脆弱性診断とは何か?初心者向け完全ガイド
脆弱性診断(別名:セキュリティ診断)とは、企業のシステム等にセキュリティ上の脆弱性がないかどうかを調べるテストのことを指します。近年はインターネットの普及・発展により、日々さまざまな企業においてサイバー攻撃による情報漏えいなどが相次いでいます。脆弱性診断はそのような事件の発生リスクをなるべく抑えるために役立ちます。本記事では、「脆弱性とは」という基本的なところから、脆弱性診断の種類・実施手順・ツールの選定ポイントまでまとめてご説明します。
1. 脆弱性診断とは何か?
1-1 脆弱性および脆弱性診断とは?
一般的に「脆弱性(ぜいじゃくせい)」とは、システム・組織・個人などが外部からの攻撃や事故、自然災害などに対して耐える力が弱い状態を指します。特にセキュリティの分野では、コンピュータシステムやネットワークにおけるセキュリティの弱点を指して言います。脆弱性が存在すると、不正アクセスやデータの改ざん、システムの機能停止などを引き起こす原因となるため、早期に発見して対策を打つことが重要です。
そこで、活用されるのが脆弱性診断です。脆弱性診断は、この脆弱性がないかどうかを調べるセキュリティテストのことを言います。
1-2 なぜ脆弱性診断が必要なのか?脆弱性診断の目的は?
セキュリティ上の脆弱性は、悪用されると重要な情報の漏えいやシステム停止などが起こる可能性があります。そのため、脆弱性診断は自社のシステム等の脆弱性を網羅的に把握することで、情報漏えい等のリスクを可視化し管理するために実施されます。
2. 脆弱性診断とペネトレーションテストの違い
脆弱性診断と混同されるセキュリティテストとして、ペネトレーションテストがあります。両者の違いは、その目的にあります。脆弱性診断の目的は、自社システム等のセキュリティ上の不備や欠陥を網羅的に洗い出すことです。一方、ペネトレーションテストは実際に脆弱性を利用してシステムへの侵入を試み、どの程度サイバー攻撃の目的を達成できるかを調べることで脆弱性を診断するのが目的です。
| ペネトレーションテスト | 脆弱性診断 | |
|---|---|---|
| 目的 | システムの脆弱性を利用して実際にサイバー攻撃の目的を達成できるかどうかの検証を通し、脆弱性を診断すること | システム自体のセキュリティ上の欠陥や不具合を網羅的に洗い出すこと |
| 診断方法 | ホワイトハットハッカーなどのセキュリティ専門家が実際に攻撃を仕掛ける | ツールや人手で診断する |
| 調査対象 | インフラや、人・組織も含むシステム全般 | Webアプリケーションが中心 |
| 調査タイミング・頻度 | 運用中のシステムに対し、 年に1~2回など |
アプリケーションの開発後やアップデート後のタイミング |
3. 脆弱性診断の種類と方法
脆弱性診断の種類と方法にはそれぞれ大きく2種類があります。3-1 アプリケーション診断とプラットフォーム診断
脆弱性診断はその対象により、アプリケーション診断とプラットフォーム診断の2つに分類されます。アプリケーション診断は、自社のWebアプリケーション内に潜む脆弱性を診断します。一方、プラットフォーム診断ではWebアプリケーションを動かすためのインフラ部分を診断します。具体的には、ネットワーク機器やOS、サーバーなどがこれに該当します。
3-2 手動診断(マニュアル診断)とツール診断
また、診断の方法には手動診断(マニュアル診断)とツール診断の2種類があります。それぞれ特徴がありますので、自社の予算や診断の目的に合わせて選択するようにしましょう。
| ツール診断 | 手動診断(マニュアル診断) |
|---|---|
| ・短期間/低コストで実施できる ・広い範囲をカバーできる |
・専門家が細かく診断する分、結果の精度が一定高い |
4. 脆弱性診断のプロセス
脆弱性診断のプロセスは準備、実施、結果分析の大きく3つに分けられます。 4-1 準備:目標と範囲の設定
まず、準備段階では脆弱性診断の目標と範囲を明確にします。どのアプリケーションを対象とするのか、どのような脆弱性を調査したいのか、診断にどの程度のコストや時間をかけられるのかまで、具体的に協議しておくと良いでしょう。それらが決まったら、具体的な診断の実施方法を選定します。
4-2 実施:脆弱性診断と評価
脆弱性診断の目標から実施方法までが確定したら、実際に診断を行います。ツール診断の場合は比較的短期間で完了しますが、手動診断の場合は長期にわたることも多いので、スケジュール管理をしておきましょう。診断結果は、優先順位を付け、リスクレベルに応じて評価していきます。
4-3 結果分析:報告と対策の提案
診断が終わったら、結果の報告と分析に移ります。ツール診断の場合はすぐにレポートを確認できることが多いです。結果をもとに、見つかった脆弱性については対策の手配を行いましょう。マニュアル診断の場合は実施者からの報告を待ちましょう。報告の際、見つかった脆弱性のリスクや対策について説明を受ける場合もありますので、専門家の意見も参考に対策を行いましょう。
5. 脆弱性診断ツール・サービスの選び方
ここからは、脆弱性診断ツールやサービスの選び方をご紹介します。以下6点のポイントを参考に選定するようにしましょう。 5-1 脆弱性診断の診断対象・範囲で選ぶ
当たり前ですが診断ツール・サービスによって、診断できる対象や範囲は異なります。準備の段階で決めておいた診断の対象・範囲がきちんと診断できるのか、という基準で選ぶようにしましょう。
5-2 脆弱性診断の精度で選ぶ
診断ツール・サービスの診断対象や範囲が同じでも、どこまで細かく診断できるか、という診断の深度は異なります。そのため、今回の脆弱性診断において具体的にどの程度深く調べたいのかを事前に把握しておき、その基準に合わせて選ぶと良いでしょう。
5-3 脆弱性診断の過去実績で選ぶ
診断ツール・サービスによっては、HP等で過去の診断実績を掲載している企業も少なくありません。例えば、「自社と類似するサービスの診断実績がある企業を選ぶ」というのも一つの選定方法として有効です。ただし、競合企業が実施しているから問題ないという安易な気持ではなく、実際の診断内容が自社の要望を満たすかどうかは確認するようにしましょう。
5-4 脆弱性診断の実施にかかる期間で選ぶ
状況によっては、とにかくスピード勝負で診断を実施したい場合もあるかと思います。そのような場合は、診断が終わるまでのスケジュール感を重視して選択するのがおすすめです。手動診断よりはツール診断の方が比較的短期間で完了することが多いです。
5-5 脆弱性診断後のアフターフォロー体制で選ぶ
診断を実施したはいいものの、結果をもとにした対策にどのように手を付けて良いのかわからなくなる可能性もあるかと思います。選定したツールやサービスによっては、報告レポートの内容が専門的で理解が難しかったり、具体的な対策までは提示されないこともあります。そのような場合に備えて、診断後のアフターフォローをどこまで行ってもらえるかというのも選定のポイントにしておくと安心です。
5-6 脆弱性診断の費用感で選ぶ
どのようなツール・サービスを利用するにしても、コストがかかる以上、最終的には社内で稟議を通す必要があるかと思います。そのため、自社の予算に見合ったツールを選定するのは最重要事項です。なるべく費用対効果の高いツール・サービスを選定できるよう、診断の目的は明確にしておくと良いでしょう。
6. まとめ
本記事では、脆弱性診断の基本から具体的な実施手順・ツールの選定方法までご紹介しました。脆弱性は、放っておくとサイバー攻撃の的となり、個人情報が漏えいするなどの事態に発展しかねません。そうなると、会社の信頼を大きく失うことになります。まだ対策を打っていない企業様は早い段階で検討することをおすすめします。弊社Priv Techでは、バグバウンティプログラムの提供をはじめとしたサイバーセキュリティサービスを提供しております。バグバウンティプログラムとは、世界中のホワイトハッカーに依頼し、見つかった脆弱性に対して報酬を支払う制度のことを指します。
定性的な脆弱性診断では発見しづらい小さな脆弱性をも発見できるため、より実効性の高いセキュリティ対策を打つことが可能です。
詳細やお問い合わせは以下のページよりご覧ください。
>>Priv Techのサイバーセキュリティサービスについてはこちら