脆弱性診断(セキュリティ診断)とは?種類や方法を確認し事故に備えよう
昨今、不正アクセスによる情報流出やデータ改ざんなど、インターネットを介したさまざまなサイバー攻撃が増えています。そこでこの記事では、システムやソフトウェアの脆弱性を検査する脆弱性診断について解説。その注目背景や必要性、種類などを分かりやすく説明していきます。
脆弱性診断(セキュリティ診断)とは
脆弱性診断とは、システムやソフトウェアなどに関する脆弱性の有無に加え、どのような脆弱性があるのかどうかを検査するものです。その目的は、脆弱性を低減し、クラッキングをはじめとするサイバー攻撃などから身を守ること。診断にあたっては、システムセキュリティを手掛けるベンダーが開d発した検査ツールを利用したり、ベンダーが提供する脆弱性検査のサービスを受けたりするのが一般的です。また、脆弱性診断は、脆弱性検査やセキュリティ診断などとも呼ばれます。
脆弱性診断が注目される背景
現在、インターネットなどを介したサイバー犯罪が国内で増えています。警察庁が発表した資料「令和元年におけるサイバー空間をめぐる脅威の情勢等について」によると、2015年に8,096件だったサイバー犯罪の検挙件数が、2019年(令和元年)では9,519件と過去最多でした。また、同年の不正アクセス禁止違反の検挙件数は816件で、前年に比べ増加。このうち、785件が識別符号窃用型(アカウントやパスワードの盗用)で、全体の96.2%を占めたということです。
このように、企業などが運営するWebサイトやネットワークシステムの脆弱性をつき、機密情報や個人情報などを搾取したりWebサイトを改ざんしたりするサイバー攻撃が増えたことで、現在、脆弱性を診断するサービスに熱い視線が注がれています。加えて、脆弱性診断に関するサービスが多様化していることも、注目される理由の一つです。
最新のセキュリティ対策についてはこちらの記事でも詳しく紹介しています。
脆弱性診断の必要性
脆弱性を放置していると、個人情報の漏えいやウイルス感染など、さまざまなリスクが高まります。企業が保管する膨大な個人情報が不正アクセスによって流出すると、補償や顧客への対応などにより、膨大な損失を産み出します。さらに、社会・経済面で制裁を受け、企業の存続にも大きな支障をもたらすでしょう。
また、ウイルス感染やクラッキングによる、企業の基幹システム改ざんでは、企業活動が継続不可能になる可能性もあり、その影響は計り知れません。従って、企業はIT資産や顧客情報を守るためにも、アプリケーションやプラットフォームなどの脆弱性を継続的に検査し、改善する必要があるのです。
脆弱性診断の種類
脆弱性診断は検査対象や実施フェーズによってさまざまな種類が存在します。「アプリケーション診断」と「プラットフォーム診断」の2種類に大別されています。
アプリケーション診断
アプリケーション診断とは、Webアプリケーション(ソフトウェア)やスマートフォンアプリなどに関する脆弱性を検査する方法です。それぞれのアプリケーションに潜むセキュリティ上の問題点を攻撃者の立場で検査・判断し、攻撃の余地があるかないかを診断します。顧客の重要情報を扱うWebサイトや、それに関するスマホアプリを運営する企業などにとっては、必須の検査となります。
アプリケーション診断は、サービスのローンチ前にテストとして実施されるケースが多くみられ、既知の脆弱性(すでに報告されている攻撃にアプリケーションが対応できているか)が主な検査対象。特にWebアプリケーションの攻撃手法である「SQLインジェクション」や「クロスサイトスクリプティング(XSS)」「コマンドインジェクション」「パラメーターの改ざん」「セッション・フィクセーション」などに対する脆弱性を洗い出します。
IPA(情報処理推進機構)などが発表する「ソフトウェア等の脆弱性関連情報に関する届出状況」によると、ソフトウェア製品に関する届出件数(2020年1~3月期)が62件だったのに対し、Webサイト(Webアプリケーション)に関する届出件数は201件でした。また、前者の届出件数は、2017年2Q~2020年1Qの間で一定ですが、後者の届出件数は右肩上がり。このように、ソフトウェアはもちろんのこと、アプリケーションに関する脆弱性の診断は今後も重要になるとみられます。
プラットフォーム診断
プラットフォーム診断とは、OSやミドルウェア、ネットワーク機器に脆弱性があるかないかを調べる検査方法です。この診断では、主に各種機器の設定を確認したり、ネットワークスキャンを用いて脆弱性を検出したりします。また、外部接続可能なポートを確認し、不必要なポートがオープンになっていないことなどもチェックします。
脆弱性診断の方法
ここでは、脆弱性診断の主な4つの方法についてそれぞれ解説していきます。セキュリティ診断サービスを検討している企業担当者は、どのような診断の方法・手法があるのか、頭の中で整理してください。
「手動診断」と「ツール診断」
「手動診断(マニュアル診断)」とは、セキュリティの専門家らが実際に自身の目で確認し、検査を行う診断方法です。人の目で行われるため、精度が高く、柔軟に対応できることがメリット。しかし同時に、作業時間やコストがかかってしまうといったデメリットが存在します。一方、「ツール診断」は、ベンダーなどが提供する自動検査ツールなどを用いて、機械的に脆弱性を判断する方法です。ツールを活用するため、作業時間が短く、低コストであることが特長。その反面、手動診断よりも精度が低くなる傾向があり、またツールを使いこなすための学習コストもかかります。
「リモート診断」と「オンサイト診断」
「リモート診断」は、インターネットを介して遠隔地から、顧客のアプリケーションやプラットフォームを診断する方法です。一方、「オンサイト診断」は、顧客のネットワーク環境がある場所に行き、顧客のネットワークに診断用の機器を接続するなどして診断を行う方法です。
リモート診断では、Webサイトを訪問するユーザーと同等の条件で脆弱性を検査し、オンサイト診断では、顧客のファイアウォールの内側から診断することでさまざまな情報を取得します。オンサイト診断は顧客の元に赴く必要があるため、リモート診断に比べ基本的にサービスの料金は高くなる傾向があります。しかしその分、細部まで診断することが可能です。
シーイーシーでは、顧客のセキュリティ課題を解決するトータルセキュリティソリューション「Cyber NEXT」を提供しています。このうちWebアプリケーションやプラットフォーム、ソースコードの危険度を評価する脆弱性診断サービス[サービス登録番号※:018-0012-20]では、ツール診断やマニュアル診断など幅広いラインアップを取り揃え、顧客の要望に応じたサービス展開しています。
※Cyber NEXT 脆弱性診断サービスは、特定非営利活動法人 日本セキュリティ監査協会(JASA)の「情報セキュリティサービス基準適合サービスリスト」に登録されています。
シーイーシーの脆弱性診断サービスでは”4つの安心”でお客様をバックアップ
脆弱性診断に関する理解は深まりましたでしょうか。サイバー攻撃などへの脅威が高まる昨今、Webサイトやアプリケーション、ネットワークに関する脆弱性の確認は、ますます企業活動において重要な要素になっています。
シーイーシーの脆弱性診断サービスでは、「価格」「診断」「検出」「対策」4つの観点から、Web環境の健全な運用をバックアップ。診断はもちろんのこと、アフターサービスなども行っています。ぜひこれを機会に、サービス導入をご検討ください。
関連サービス情報
Webアプリケーション・プラットフォーム・ソースコードの
危険度を評価する「脆弱性診断サービス」
信頼できるSOCを選ぶ
-システムインテグレーターのSOCをお勧めする3つの理由-
SOCを選定する際のポイントとは?
多くの企業・組織では、セキュリティ運用の一部をSOC(Security Operation Center)事業者に委託するケースが一般的になりつつありますが、「期待した効果が出ない」などネガティブな意見も耳にします。 セキュリティ運用に失敗しないためにも、委託元の信頼に足るSOC選びが重要です。内容
- はじめに
- SOC選定前の2つの考察ポイント
- SOC選定時の10のチェックポイント
- システムインテグレーターのSOCを推奨する3つのメリット