脆弱性診断

サイバー攻撃によるセキュリティ事故が起こることは珍しくなく、機密情報・個人情報漏洩や金銭的損失を防ぐべく企業のセキュリティ対策が重要となっているのは間違いありません。

ここでは、脆弱性診断の必要性や方法、メリットなどについて解説します。セキュリティを担当している担当者はもちろん、情報管理を行っている方はぜひ参考にしてください。

脆弱性診断とは　

脆弱性診断はセキュリティ診断とも呼ばれています。ネットワーク、OS、ミドルウェア、Webアプリケーションに脆弱性がないかを評価・診断するものです。

脆弱性診断では情報漏洩やシステムが使えなくなってしまうような意図的・意図的ではない侵害に繋がる可能性がある脆弱性をチェックし、脆弱性をランク付けしていきます。

脆弱性とは、セキュリティ上の弱点のことです。セキュリティホールとも呼ばれており、本来できないはずの操作ができる、見えてはいけない情報が見えてしまうなどWebアプリケーションのバグ、セキュリティ上の欠陥です。

つまり、脆弱性診断をすることによって問題点・バグを洗い出し、脆弱性を狙ったサイバー攻撃から守るための対策を行うことに繋げることが出来るのです。脆弱性診断は基本的なセキュリティ対策に次いで必要とされており、比較的安価で行うことが出来るものです。

脆弱性診断は、中小企業の情報セキュリティ対策ガイドラインでも実践が推奨されています。費用対効果が高い対策でもあるので、ぜひ取り入れたいものです。

脆弱性診断の必要性

セキュリティ上の欠陥を見つけ・対策を講じる

脆弱性診断は、セキュリティの脆弱性を特定、ランク付け、報告することを目的としています。脆弱性を放置していると機密情報が盗まれる、改ざん・破壊される、ウィルスに感染させられてしまうリスクがあります。

Webアプリケーションやシステム開発は厳しいスケジュールの中で行われていることもあり、セキュリティ対策が後回しになっている、セキュリティ対策が不十分な既存Webアプリケーションの公開が行われているなどが現実として起こっています。

また、Webアプリケーションは構成や機能が多様化しており個別の対応が必要となっています。短期間にアップデートが多く行われるものもあり、セキュリティの対策が追い付かないこともあります。だからこそ、脆弱性診断を企業自身が行うことが求められているのです。

企業としてシステムが停止して営業に影響が出る、顧客の信頼が低下する、トラブル対応・復旧にコストがかかるなどの被害が生じてしまう恐れがあるため、セキュリティ上の欠陥を早期に発見し、その脆弱性への対策を講じることができるのは非常に重要となっています。

セキュリティ被害を未然に防げる

もしも脆弱性診断を行わずに攻撃を受けたらどうなるでしょうか。システムを復旧するため、多くの人員と費用、時間をかけることになります。

しかし、脆弱性診断を行って脆弱性を見つけることができれば、アプリケーションの改修やバージョンアップなどによって修正が可能となります。

脆弱性診断の方法

手動診断

サイバーセキュリティの専門知識を持つ担当者が手動にて検査を行うのが手動診断です。

手動診断が適しているのは、ECサイトや個人情報を取り扱っているケースです。情報漏洩が致命的な影響を及ぼす場合は、手動診断を検討してみましょう。

手動診断のメリット

手動診断は実施する担当者の経験や知識を駆使して検査を行います。仕様設計上のミスによる脆弱性は、自動脆弱性診断ツールで発見できないこともあります。

しかし、手動診断では箇所によって深く、精度の高い診断を行うことが出来ます。

手動診断のデメリット

手動で行うため、どうしても診断結果が出るまでに日数がかかってしまいます。また、人的コストがかかるのもデメリットです。

担当者の知識や経験、技術力に左右されてしまうのもデメリットとして挙げられるでしょう。

ツール診断

ツール診断は、ツールによって自動で診断を行うものです。プラットフォームの脆弱性や、機密情報の取り扱いがないWebサイトの脆弱性の有無を確認するケースでおすすめです。

診断費用を抑えられる、アプリケーションを早く検査したいという企業は検討すると良いでしょう。

ツール診断のメリット

短期間・安価で導入できるのが最大のメリットです。また、診断自体もスピーディーで、5分程度で終了できるケースもあります。

Webブラウザから手軽に使用できるものは、いつでも好きなタイミングで診断できるので使い勝手が良いでしょう。

ツール診断のデメリット

ツール診断は複雑なサイト構成には対応できません。システムに潜在するすべての脆弱性が検知できるわけではなく、安価なツールでは誤診断が起こる場合もあります。また、誤診断に紛れて本当のリスクを見逃す恐れもあり、ECサイトや個人情報などの取り扱いを行うケースで使用は推奨しません。

脆弱性診断サービスの選び方

診断範囲

脆弱性診断サービスはそれぞれ診断できる範囲が変わってきます。

Webアプリケーション

• クロスサイトスクリプティングの検査
• インジェクション系の脆弱性検査
• ディレクトリトラバーサルの検査
• 認証不備
• 認可不備

自社ホームページやECサイトの脆弱性を診断するのがWebアプリケーション診断です。既知の脆弱性の多くがWebサイトにあることが分かっており、脆弱性を知り対策を講じることで情報漏洩、データ改ざんなどのリスクを減らすことが出来ます。無料の診断ツールも公開されていますが、パターン定義が難しいケースでは検出ができなかったり、過剰に診断ツールが反応して誤診断が生じたりすることもあります。Webアプリケーション診断は、セキュリティレベルが不安というだけでなく、前回の診断から1年以上経過している場合も実行することをおすすめします。

Webアプリケーション診断
について
詳しく見る

ネットワーク（プラットフォーム）

• ポートスキャン検査
• ホスト情報収集
• Webサーバに対する脆弱性検査
• アカウント検査

サーバーやネットワーク、OSなどのネットワーク機器に対して脆弱性を診断するのがプラットフォーム診断です。既知の脆弱性を洗い出しリスクを把握、対策を講じるなどして機密情報を盗まれたり改ざんされたりするリスクを軽減します。また、攻撃者の糸口を少なくすることにも繋がります。サイバー攻撃の対象は広範囲になっており、サービスリリースをする際はもちろん、公開中のサービスの脆弱性をチェックしたい場合も実行すると良いでしょう。

ネットワーク
（プラットフォーム）診断
について詳しく見る

診断の深度

脆弱性診断を手動で行うか、ツールで行うかによって、診断の深さが変わってきます。手動診断は専門知識を持つ担当者が経験から検査を実施。システム構造を確認した上で行うため、入念に調べることもできるでしょう。

ツール診断はスピーディーな診断が可能とはなりますが、細かい診断には対応していない場合もあります。どの程度の診断深度を希望するかを明確にし、選択するようにしましょう。

診断費用

診断項目が同じでもサービスによって費用が異なることもあります。脆弱性診断サービスは無料のものから数百万円という高価なものまで価格の幅が広いため、慎重に検討するようにしましょう。

お試しで1度は無料、または安価で検査できるものもあるので、自社に合ったサービスを選びたいですね。

また、診断項目の内容だけでなく、どのような頻度で診断したいのかも考え、複数社から見積もりを取るようにすると良いでしょう。

診断後のアフターフォロー

脆弱性診断によって脆弱性が見つかった場合、対策を講じる必要があります。対策が分からないと意味がありませんから、脆弱性が見つかった場合の対策方法についても確認が必要です。

安価な脆弱性診断サービスを選んでしまうと、専門知識を持つスタッフがいないためレポート内容が分からない、レポートが日本語で送られてこないなどの問題が起こることがあります。

専門知識を持ったスタッフがいない場合は、専門家に相談・問い合わせができるようなフォロー体制が整っているサービスを選ぶようにしましょう。

また、対策後に再度診断を行い確認してくれるサービスもあります。アフターフォローの内容については必ず確認しておきたい要素です。

脆弱性診断は注目されている

今後の傾向

今後は、サイトやアプリの運用が長くなればなるほど、過去に開発された機能を評価することが困難になってきます。

また、短期間で頻繁にアップデートが行われるとセキュリティの対応が追いつかないこともあります。今後は、セキュリティ意識が高まっていることを受けて利用サービスにおけるセキュリティ対策実施状況の調査をする企業がますます増えてくるでしょう。

脆弱性診断は1度実施したら終わりではありませんし、日々増加し続けているものです。安心して利用できるよう、継続的な脆弱性診断は必要不可欠だと考えられます。リモートワークも拡大しています。企業として、セキュリティ対策は重要な課題であることは間違いありません。

脆弱性診断の関連ページ

• 脆弱性診断の費用相場は？
• 脆弱性診断とペネトレーションテストの違い
• 脆弱性診断ガイドライン