企業をサイバーセキュリティのリスクから守る『OODAセキュリティ』 » 脆弱性診断(セキュリティ診断) » 脆弱性診断ガイドライン

脆弱性診断ガイドライン

脆弱性診断の対象やサービス選定に明確な基準や指針がなかったため、デジタル庁が2022年に「政府情報システムにおける脆弱性診断導入ガイドライン」を策定しました。政府情報システムへのサイバー攻撃の脅威に対抗するためのガイドラインです。民間企業でも参考になる内容のため簡単に紹介します。

脆弱性診断が必要な箇所

脆弱性診断は、システムにおけるセキュリティ上の弱点を特定するものです。しかし、診断のみではセキュリティリスクを防ぐことはできません。既に作り込まれた脆弱性を検知するためのものが脆弱性診断ですが、そもそも脆弱性の発生を未然に防ぐことが重要であることは大前提となります。他のセキュリティプロセスと組み合わせて脆弱性診断を実施してください。脆弱性診断の検出結果をセキュリティプロセスそのものの改善に役立てていくことが大切です。

脆弱性には、「システムにおける脆弱性全体」「発生の想定される脆弱性」「仕様や要件としてカバーしている脆弱性」「想定外の脆弱性」があります。脆弱性診断では、このうち「発生の想定される脆弱性」の確認を目的として実施しましょう。この中には、「仕様や要件としてカバーしている脆弱性」が含まれています。

脆弱性発生箇所はシステムの広範に渡り、攻撃も全体の中から脆弱性を見つけ出して悪用するものです。対策もシステム全体を網羅的に行う必要があります。

脆弱性診断の種類

プラットフォーム診断

プラットフォーム診断では、対象のサーバやネットワーク機器に対して疑似的な攻撃の通信を行うことで、脆弱性やセキュリティリスクの有無を確認します。自動化されたツールを使用するのが一般的です。誤検出の精査やツールでは検出できない脆弱性診断は手動で補います。

Webアプリ診断

Webアプリに対して疑似的な攻撃のリクエストを行い、情報漏洩やサイト改ざんにつながる脆弱性の有無を確認します。診断手法は、ツールによる自動診断、専門家による手動診断、両者を併用するものの3種類です。

スマートフォンアプリ診断

Android や iOS/iPadOS 端末上で動作するアプリの脆弱性の有無を確認します。診断対象は、アプリ本体はもちろん、アプリとサーバとの間の通信も含まれます。診断手法は、アプリ本体をツールで自動解析するもの、リバースエンジニアリングを用いるもの、アプリとサーバ間の通信内容に着目して脆弱性を探索するものの3種類です。

脆弱性診断サービスの選定

十分な経験と能力を有したセキュリティベンダーを選定しましょう。基準として参考にしたいのは以下の要件です。

  • 経済産業省の定義する「情報セキュリティサービスに関する審査登録機関基準」を満たしている
  • ペネトレーションテストの国際資格の保有状況
  • CTF(Capture The Flag)等のセキュリティコンテストにおける上位入賞実績
  • CVE(Common Vulnerabilities and Exposures)の付与された脆弱性の発見数

脆弱性診断は、ツールの自動診断だけでは不十分なため、専門家の知見がかかせません。有識者や有資格者が診断の実施の中でどのような役割を担っているか、その人数と期間も確認しましょう。

脆弱性診断で検出された脆弱性は、リスク評価に基づき、優先度を定めて対応します。

「脆弱性そのものの技術的な深刻度を評価する基本評価基準(Base Metrics)」と「攻撃コードの出現状況等の現状のリスクを算定する現状評価基準(Temporal Metrics)」、そして「対象のシステム環境において想定される脅威に応じて最終的なリスクを算定する環境評価基準(Environmental Metrics)」の 3 軸でスコアリング。5段階で深刻度を表現します。

脆弱性診断とは?
選び方やメリットについて
詳しく見る

取材協力
株式会社アルファネット
多種多様な企業の状況に合わせ
セキュリティ対策を根本から支える

当ページの監修協力であるホワイトハッカーが所属する株式会社アルファネット。事務機器用品を中心とするカタログ通販サービス「たのめーる」が有名な大塚商会のグループ企業です。

大塚商会はコンピュータ・ネットワーク関連のシステムインテグレーション事業や、コンピュータ機器の保守、アウトソーシングのサービスも中核にしており、その中でアルファネットはサイバーセキュリティ対策の専門グループ企業として活躍しています。

巨大なデータベース・ネットワークを日々守り続けているのは、ホワイトハッカーの主導による正確な診断と、ツールによる包括的な診断によるもの。大塚商会のグループ企業や顧客を中心に、そのサービスを提供してきました。
またメール訓練など、社員育成の提供にも力を入れています。

提供するサイバー
セキュリティサービス

ペネトレーションテスト(Webアプリケーション侵入試験)/標的型メール訓練サービス/情報セキュリティ教育/CSIRT構築/クラウド型WAFサービス/セキュリティ診断サービス/ランサムウェア対策調査サービス

アルファネットの公式HPから
サイバーセキュリティリスクの対策について相談する

電話で問い合わせる