪用することで目的を達成できるのかどうか、という点の検証を目的としています。例えば、メール添付ファイルやURLのクリックなどからの侵入を想定したセキュリティ対策が十分か、またその場合に受ける被害レベルの調査などを行います。

ペネトレーションテストの対象

ペネトレーションテストの対象は、ネットワークやPC、サーバーやシステムなどが挙げられます。これらの調査対象に応じて脅威シナリオの作成を行い、さまざまな攻撃を行っていくことでテストを進めていきます。

ペネトレーションテストの実施方法

ペネトレーションテストを行う際には、想定されるシナリオに沿ってシステムに攻撃を仕掛け、侵入を試みる方法を用います。この点からペネトレーションテストは「侵入テスト」と呼ばれることもあります。実際にサイバー攻撃を仕掛けられた場合に、実施しているセキュリティ対策がどこまで耐えられるかなどの評価を行い、課題を洗い出していきます。

この場合、実際の攻撃と同じ手法でテストを行うことがポイントとなってくるため、専門の技術者が提供するサービスを用いるケースが多いといえます。

脆弱性診断(セキュリティ診断)と
ペネトレーションテストの違いについて
より詳しく見る

脆弱性診断(セキュリティ診断)の費用相場

脆弱性診断を実施する際の費用相場は非常に幅が広いといえます。

例えば手動診断の場合の費用相場は、「数十万から数百万円ほど」となっています。これは、実際に診断を行う対象の規模や機能によって大きく変動します。一方、ツール診断を行う場合の費用相場は「無料から数十万程度」となっています。

このように、実施する診断方法によっても費用が大きく変わってきますが、当然診断できる内容・範囲などにも差がありますので、診断を行う場合にはその内容についてもあらかじめ確認しておくことが大切です。

アルファネットの
脆弱性診断(セキュリティ診断)項目

サイバーセキュリティ対策を手がけているアルファネットでは、脆弱性診断(セキュリティ診断)を行っています。

アルファネットが提供している脆弱性診断は、セキュリティの専門家が手動で実施するため細部まで診断が行える点、さらに診断項目が幅広いことが大きな特徴です。

具体的な診断項目は下記の通りとなっており、ウェブ健康診断 LASDEC(財団法人地方自治情報センター)が最低限必要としているWebアプリケーションの診断項目を網羅している点もポイントです。

  • SQLインジェクション検査
  • クロスサイトスクリプティング検査
  • クロスサイト・リクエスト・フォージェリ診断
  • OSコマンドインジェクション検査
  • Webコンテンツのディレクトリ一覧が閲覧可能
  • メールヘッダインジェクション
  • パス名パラメータの未チェック/ディレクトリ・トラバーサル
  • オープンリダイレクトの脆弱性
  • HTTPヘッダインジェクション
  • 不適切な認証
  • セッションの推測
  • セッションフィクセーション診断
  • クッキーのセキュリティ属性設定診断
  • 不適切な承認
  • LDAPインジェクション検査
  • SSIインジェクション
  • XPathインジェクション
  • クッキーの改竄や不正取得
  • エラーメッセージからの情報漏えい

脆弱性診断(セキュリティ診断)の関連ページ

取材協力
株式会社アルファネット
多種多様な企業の状況に合わせ
セキュリティ対策を根本から支える

当ページの監修協力であるホワイトハッカーが所属する株式会社アルファネット。事務機器用品を中心とするカタログ通販サービス「たのめーる」が有名な大塚商会のグループ企業です。

大塚商会はコンピュータ・ネットワーク関連のシステムインテグレーション事業や、コンピュータ機器の保守、アウトソーシングのサービスも中核にしており、その中でアルファネットはサイバーセキュリティ対策の専門グループ企業として活躍しています。

巨大なデータベース・ネットワークを日々守り続けているのは、ホワイトハッカーの主導による正確な診断と、ツールによる包括的な診断によるもの。大塚商会のグループ企業や顧客を中心に、そのサービスを提供してきました。
またメール訓練など、社員育成の提供にも力を入れています。

提供するサイバー
セキュリティサービス

ペネトレーションテスト(Webアプリケーション侵入試験)/標的型メール訓練サービス/情報セキュリティ教育/CSIRT構築/クラウド型WAFサービス/セキュリティ診断サービス/ランサムウェア対策調査サービス

アルファネットの公式HPから
サイバーセキュリティリスクの対策について相談する

電話で問い合わせる