脆弱性診断でわかること ツールを選ぶときのポイント
新しい脆弱性の発見は、ユーザーにとって大きな脅威になります。脆弱性はセキュリティの問題点であり、サイバー攻撃の突破口となって多くの攻撃を引き寄せるからです。サイバー攻撃の被害に遭うことを避けるためには、できるだけ速やかに脆弱性を発見して対策を行わなければなりません。
ここでは、脆弱性診断とは何か、脆弱性診断で何が分かるのか、脆弱性診断はどのように行われるのかを解説していきます。
脆弱性診断の効果とリスク
脆弱性(Vulnerability)とは、セキュリティ上の問題点のことです。OS、ミドルウェア、アプリケーション、Webアプリケーションなど、プログラムの動いている場所ならどこででも発見される可能性があります。脆弱性はサイバー攻撃を引き寄せ、大きな被害をもたらす可能性があるのです。
サイバー攻撃の被害を防ぐためには脆弱性の早期発見と対策が必要ですが、そのためには適切なタイミングでの脆弱性診断が必要です。
脆弱性診断とは
脆弱性診断とは、使用しているプログラムに脆弱性がないか診断することです。セキュリティ診断やセキュリティ検査、脆弱性検査、とも呼ばれます。脆弱性診断の対象となるのは、ネットワーク・OS・ミドルウェアやWebアプリケーションなどのプログラムです。
脆弱性診断を適切なタイミングで行うことで、セキュリティに関するリスクをチェックし、必要な対策を講じることができます。脆弱性診断は、システムを安全に利用して情報をサイバー攻撃から守るために必要なのです。脆弱性診断のタイミングは、一般的には次のとおりです。
- システム開発中のチェックポイントと、ローンチ前の最終段階(システム提供側が行う)
脆弱性診断後の対策についての詳細は、「担当者必見!脆弱性対策の進め方から具体的な対策方法までを解説!」もご参照ください。
脆弱性診断の効果
脆弱性診断を行うことで、次のような効果が得られます。
- インシデントの発生と被害を最小限に抑える
システムの脆弱性を放置すると、サイバー攻撃を防ぎきれず、情報漏えいやシステム改ざんなどの被害が発生する可能性があります。脆弱性診断とその後の対策を行うことで、これらのインシデントの発生を防ぎ、被害を最小限に抑えることが可能です。
インシデントやその対応については、「インシデントレスポンスとは?重要性や対応フローについても紹介」も参考にしてください。
- セキュリティの現状を確認する
サイバー攻撃の高度化により、セキュリティへの脅威も多様化しています。そのため、定期的に脆弱性診断を行ってセキュリティの現状を確認することが重要です。これによって、サイバー攻撃の被害や情報漏えい事故などのリスクを未然に防ぐことができます。
- 外部脅威だけでなく内部脅威への対策となる
セキュリティの脅威となるのは外部からの攻撃だけではありません。ネットワーク内部のエンドポイントが汚染されたり、ユーザーの操作が原因で情報漏えいが発生したりすることもあります。
エンドポイント全体で脆弱性診断を行うことにより、それを防ぐことが可能です。
- セキュリティ対策コストを下げる
定期的に脆弱性診断を行うことで、大きな問題や被害の発生を防ぐことができます。大きな問題や被害が発生すれば、解決するために大きなコストが必要となるでしょう。一方、定期的に脆弱性診断を行えば大きな問題や被害の発生を防ぐことができ、結果的に対策や解決にかかるコストの低減につながります。
- 顧客に安全なサービスを提供する
定期的に脆弱性診断を行うことで、より安全なシステムを顧客に提供することができます。サプライチェーン全体でのセキュリティ対策が叫ばれる現在、システムの安全性を常に担保することは、顧客との関係維持や新規ユーザー獲得に貢献するでしょう。
脆弱性診断を行わないとどうなるのか
反対に、脆弱性診断を行わなかった場合、次のようなリスクが生じます。
- サイバー攻撃により、システム改ざん、情報漏えいなどの被害が発生するリスク
- マルウェアに感染するリスク
- ランサムウェアや不正送金など金銭目的のサイバー攻撃の被害に遭うリスク
- マルウェア配布やなりすましなどの踏み台にされ、被害者になるだけでなく、加害者にもなるリスク
- 情報漏えいが起きたり、踏み台にされたりすることで、企業の信用が失墜し、損害賠償が発生するリスク
これらのリスクを防ぐためには、定期的な脆弱性診断が必要です。定期的に適切な脆弱性診断を行うことは、サイバーハイジーンの一部でもあります。
サイバーハイジーンについては、「今の時代こそ求められるサイバーハイジーンの必要性を徹底解説!」もご覧ください。
脆弱性診断でわかること
脆弱性診断には、アプリケーション診断とプラットフォーム診断の2つがあります。それぞれ、次のような診断を行います。
アプリケーション診断
アプリケーション診断では、アプリケーションに含まれるセキュリティ上の問題点、特に既知の脆弱性への対応を検査します。対象は、OSやミドルウェアの上で動くアプリケーション、Webアプリケーション、スマートフォンアプリなどです。
アプリケーション診断では、サイバー攻撃を行う側の立場から検査します。そのため、アプリケーションを提供しているベンダーがアプリケーションをローンチする前には必須の検査と言えるでしょう。
検査する内容は次のようなものです。
- SQLインジェクションやXSS(クロスサイトスクリプティング)など、インジェクション攻撃に対する脆弱性はないか
- 不適切な認証(適切な認証によるログインなしのアクセス)に対する脆弱性はないか
- 不適切なアクセス制御に対する脆弱性はないか
- 暴露型ウイルスのようなものによる機密情報の暴露に対する脆弱性はないか
- セキュリティ設定に関するミスに対して脆弱性はないか
- 既知の脆弱性を持つミドルウェアはないか
- ログの記録は適切か
プラットフォーム診断
OSやミドルウェア、ネットワーク機器やサーバーの脆弱性、各種機器の設定に問題がないかを調べます。
- 安全でないプロトコルは使用されていないか
- 既知のセキュリティホールはないか、また、それを使用するサービスはないか
- アカウント情報の取得難易度、およびパスワード強度は十分か
- アクセス制御の設定は適切か
- 外部の第三者による管理者権限の奪取に対する脆弱性はないか
- DoS攻撃やDDoS攻撃への耐久性はどの程度か
- ポートスキャンの実行
脆弱性診断の進め方
脆弱性診断には、ツールによる診断と手動診断の2つがあります。
脆弱性診断の方法
- ツール診断
脆弱性の自動検査ツールを利用した脆弱性診断です。企業がWebサイトやWebアプリケーションの公開前に脆弱性を確認するために使われます。
短時間で全体を網羅した検査ができ、低コストというのがメリットです。ただし、手動診断よりも精度は低く、ツールを使いこなすにはある程度の経験が必要になります。 - 手動診断
専門家が手作業で検査する脆弱性診断です。ツール診断よりも精度が高く、柔軟にさまざまな検査を行えます。
セッション管理系のようなツール診断ではカバーしきれない部分の診断もできるのがメリットです。ECサイトや大量の個人情報を扱うサイトでは必須と言っていいでしょう。ただし、ツール診断よりも多くの時間やコストがかかります。
実際にはツール診断のみを行うか、ツール診断と手動診断を併用することが多いでしょう。
ツール選びのポイント
脆弱性診断を行う自動検査ツールや、脆弱性診断サービスを行うベンダーを選ぶときには、次のようなポイントがあります。
- 診断対象は何か(WEBアプリケーション、プラットフォーム、データベースなど)
- 診断項目にはどんなものがあるか(アプリケーション診断やプラットフォーム診断の内容など)
- 診断方法(ツールによる診断と手動診断のどちらか、ツール診断と手動診断を併用するか)
- 診断後のフォロー(脆弱性の指摘だけか、改善策の相談や再診断なども行うか)
- クオリティ(ツールの質、サービス提供事業者の技術レベル、レポートの精度や質など)
- 価格
まとめ:ネットワークに接続しているなら脆弱性診断が必要
最近はネットワークに接続している機器が増え、さらにサイバー攻撃の種類も数も飛躍的に増えています。サイバー攻撃のリスクはどこにでもあると言えるでしょう。企業としてサイバー攻撃のリスクを少しでも小さくするためには、定期的な脆弱性診断が不可欠です。これはサイバーハイジーンの一環でもあります。
しかし、脆弱性診断には、広範で最新の知識や情報が必要です。そのため、ツールや専門家のサポートを導入することをおすすめします。
タニウムの統合エンドポイントセキュリティは、脆弱性診断をはじめとするトータルなサイバーセキュリティを実現します。また統合エンドポイント管理と併用することで、社内すべてのエンドポイントを効率的に管理し、サイバーハイジーンを実現できます。
Tanium Platformの情報はこちら
ブログ記事に関してご質問やご要望がございましたらこちらからお問い合わせください。
Tanium Subscription Center
Get Tanium digests straight to your inbox, including the latest thought leadership, industry news and best practices for IT security and operations.
SUBSCRIBE NOW