脆弱性診断とは?種類や必要性、やり方について解説!脆弱性対策を ICT SOLUTION !
いくらやってもやりすぎという事はないのがセキュリティ対策。何かあってからでは遅いので、企業であれば自社に必要なセキュリティ対策を実施しているのは常識だろう。しかし、どこまでやれば安心ができるのか、目に見えるものでもないだけに、その判断がむずかしい。かぎりある費用とセキュリティ対策とのバランスも考慮しなければならない。悩みに悩むひとり情シスがここにもひとりーーー
最近、不正アクセスがどうのこうのっていうニュースが多いな、はじめくん。
そうですね、部長。
クラウドサービスの利用も増えているし、自社で構築しているサイトにしても、インターネットとつながっていれば、、当然外からの侵入もあり得るわけで…。
我が社は大丈夫だろ、もちろん?
お金も十分かけてるし、完璧だよな?
いや、十分っていうわけでは…。
それに完璧っていうのはあり得ないことで…。
何を言ってるのかね、はじめくん。
何かあったらきみの査定に響くだけだからな!
しっかり頼むぞ!
また、無茶なことを。
情シスがひとりしかいないような会社で、そんなに十分にお金をかけられるはず、ないじゃないか。
もちろん、できるだけの対策はしてるつもりだけど、セキュリティって目に見えないものだから本当に大丈夫なのか安心しきれないよな…。
クックック。
はじめくんが、何かブツブツとつぶやいてるぞ。
なにか困ってるらしいな。
よし、このマルチLANバンドでセキュリティの穴を見つけてっと…
マルチLANハンド
伸縮自在なLANケーブルが収容されたロボットハンド。各デバイスや機器に接続することはもちろん、ネットワークをループさせたり、電流を流したり、色々な障害を起こすことができる。
こんなところに脆弱性があるなぁ。
ここから侵入しよっと。
お、はじめくんじゃないか!
あっ、Dr. プロトコル!どうして、ここにログイン出来ているんだ!?
クックック、決まってるじゃない、脆弱性みつけちゃったからだよーん。
不正にお邪魔しちゃいました。
いったいどこから侵入したんだ、ファイアウォールとかはちゃんと導入してるのに。
ああっ、勝手にアドミン権限悪用しないで!!助けて、情シスマンさん
どうした、はじめ!
助かった、情シスマンさん!
素早い登場、ありがとうございます。
実はDr. プロトコルが不正に侵入してきて、困ってるんです!
性懲りもなく…Dr. プロトコル、覚悟しろ!!
光ファイバーテイル!!
ガィンン!
光ファイバーテイル
通常は光ファイバーを束ねたようなウィップ型ソード。ひと振りでネットワークにまつわるアレコレを解決できる。柄の先端にLANコネクタのような装飾がついており、スイッチのように押し込むとデータセンターとのコネクト、引き出すとLAN構築、天に向けるとクラウドを呼び出すことが可能。
うわッ、痛いっ!
もう発見されたか。情シスマンめ。
今日のところは退散するか…どうせ、いつでも侵入できるもんね、この会社。
セキュリティホールがいくつもあるし。
どうやら、Dr. プロトコルは逃げたようだな。
はい、ありがとうございます!
でもまたいつ現れるかわかりませんよね…
うちの会社にはセキュリティホールがいくつもあるなんて、物騒なことをいってましたし。
いったい、どんな対策をすれば…。
そんな時は脆弱性診断だな!
脆弱性診断?
調査
- 何からセキュリティ対策を始めたらよいかわからない
- 自社のセキュリティ対策の穴を知りたい
そもそも脆弱性とは?
脆弱性とは、OSやソフトウェアにおけるプログラムの不具合や設計ミスなどに起因するセキュリティ上の欠陥(=セキュリティホール)のこと。
脆弱性があるまま放置すると、悪意のある第三者に攻撃されたり、ウイルスの感染に利用されたりしてしまうため、脆弱性に対しては素早い対応が必要である。
OS・ソフトウェアの脆弱性が発見されてから、それに対するセキュリティパッチ(修正プログラム)が公表され、エンドユーザがパッチを適用するまでの期間に存在する脆弱性(Nデイ脆弱性)や、脆弱性が発覚してから修正プログラムがリリースするまでの間のゼロデイ脆弱性がある。
脆弱性診断とは
脆弱性診断とは、OSやミドルウェア、Webアプリケーションの他、ネットワークやサーバなどに脆弱性がないかを診断することだ。
脆弱性診断を行うことで、攻撃を受ける前にセキュリティの問題点を見つけ、早期に対策することができるぞ。
どんなシステムも完璧とはかぎらない。セキュリティホールが存在する可能性はゼロではないんだ。しかし、セキュリティ対策にかけられる費用にもかぎりがあるはず。
そんなときに活躍するのが、脆弱性診断だ。
脆弱性診断の必要性
近年、サイバー攻撃は多様化しており、その対策が重要視されている。
悪意のある攻撃者はあらゆる手段を講じて、セキュリティホールを突いてくる。攻撃者より先に脆弱性を発見し対策することで、情報セキュリティの事故を予防することができるのだ。
今やWebサイトやアプリは事業活動にはなくてはならないツールの一つになっており、それをユーザが安心して使えることは、企業のブランド毀損を防ぐことにもつながるのだ。
事業の維持・拡大にはなくてならないセキュリティ対策の一つと言えよう。
わかりました。早速実施して、セキュリティ対策につなげたいですね!
うむ、早く実行したほうがいい。侵入者は待ってはくれないからな。WAFやファイアウォールなどを用意しているとは思うが、それだけでサイバー攻撃を完全に防ぐことは不可能だ。JPCERT/CC、PCI SSCも脆弱性診断の実施を推奨、もしくは義務化している。脆弱性診断は、情報漏えいリスクを限りなく『0(ゼロ)』に近づけるための企業努力の一環なんだ。これを怠れば、企業の信用失墜にもつながりかねないぞ。
※JPCERT/CC
日本の代表的なコンピュータセキュリティ調査機関で、コンピュータセキュリティの情報を収集し、インシデント対応の支援、セキュリティ関連情報の発信などを行う一般社団法人
※PCI SSC(Payment Card Industry Security Standards Council)
アカウントデータ保護に関するグローバル規模の協議会
American Express、 Discover Financial Services、 JCB International、 MasterCard、 Visa Inc. によって運用、管理されている。
脆弱性診断の種類と対象
脆弱性診断の種類としては、以下の3つが挙げられる。脆弱性診断の種類によっては診断対象も異なる。この章ではそれぞれの対象について解説するぞ。
Webアプリケーション診断
サーバ上で稼働する、Webアプリケーションが対象となる。
WordpressなどのCMSや、独自のアプリケーションに対して、手動もしくはツールを活用し攻撃者目線での類似攻撃を実施、その結果を解析・診断をすることで、脆弱性を発見するのだ。
SQLインジェクションやクロスサイトスクリプティング、なりすましといった脆弱性の発見につながる。
個人情報を扱うWebサイト、例えば会員サイトやECサイトなどを運営している企業などが実施するケースが多い。
プラットフォーム診断
インターネット上に公開されているサーバやネットワークを対象とした脆弱性診断。
サーバOSやミドルウェア、ネットワークなどに対して、既知の脆弱性への対策ができているかであったり、ネットワークやサーバの安全性を検査する。
インターネット経由で公開サーバやWebアプリケーションの脆弱性を診断するリモート診断や、クライアントの内部ネットワークから、内部サーバの安全性や内部からの脅威について診断するオンサイト診断がある。
ネイティブアプリ診断
iOSやAndroidのアプリの脆弱性診断のこと。
アプリがどのような流れで動作するかを調査し、個人情報などの重要情報がアクセスできないようになっているか・復元できないようになっているか(APKファイルの解析)などを実施する。
端末内のデータの解析、そのほか不正操作ができるかなども確認することで、そのアプリが安心して利用できるものかを検査してくれるぞ。
脆弱性診断をしたい対象によっても、対象となる範囲や実施内容などが異なるため、まずは何を管理していて脆弱性診断しないといけないのかを把握する必要があるぞ。
今回、うちの会社だと、Webサイトの脆弱性診断が必要だから、Webアプリケーション診断になるってことですね!
脆弱性診断とペネトレーションテストの違い
ペネトレーションテスト(略:ペンテスト)とは、ペネトレーション=侵入の名の通り、ホワイトハッカーが疑似的な攻撃を仕掛けてセキュリティ対策の状況をチェックする手法だ。
あらゆるハッキングツール・技術を駆使して脆弱性箇所に攻撃を実行し、システムやアプリケーション内部に侵入できるかを試行する。
実際に攻撃された際に、セキュリティ機能が回避されてしまう・無効化されてしまうかどうかを確認することができる。
標準型攻撃など、脆弱性診断ではカバーできない手法で内部侵入を試みる近年のサイバー攻撃に対する対策として有効なテストである。
実際に攻撃シナリオを作成して攻撃していく形になるため、テストにかかる時間も数日~数週間かかるものが多い。
脆弱性診断は、実際に攻撃をした際、セキュリティが有効かどうかを診断するものではないが、網羅的に診断することが可能で、かかる時間も数分程度である。
脆弱性診断の手法とは
脆弱性診断サービスを利用するのが一般的だが、そのサービスでも自動診断と手動診断がある。
自動診断とは、脆弱性診断ツールを実行し、その応答情報から脆弱性診断を行うもので、ツール診断とも言われる。
例えばWebアプリケーション診断では、不正なHTTPリクエストを送信して疑似攻撃を行うといったことも実施する。
ツール実行結果を一覧化して、誤検知がないかをチェックするところまでを自動診断として提供しているサービス事業者もいる。
手動診断は、セキュリティエンジニアが自らの手で診断をすることである。ツールなどで機械的にチェックできないような問題などを検知する場合に利用される。
自動診断と手動診断の違い
自動診断の場合、網羅的に検査しあくまでも脆弱性(の可能性)を見つけることが目的であり、誤検知の問題はどうしても発生してしまう。
実施自体は低コストで手軽にできる内容になるため、定期的なチェックなどに向いている手法だ。
対して手動診断は、ツールでは見落とされてしまう脆弱性(例えば画面遷移や分岐など)に対してもチェックすることができる。
脆弱性の再現や対策方法まで提示してもらえるため、より詳細に診断したい場合に活用できる手法だ。
定期的なチェックは自動診断で、大きな改修などがあった時は手動診断を行うなど、コストや頻度、状況に応じて選択してくとよいだろう。
なるほどです!いろいろな脆弱性診断サービスがあると思うんですけど、うちの会社だとどんな脆弱性診断がいいですかね?
そうだな、ではおすすめの脆弱性診断サービスを紹介しよう!
おすすめな脆弱性診断サービスとは
マルチセキュリティツール!!
「USEN GATE 02 ―脆弱性診断―」
スイッチ、ON!!
マルチセキュリティツール
情シスマンのベルト部分についているセキュリティツール。カードについているボタンを押して共通鍵や秘密鍵の生成はもちろん、カードをかざすことでポートやプロトコルの制御や操作もできる。また、カードを変形ルーターウォールや光ファイバーテイルに差し込むことでウイルス駆除やレジストリの復元を行なうことができる。
セキュリティに関する万能ツールであり、脆弱性診断も得意とするところなのだ。
「USEN GATE 02 ―脆弱性診断―」を活用すれば、限られたリソースを最も効果の高いリスクに対して割り当てることができるぞ。
つまり、それほど費用がなくても、効果的なセキュリティ対策ができるってことですか?
そのとおり、「USEN GATE 02 ―脆弱性診断―」なら、かけられる費用に合わせて、さまざまなタイプの脆弱性診断を選ぶことが可能だ。
そうなんですね!具体的にはどんな診断ができるんですか?
診断手法としては、「自動診断型」と「手動診断型」の2タイプ、診断対象としては「Webアプリケーション」と「ネットワーク(OS・ミドルウェア)」の2タイプがある。これらを組み合わせた全6種類のメニューを利用できるぞ。
6種類も。用途や目的、費用に合わせて最適なものを選択できるんですね。
そうだ。簡単に説明すると、「自動診断型」は、診断用ツールで自動的(機械的)にサイト全体を診断する。「手動診断型」はセキュリティエンジニアがサイトの仕様を把握しながら各種セキュリティカテゴリに対して手動で診断を実施する。前者は費用をおさえ手軽にできるというメリットがあるし、後者は手間がかかるぶん費用はかかるが、きめ細かい診断ができるというわけだ。
なるほど、では、診断対象が「Webアプリケーション」と「ネットワーク(OS・ミドルウェア)」というのは?
「Webアプリケーション」タイプは、インターネット経由でユーザーのWebサイトにアクセスし、セキュリティ上の問題点を検査するWeb診断サービスだ。「ネットワーク(OS・ミドルウェア)」タイプは、外部に公開しているネットワークや内部のネットワークに対しセキュリティチェックを実施し、問題点を検査してくれる。
そういうことか、「Webアプリケーション」と「ネットワーク(OS・ミドルウェア)」を合わせて行えば、うちの会社に存在するかもしれないセキュリティホールをおおよそ発見できるというわけですね。
ハハハハッ!問題は解決だな、
それじゃ、また会おう!さらばだ!
解決
なにかあってからでは遅いセキュリティ対策、しかし対応すべき範囲は広く、どこから手を付けていいのかわからない、またかけられる費用にもかぎりがある。そんなときに有用なのが脆弱性診断だ。「USEN GATE 02 ―脆弱性診断―」なら用途や目的、費用に合わせて自社に最適なサービスを選択できる。脆弱性診断を実施する、しないは企業の信用にもかかわる大切なこと、手遅れにならないうちに実施すべきサービスなのだ。
- ネットワーク診断およびWEB診断が可能
- 国産の診断ツールであり、診断画面、報告書ともに日本語表示対応
- 仕様、コスト、管理・運用体制等の違いを把握し適切な選択を
本記事の著者
情シスマン
本メディアの主人公。職業はヒーローで、趣味はトラフィック監視。様々な武器を駆使して情シスにまつわる問題や悩みを解決している。ITをよく知らないのに、情シス担当になってしまった人の味方です。いや、正義の味方じゃなく、正義そのもの。困っている人がいたら、助けたいお人よし。
