脆弱性診断(セキュリティ診断)とは?
脆弱性診断とは、自社で利用するネットワークやコンピューターシステム、アプリケーションに存在する脆弱性の有無を把握し、セキュリティの状態を評価するための手段です。
脆弱性とは?
脆弱性とは、ネットワークやコンピューターシステム、各種アプリケーションなどにおける弱点や欠陥のことを指します。これらの弱点や欠陥は、サイバーテロなどを意図する悪意のある攻撃者によって悪用される恐れがあり、それによってシステムやデータがサイバーセキュリティ上の脅威にさらされることになります。
脆弱性診断(セキュリティ診断)では、そうしたネットワークやコンピューターシステム、アプリケーションなどのサイバーセキュリティ上の脅威になり得る弱点を特定し、対策を検討します。
脆弱性診断とペネトレーションテストの違い
ペネトレーションテストとは、侵入テストともいわれます。ネットワークやシステム、各種のアプリケーションなどにおける重大な弱点や欠陥を特定・評価するための手段であるという点では脆弱性診断と似ています。
ただし、脆弱性診断は、システムなどの脆弱性ポイントを特定して、リストアップすることに主眼があり、いってみれば、脆弱性の検出、評価にフォーカスしたものだといえます。これに対してペネトレーションテストは、実際の悪意ある攻撃者のようにふるまい、対象となるシステムやネットワークに対して侵入を試みることで、システムセキュリティ上の弱点や欠陥を明らかにしていこうというものです。
脆弱性診断の目的と必要性
脆弱性診断の主な目的は、対象とするシステムやネットワークなどにおけるセキュリティ上の弱点や、欠陥などの脆弱性を発見することにあります。それは同時に、診断の対象となるシステムやネットワークの安全性を評価することを意味します。なおかつ、潜在的な攻撃経路を特定することで、採るべきセキュリティ対策を明確化することも主な目的といえます。脆弱性を見出すための取り組みの深さという点では、ペネトレーションテストの方がより深みをもっているといえます。
そうした違いもあり、脆弱性診断は定型化され、自動化されたツールなどを使い、既知の脆弱性をスキャンするようなイメージですが、対してペネトレーションテストは、高い専門性をもったエンジニアが手動で、探索や攻撃技術を駆使して侵入を試み、評価することになります。そのため、ペネトレーションテストについては、評価者となるエンジニアの経験や技量に大きく左右される手法であり、コストも高額になりがちです。
脆弱性診断の種類
脆弱性診断は、その診断対象によって大きく種類が分かれています。主なものは次の通りです。
1.ネットワーク診断
不適切なネットワーク設定や、古いプロトコルを使用していないかなどの脆弱性を検出します。
2.Webアプリケーション診断
Webサイトや、Webアプリケーションにおける脆弱性を検出します。昨今はWebアプリケーションの利用が増加傾向にあり、重要性も増しています。
3.モバイルアプリケーション診断
携帯電話の普及に伴い、モバイルアプリケーションの利用度合いが進んでいます。不十分な暗号化や脆弱な通信、不適切なデータ保存などの脆弱性を検出します。
4.クラウドインフラストラクチャ診断
AWSやAzureといったクラウド環境の利用が進む中、不適切なアクセス設定などの脆弱性を検出します。
5.ワイヤレスネットワーク診断
Wi-Fiなどのワイヤレスネットワーク環境の拡充に伴い、通信が増加しています。安全な通信を確保するために、当該ワイヤレスネットワークの脆弱性を検出します。
その他、OSやミドルウェア等の脆弱性に関するプラットフォーム診断や、IoTデバイスの脆弱性診断、データベースシステムを対象とした脆弱性診断など、多様な種類があります。自社の事業の特性や、各種のシステムやネットワークなどの利用状況に応じて、必要な種類の脆弱性診断を組み合わせて、適切な診断を実施することが不可欠です。
脆弱性診断の方法
脆弱性診断のアプローチ方法には、ツール診断と手動診断の2つがあります。
ツール診断
ツール診断は、自動化されたアプリケーションなどの脆弱性診断ツールを使って、脆弱性を診断するというものです。既知の脆弱性パターンを、より迅速に、効率的に検出することができるというメリットがあります。また診断が定型化されているので、定期的に診断することで、時間の経過に伴う変化などを把握することにも有効です。
手動診断
手動診断は、文字通り、当該分野の専門家が直接システムなどを判断するというものです。ツール診断による表面的な診断では検出しにくい複雑な脆弱性についても、経験値と熟練した技量をもつ専門家であれば、発見できる可能性が高まるというメリットがある反面、時間とコストがかかるというデメリットもあります。
また、ツールによる診断であれば、常に同一品質の診断が可能ですが、属人的な診断アプローチである手動診断の場合、担当する専門家による品質のばらつきが生じる懸念があります。
脆弱性診断をより有効に活用するためには、定期的なツールによる脆弱性診断を実施して、短いスパンで自社のセキュリティの健康状態を把握し、1年に1回は手動によるペネトレーションテストを実施するといった、複合的な組み合わせが理想的といえます。
脆弱性診断の効果
前項で触れたように、脆弱性診断は人間の健康診断に似ています。今現在の自分の健康状態を適切に、正確に把握するために実施するのが健康診断です。それをシステムやネットワークに置き換えて、脆弱性があるかどうか、あるとすればどの部分に脆弱性があるのかを把握するのが脆弱性診断です。健康診断において悪い点がみつかれば、再検査もしくは治療が必要になるように、脆弱性診断で重大な問題が発見されたら、その解決を図るための対応・対策をとることが必要になります。
日本企業は、欧米の企業に比べてサイバーセキュリティに対する意識が低いといわれます。これだけ多くのランサムウェア被害が報道されていても、「わが社に限っては大丈夫」と思われている方が少なくありません。脆弱性診断を実施することで、セキュリティ上の問題を可視化できます。定期的に診断することで、前回は問題が検出されなかった箇所が、次回の診断ではリスクが高まっていると判明することもあります。脆弱性の内容・レベルによっては、それほど対策の優先順位が高くないものもあるかもしれませんが、自社の環境にどのような脆弱性があるのか、客観的に把握しておくことが重要です。
脆弱性診断の注意点
脆弱性診断を有効に活用するための注意点として、ひとつには組織として、予めセキュリティロードマップを策定し、それに即して、診断結果を踏まえた対策に優先順位をつけ、順次対応していくという体制で臨むことが重要です。
せっかく脆弱性診断を実施して、セキュリティ上の課題が明確になっても、その結果を有効に活用する仕組みがなければ、宝の持ち腐れになってしまいます。その仕組みがセキュリティロードマップです。脆弱性診断の結果を有効活用する上で、セキュリティロードマップを用意しておくことは、とても重要なポイントといえるでしょう。
2つめの注意ポイントとしては、やはりセキュリティ意識のレベルを上げていくことが重要です。サイバー攻撃のリスクは年々高まっており、重要な情報資産を積極的に守るための取り組みが必要不可欠です。セキュリティ対策への投資は売り上げに直結しないという理由で、投資対象としての優先順位を下げてしまう企業が少なくありません。しかし今日では、より積極的なセキュリティ投資が必要です。なぜなら、サイバー攻撃などによって機密情報の漏洩が発生した場合、企業が受けるダメージははかり知れないものになるためです。まずは、そうした認識を共有するために、経営層を含む組織全体での意識の向上が必要不可欠なのです。
脆弱性診断サービスを活用して、セキュリティ対策を強化する
このほど、丸紅I-DIGIOホールディングス株式会社(以下、丸紅I-DIGIO)は、グローバルセキュリティエキスパート株式会社(以下、GSX)と資本業務提携しました。この提携により、企業のセキュリティサービスに関して、各種脆弱性に関する対策資料やセキュリティ診断サービスの提供はもとより、診断結果に基づく具体的なセキュリティソリューションの提供、組織体制支援や社員などに対する教育・訓練といったサービスをワン・ストップで提供できるようになりました。
丸紅I-DIGIOがこれまで培ってきたセキュリティソリューション提供実績・ノウハウと、GSXのセキュリティ領域における総合力を掛け合わせることで、あらゆる企業のお客様のセキュリティ課題・脅威に適切な対策を提案していきます。
