KNOWLEDGE - COLUMN ナレッジ - コラム

【ナレッジコラム】脆弱性診断とは?その概要や重要性から具体的な実施内容までを紹介

企業のITシステムをサイバー攻撃から守るために欠かせないのが「脆弱性診断」です。脆弱性診断を怠るとセキュリティリスクが増大してしまうのですが、自社のITシステムに対して十分な脆弱性診断ができていない企業も少なからず存在します。今回は、脆弱性診断の重要性と具体的な実施内容についてお伝えしていきます。

脆弱性診断とは

脆弱性診断とは、対象のネットワーク・OS・ミドルウェアやWebアプリケーションなどに脆弱性がないか診断することで、脆弱性診断を定期的に実施することで、サイバー攻撃や意図せぬ情報漏えいなどのリスクを減少させられます。脆弱性とは、セキュリティ分野におけるシステムの弱点で、セキュリティ対策においては、この脆弱性をいかに潰していけるかがポイントです。

脆弱性はサイバー攻撃の標的に

システムへ攻撃を試みる場合、脆弱性を突くために様々な手法を使用しますので、脆弱性が放置された状態では攻撃者に隙を与えてしまいます。脆弱性放置の極端な例だと、例えばWindowsセキュリティパッチなどのセキュリティ修正を適用せずに放置することなどです。セキュリティ修正を放置していると当然脆弱性も修正されないため、脆弱性を発見した攻撃者の的になってしまい、自社システムがウイルスなどのマルウェアに感染することや、不正アクセスによる機密情報漏えいなどのリスクにさらされます。

脆弱性診断はITシステムに必須

脆弱性診断の目的は、大きく二つあります。

  • 脆弱性を発見しセキュリティ攻撃のリスクを減らすこと
  • 脆弱性を潰すことにより安全なインターネットの一端となること

脆弱性への対応をせずにいると、自社の情報流出などのリスクが発生するだけでなく、ボット化による意図せぬセキュリティ攻撃への加担など、インターネットに参加する他のシステムに対しても悪影響を与えてしまいかねません。また、実際に脆弱性を起因とするセキュリティ事故が発生した場合、自社の金銭的な損害や社会的信頼の失墜は計り知れないものです。一定の期間ごとにシステムを脆弱性診断によって検査しておけば、このようなリスクを低減させられるため、結果的にセキュリティ事故発生などによるセキュリティ対策コストを低減させられます。

一般的なセキュリティパッチ適用などの対策だけでは、これらの目的は達成できないことを覚えておきましょう。

脆弱性診断の内容とは

それでは脆弱性診断とは、どのようなことを実施していくのでしょうか。ここからは、具体的な脆弱性診断の内容をみていきましょう。 

実施内容

ツールを使った診断は手軽に実施できて手間も少ないため、昨今では脆弱性診断には何らかのツールを用いることが一般的になっています。費用を抑えての診断であればツールのみで対応する場合が多いですが、腰を据えたセキュリティ対策をするなら、検査を実施するセキュリティ専門エンジニアを別途アサインのうえ対応することもあります。自社の紹介サイトを運用するシステムなど、機密性の高い情報を扱わないシステムならツールで手軽に済ませるのも一案ですが、機密性の高い情報や、個人情報などが存在するシステムなどは、セキュリティ専門エンジニアをアサインして診断すべきでしょう。

脆弱性診断の種類としては、下記のようなものがあります。

  • Webアプリケーション脆弱性診断
  • ネットワーク脆弱性診断
  • スマートフォンアプリケーション脆弱性診断
  • IoTセキュリティ脆弱性診断
  • セキュリティポリシー診断
  • エンドポイント診断

頻度

システムの内容にもよりますが、 JPCERT/CCが発行したコラム「Webサイトへのサイバー攻撃に備えて」によると、1年に1回程度の定期的な脆弱性診断と、システムに変更が実施された場合の都度実施が推奨されています。

脆弱性診断の導入事例とは

脆弱性診断は数多くの企業で実施されています。ここでは、その事例について順番にみていきましょう。

数百万規模のユーザーを持つECサイトの脆弱性診断

とあるECサイト運営企業は、数百万規模のユーザーを持つECサイトのリニューアルに際して、脆弱性診断の実施を決定しました。ECサイト内に保持している情報は、顧客の個人情報など機密性が高いものが多く、情報漏えいのリスクを極力低く抑えたかったためです。診断の当時には、不正な値の入力試行や、不正コードの挿入等の擬似攻撃を実施しています。

具体的には、以下の順番で脆弱性診断が進みました。

  1. 社内のシステム構成確認
  2. 脆弱性診断の対象範囲確定
  3. ツールと手動での脆弱性診断実施
  4. 脆弱性診断の結果報告

結果として4週間と大がかりな診断になりましたが、該当するWebアプリケーションに対し、ツールでの診断を行いつつ、攻撃者の観点でツールでは検出不可能な診断を手動で実施しました。その結果、リニューアル時の追加機能に情報漏えいの可能性が高い脆弱性を発見し、大規模な損害の発生や社会的信用の失墜を防げました。

コワーキングスペースの新規整備を安全に実施

とある観光が主力の地方公共団体では、テレワークやワーケーションなどに代表される働き方改革の流れに対応するため、コミュニティセンターを改修することによるコワーキングスペース整備計画を進めていました。しかし通信環境のセキュリティ確保が難しく、整備のうえでの大きな課題となっていました。そこで、このセキュリティ上の課題解決のために脆弱性診断へ着手を決定します。

着手を決定したタイミングでは日本は緊急事態宣言中で、現地まで移動しての脆弱性診断は困難だったため、コワーキングスペースと担当者のネットワーク環境を接続し、リモートでの脆弱性診断実施に踏み切ります。診断当日は、診断用端末をコワーキングスペースのネットワーク機器に物理接続し、脆弱性診断通信データの間に他の通信が介入しないよう注意のうえ、診断中に発見された脆弱性で、リアルタイムに対応可能なものは団体の職員が対応するといった内容で進められました。結果、脆弱性診断は無事完了し、後日提出された脆弱性レポートに従ってセキュリティ対策を実施することで、コワーキングスペースのセキュリティは強固なものとなりました。

リモートでの脆弱性診断と現地での脆弱性診断で診断できる項目はほぼ同じなので、リモートでの脆弱性診断は今後一般的になっていくものと考えられます。しかしながらネットワークに接続されていることが前提の診断になってしまうので、診断の最中にネットワークが必ず切れるといった事象に見舞われた場合、診断の継続は不可能です。また、ネットワーク機器の問題で、接続ポートにより問題が発生する・しないが分かれてしまうような場合もあります。その他、何か問題が発生した場合でも、即時での調査が不可能なため、効率は悪くなるでしょう。このようなリスクを踏まえたうえで、リモート脆弱性診断の実施を検討していきましょう。

脆弱性診断ならインフォメーション・ディベロプメントへ

脆弱性診断とは、自社のシステムに対してセキュリティ的な脆弱性の有無を診断することです。脆弱性を放置すると、攻撃者に隙を与えてしまい、セキュリティリスクが増大してしまいます。1年に1回程度の定期的な脆弱性診断の他に、システムに変更が実施された場合にも脆弱性診断を実施していくことがセキュリティ専門の機関から推奨されています。

インフォメーション・ディベロプメントでは、システムの脆弱性レポートをワンクリックで作成できる「Azure Defender for IoT」を販売しています。まずはお気軽にご相談ください。

 Azure Defender for IoT | ID インフォメーション・ディベロプメント

当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。

エバンジェリストによるコラムやセミナー情報、
IDグループからのお知らせなどをメルマガでお届けしています。

メルマガ登録ボタン

関連するナレッジ・コラム

似ているけど違う!?「防災活動」と「BCM(事業継続マネジメント)」の違い

【エバンジェリスト・ボイス】初動が最重要!事業継続マネジメント(BCM)と事業継続計画(BCP)

【エバンジェリスト・ボイス】2020年に発生したクラウド障害とは