自社が運営するWebサイトをはじめ、社内ネットワークやサーバー等にセキュリティ上の問題がないことを確認するために、「脆弱性診断」を実施したいと考える企業は多いです。脆弱性診断を外注で実施する企業が多いですが、ベンダーに依頼する場合も診断の基本やポイントをおさえておくことが必要です。脆弱性診断の実施後、見つかった問題点の改修を行うことで、よりセキュアな環境に改善していくことができます。ですが、具体的な施策がわからず、改修を実施できずに放置してしまうケースも珍しくありません。本記事では脆弱性診断の基本や必要性、注意点などを紹介します。
「脆弱性」の意味について
脆弱性診断を実施するには、まず「脆弱性」の意味を正確に理解する必要があります。以下では、脆弱性とはなにかを解説します。
脆弱性とは「情報セキュリティ上の欠陥」のこと
脆弱性とは、「情報セキュリティ上の欠陥」を意味する言葉です。プログラム設計時におけるミスや、何らかの不具合が原因で脆弱性が発生するケースがあります。脆弱性を放置していると、その欠陥を悪用した攻撃が行われるリスクがあります。そこで企業や管理者は脆弱性を早期発見するために、脆弱性診断を実施して対処します。
脆弱性は主に、ネットワーク・Webアプリケーション・ミドルウェア・OSなどに潜んでいます。
脆弱性は「セキュリティホール」とも呼ばれる
脆弱性は、別名「セキュリティホール」とも呼ばれます。厳密にはセキュリティホールはソフトウェアにおける不具合を指します。権限を持たない人が外部から操作できたり、隠されるべき情報が閲覧できてしまったりといった不具合を、セキュリティホールと呼びます。
脆弱性診断とは?
脆弱性のあるシステムを放置することは、企業にとってリスクになります。そのため脆弱性診断を実施して、リスクヘッジする必要があります。以下では、脆弱性診断の基本について解説します。
脆弱性診断とは脆弱性の有無を確認する作業のこと
脆弱性診断とは、脆弱性の有無を確認する作業のことを指します。脆弱性がないことを確認し、安心して日々の業務を進められる環境を整えるために、多くの企業で実践されています。具体的には社内のネットワークやWebアプリケーションなどを診断し、外部から攻撃される原因となる脆弱性がないかチェックします。
脆弱性診断は企業にとって欠かせない作業
昨今サイバー攻撃の頻度は高まっているため、脆弱性診断は企業にとって欠かせない作業となりつつあります。大手企業だけでなく、あらゆる企業が攻撃の対象になり得るため、脆弱性診断を通じてセキュリティ対策を実施することは会社を守る重要なプロセスです。「自分の会社は関係がない」と思っていると、大きな損害を被る可能性があるでしょう。
脆弱性診断を実施する3つの理由
脆弱性診断は、セキュリティインシデントの発生を防止することを目的に実施されます。セキュリティインシデントが発生すると、コスト面のみならず、社会的信用といった側面でも大きな損失を招く可能性があります。そこで脆弱性診断を定期的に実施して、よりセキュアな環境にしていくことで、インシデントのリスクを低下させることが重要です。
以下では、企業が積極的に脆弱性診断をすべき3つの理由を解説します。
情報漏洩の可能性を低減させる
脆弱性診断は、情報漏洩の可能性を低減させるために必要な作業です。脆弱性の有無を検査し、見つかった問題点を改修することで、顧客情報や機密情報の漏洩リスクを低減することができます。顧客情報の漏洩が発生すると、補償によって多額の損失が発生します。漏洩した情報次第では補償金が膨大な額にのぼり、会社の存続が危ぶまれる可能性もあります。
情報の安全性確保のために、脆弱性診断は必要と考えられています。
セキュリティ対策におけるコストを削減する
脆弱性診断は、セキュリティ対策におけるコスト削減にもつながります。事前に脆弱性を把握し、危険度の高い部分から修正していくことで、効率良く問題を解決することができます。脆弱性診断を実施せずにインシデントが発生してしまうと、一から対処しなければならなくなるため作業工数が増えコスト増に繋がります。
脆弱性診断を実施することが、結果的にセキュリティ対策におけるコスト削減となる可能性があります。
社会的な信用を守るためにも脆弱性診断は必要
脆弱性診断は、自社の社会的な信用を守るためにも必要なプロセスです。脆弱性診断を実施せずに情報漏洩などを起こした場合、顧客や取引先からの信用を失う原因になります。1度でも情報漏洩を起こすと、その事実はインターネットを介して簡単に確認できてしまいます。
新規顧客を獲得しづらくなったり、取引先に契約を見直されたりと、さまざまなリスクにつながり得ます。
脆弱性診断の対象について
脆弱性診断は、さまざまな社内システムに対して実施されます。脆弱性診断が行われる具体的な対象を知ることで、自社で必要な診断領域がみえてきます。以下では、脆弱性診断の対象について解説します。
Webアプリケーション
自社でWebサイトを運営してビジネス展開している企業では、Web脆弱性診断が必要です。一般的なやり方としては、対象のWebアプリケーションに擬似的な攻撃を実行し、脆弱性がないか診断します。特にECサイトをはじめ、個人情報を取り扱うようなWebサイトを運営している企業にとっては必須と言えるでしょう。
プラットフォーム
サーバーやネットワーク機器などのプラットフォームも脆弱性診断の対象となります。運用開始時は安全に構築されたサーバーも、その後OSに脆弱性が発見されたり、アクセス制限を不適切に変更してしまった等の原因により脆弱な環境となっている場合があります。各種プラットフォームは世界中で使用されているため、毎日多くの脆弱性が発見されています。
スマートフォンアプリ
AndroidやiOSなどのスマートフォンで動くアプリも、脆弱性診断による確認が必要です。近年は事業にスマートフォンアプリを使用するケースも増えてきているため、アプリの安全性確保も重要視されています。アプリ本体だけでなく、サーバー間との通信などもチェックし、脆弱性を確認します。
ここにピックアップした以外にも、クラウド環境におけるセキュリティ設定診断や、正しくログが取得できているのかを確認する診断など、色々な種類があります。昨今ではIoTシステムに対する脆弱性診断も注目されるようになってきています。
脆弱性診断の実施方法
脆弱性診断を実施する際には、具体的な方法を事前に把握しておくことがポイントです。以下では、脆弱性診断の基本的な実施方法を解説します。
ツールを活用した診断
脆弱性診断には、脆弱性診断ツールを使用して対象となるシステムを自動的に診断する方法があります。短時間かつ低コストで診断が実施できる点が、ツールによる診断のメリットです。一方で、ツールによる自動診断では、細かな部分まで正確に診断できず検知漏れ、あるいは、誤検知が発生するケースもあります。
そのためツールによる診断は簡易的な診断方法と割り切り、定期的にツール以外の方法による脆弱性診断を実施する企業も多いです。
手動による診断
脆弱性診断は、サービスを提供している企業に依頼して、診断担当者にて手動で診断を実施してもらう方法もあります。この場合もツールを用いて診断を実施しますが、上記の場合と異なり、ツールの診断結果を細かく確認・検証しながら診断を実施します。診断を実施する担当者の知識・技術レベルが高いほど、対象の正確な脆弱性診断が可能となります。細かな部分まで診断が可能ですが、単純なツール診断と比較すると、作業時間やコストは高くなります。
そのため事前に見積もりを行い、どの程度の期間と費用が必要になるか確認しておく必要があります。
脆弱性診断におけるポイント
脆弱性診断の実施時には、いくつか把握しておくべきポイントがあります。以下では、脆弱性診断における主なポイントを解説します。
脆弱性診断にかかる費用相場をチェックしておく
脆弱性診断にかかる費用相場を確認し、予算を確保しておくことも重要です。事前に予算の目安を立てておかないと、対象範囲すべてを診断できないケースも考えられます。脆弱性診断の費用相場を確認し、実際に外部に依頼する際に、相場とどのくらい差があるのかチェックします。
必要に応じて複数のサービスを確認し、比較することで、より費用対効果が高く適切なサービスを選択することができるでしょう。
実績のある会社に委託する
手動による診断を実施する場合、実績のある会社に委託することがポイントです。多くの診断実績がある会社であれば、ノウハウが蓄積されているため、より精度の高い診断結果が期待できます。自社の環境に合わせた柔軟な対応も可能なケースが多いため、安心して脆弱性診断を任せられます。
逆に実績の少ない企業に依頼した場合 「問題点の洗い出しに見落としがないか」「誤検知はないか」といった診断の精度が懸念されます。
「リモート診断」と「オンサイト診断」の違いを把握しておく
脆弱性診断には、「リモート診断」と「オンサイト診断」という種類があります。リモート診断はその名の通り、インターネットを使って遠隔から対象の脆弱性を診断する方法です。主にネット上に公開されているWebアプリケーションや、サーバーなどの脆弱性診断に用いられます。オンサイト診断とは、エンジニアが実際に顧客の職場などに出向き、内部のネットワークを使って脆弱性を診断する方法です。
ネットワークが分離されている状況下における診断には、オンサイト診断のみが対応可能です。
脆弱性診断を実施する際の注意点
脆弱性診断を実施する際には、いくつかの注意点があります。以下を参考に、脆弱性診断における注意点を確認しておきましょう。
脆弱性診断の必要性を社内で共有する
脆弱性診断の必要性は、社内で共有しておくことが重要です。脆弱性がリスクにつながるものだと認識できていないと、日々の業務でトラブルの原因になる可能性もあります。脆弱性診断をきっかけに、社内のセキュリティにおける意識向上と脆弱性のリスクを理解させるのもおすすめです。
脆弱性診断をスケジュールに含めて計画を立てる
脆弱性診断は、完了までにある程度の時間がかかります。そのため早めに計画を立てて、診断を開始する必要があります。特に大きなプロジェクトを開始する際には、脆弱性診断のために必要なスケジュールを確実に把握し、しっかりと計画を立てて実践する準備が求められます。
自己判断せずに専門企業の意見を参考にする
脆弱性診断は専門性の高い分野であるため、自社だけでは判断しきれない要素も多いです。診断結果からどのような対応をすれば良いのか分からず、適切な対応ができないこともあり得ます。脆弱性診断の結果を有効活用するには、自己判断せずに専門企業に相談し、具体的な対策などを提案してもらうのも良いでしょう。
脆弱性診断の際には「Proactive Defense」の利用がおすすめ
脆弱性診断を検討しているのなら、「Proactive Defense(プロアクティブ ディフェンス)」の利用をご検討ください。「Proactive Defense」は脆弱性診断のみならず、予防対策から事故対応までを一気通貫でサポートする、セキュリティサービスです。「Webアプリケーション脆弱性診断」では、診断員がツールおよび手作業による擬似的な攻撃を実施して、脆弱性の有無と対策手段をレポートにまとめて報告しています。開発ベンダーでもあるため、報告書に記載の改修方法がわかりやすいこと、過去の診断実績も多く安心してご依頼いただける、という強みがあります。
深刻な脆弱性がみつかった場合には、即報告・対策の提案が可能です。適切なセキュリティ保護を実現するのなら、ぜひ「Proactive Defense」にご相談ください。
まとめ
脆弱性診断は、企業が抱えるセキュリティリスクを回避し、安全性を確保するために必要な作業です。脆弱性診断を実施し、社内で使用しているあらゆるシステムの脆弱性を確認し、対策を講じることが、今後も事業を続けていくために欠かせません。脆弱性診断は大手企業やIT企業だけでなく、情報を取り扱うあらゆる企業が実施すべき作業です。この機会に脆弱性診断の基本をチェックし、その必要性をあらためて確認してみてください。