1. TOP
  2. QT PRO 公式blog
  3. セキュリティ
  4. セキュリティ診断(脆弱性診断)とは?診断内容や実施の重要性、タイミング

セキュリティ診断(脆弱性診断)とは?
診断内容や実施の重要性、タイミング

2022年4月8日

セキュリティ診断(脆弱性診断)とは?診断内容や実施の重要性、タイミング

サイバー攻撃が巧妙化かつ増加傾向にある昨今、IT機器やWebアプリケーションなどに、あらかじめ脆弱性がないかを確認し対策をおこなう重要性がますます高まっています。その際に必要となるのがセキュリティ診断(脆弱性診断)です

今回は、セキュリティ診断の内容や実施の重要性、また実施すべきタイミングについてご紹介します。
本記事を参考にセキュリティ診断を実施し、サイバー攻撃への確実な対策を行いましょう。

この記事の内容(クリックで開閉します)

1. セキュリティ診断(脆弱性診断)について

セキュリティ診断(脆弱性診断)について

まず、セキュリティ診断(脆弱性診断)とペネトレーションテストとの違いについて詳しく解説します。

1.1. セキュリティ診断(脆弱性診断)とは

セキュリティ診断(脆弱性診断)とは、ネットワークやサーバーなどのIT機器のOS・ミドルウェア、Webアプリケーションなどに脆弱性がないかを確認する診断です。セキュリティ診断をおこなうことで、IT機器やWebアプリケーションを公開するうえでのリスクを低減することができます。

セキュリティ診断には主にプラットフォーム診断とWebアプリケーションの2種類があります。それぞれの詳細は「セキュリティ診断の種類」で解説します。

1.2. ペネトレーションテストとの違い

セキュリティ診断と混同されやすい診断として、「ペネトレーションテスト」があります。使用者によって意味に多少の差があるものの、セキュリティ診断とペネトレーションテストの大きな違いは「実際に攻撃を仕掛けるかどうか」だと、とらえてよいでしょう。

セキュリティ診断はツールなどを使用して脆弱性の有無や悪用された場合にどういったリスクがあるのかを診断します。一方、ペネトレーションテストは、現実的な攻撃シナリオに沿って攻撃を行い、攻撃に対する耐性(侵入可否・侵入後の悪用可否など)を確認します。

実際に攻撃をおこなうため、稼働中の機器に実施するとサービス停止などが発生する可能性がある点に注意が必要です。 また、クラウドなど外部の機器・サービスに対するペネトレーションテストは攻撃とみなされますので実施してはいけません。 セキュリティ診断においても、クラウドサービスごとにどこまでの診断を許可するのかの規約がありますので、あらかじめ確認したうえで診断をおこなうようにしましょう。

2. セキュリティ診断の種類

セキュリティ診断の種類

セキュリティ診断には、大きく分けてプラットフォーム診断とWebアプリケーション診断の2種類があります。それぞれ内容を見ていきましょう。

2.1. プラットフォーム診断

プラットフォーム診断は、OSとミドルウェア、サービスポートの開放設定などに設定不備がないかを検査するサービスです。 具体的には、OSやミドルウェアに脆弱性が見つかったバージョンが利用されていないか、サービス提供に関係ないポートやプロトコルが動いていないか、各サービスに悪用されやすい要素がないかなどを確認します。

例えばQT PROのプラットフォーム診断サービスでは、これらのプラットフォームに存在する脆弱性や設定の不備を網羅的に検出し、抜本的な対処のサポートを行います。

2.2. Webアプリケーション診断

Webアプリケーション診断は、主にURLをベースに診断を行い、サーバー上で動作するWebアプリケーションの脆弱性がないかを検査するサービスです。
クロスサイトスクリプティングやSQLインジェクションなどのWebアプリケーションに対する攻撃への脆弱性は、プラットフォーム診断ではなくWebアプリケーション診断での確認が必要になります。

3. セキュリティ診断の手順と方法

セキュリティ診断の手順と方法

ここでは、経済産業省(METI)の定める「情報セキュリティサービス基準」に適合したサービスであるQT PROの「プラットフォーム診断サービス」をもとに、セキュリティ診断の手順や具体的な対応を解説します。

3.1. ツール診断と手動診断

セキュリティ診断は、専用のツールかもしくは手動で診断を行います。 プラットフォーム診断におけるOS、ミドルウェアの脆弱性や、ポート、プロトコルの稼働状況の確認は、ツールによって検査されることが多いです。
サービスごとの脆弱性やWebアプリケーション診断での画面遷移など、細かな検査は手動で行い、ツールでは検出できない脆弱性を確認します。

3.2. オンサイト診断とリモート診断

現地に出向いて直接診断するオンサイト診断か、インターネットを通して診断をおこなうリモート診断かでも方法が異なります。 オンサイト診断は直接接続しファイアウォールなどを内部セグメントから診断することに対し、リモート診断ではサイトを利用するユーザーと同じようにインターネットを介した状況下で脆弱性を探すことになります。

オンサイト診断のメリットは、ネットワークが分離された内部の脆弱性をチェックできることです。一方デメリットとしては、エンジニアの派遣費用など追加料金が発生する場合があること、お客様の環境によっては入室手続きなどの追加業務が発生する可能性があることが挙げられます。

またリモート診断のメリットは、ユーザーと同じ環境下で脆弱性診断がおこなえること、エンジニアの出張費用がかからないことです。デメリットは、ネットワークが分離された内部のチェックができないことなどがあります。

3.3. 結果報告(報告書の提出・報告会)

診断結果をもとに、対象機器に存在する脆弱性と悪用のリスク、対処方法などがまとめられた診断報告書が診断業者から提出されます。

QT PROのプラットフォーム診断サービスでは、「報告書の提出のみ」と「報告書提出と報告会による説明」の2つのパターンがあります。 報告書のみでは対処が難しい、セキュリティ全般に関する困りごとを相談したいというお客さまに対しても充実したフォローをご用意しています。

4. セキュリティリスクと事故・被害事例

ここでは、一般的に想定されるセキュリティリスクと実際に発生した事故・被害事例をご紹介します。 総務省のサイトでさまざまな事故・被害の事例が紹介されています。併せてご覧ください。

4.1 不正アクセス、個人情報の流出

不正アクセス、個人情報の流出

サーバーの設定不備や脆弱性を悪用され、不正アクセス・個人情報の流出につながるケースが数多く発生しています。

あるショッピングサイトでは、SQLインジェクション攻撃を仕掛けられお客さまの個人情報が大量に流出した事例が発生しています。 設定の不備や脆弱性を悪用されないためにも、セキュリティ診断を活用し定期的に設定やOS、ミドルウェアを見直す必要があるでしょう。

4.2. ウイルス、マルウェアへの感染

ウイルス、マルウェアへの感染

近年は巧妙な手口でウイルス、マルウェアに感染させようとする攻撃が増えています。標的型攻撃メールによるEmotetやWannacryなどのマルウェア感染は大きなニュースにもなりました。 たった1通のメールから重要な企業情報漏洩につながる点に十分な注意が必要です。

また、有名ダウンロードサイトに見せかけた偽サイトからソフトをダウンロードしたことでウイルスに感染した事例も発生しています。ウイルスが新種だったためにウイルス対策ソフトで検知されず、感染に気付いたのは数ヵ月後でした。

現在では、AIを活用して未知のマルウェアを予測し検知する技術も生まれています。ウイルス対策ソフトを選ぶ際には、最新技術を利用して未知のマルウェア対策ができるかという観点が重要な時代になってきたといえるでしょう。

4.3. 信頼喪失による企業存続の危機

信頼喪失による企業存続の危機

サイバー攻撃からセキュリティインシデントが発生すると、企業は世間・顧客からの信頼を失うことになります。損害賠償などのさまざまなコストに加えて、これまで培ってきたブランドイメージにも傷がつき、企業存続も危ぶまれる状況になりかねません。

日本ネットワークセキュリティ協会(JNSA)の発表では、セキュリティインシデントによるブランドイメージ毀損は企業の売上高に対し数十パーセント程度の損失を引き起こす恐れがあるとされています。また、大手サービスの公式サイトで情報漏えいが発生した際には、事件発覚直後に40%程の株価下落が確認されています。

企業には、セキュリティインシデントが企業に与える影響を十分に認識したうえでのセキュリティ対策をおこなうことが求められます。

5. セキュリティ診断が必要な理由

セキュリティ診断が必要な理由

前項では一般的なセキュリティリスクの事例と対策を紹介してきました。改めてセキュリティ診断が必要な理由を詳しく解説します。

5.1. サイバー攻撃が高度化している

近年のサイバー攻撃は非常に高度化しています。標的型攻撃メールや偽サイトを見分けるには多角的な判断が必要になり、IT機器に対する攻撃に対抗するには攻撃手法などの専門的な知識が必要になります。
高度化するサイバー攻撃に対応するためには、運用保守担当の運用スキルが求められます。最新のツール・サービスを活用しつつ、さらにセキュリティの専門家から適切なサポートを受けることも重要です。

QT PROでは経済産業省(METI)の定める「情報セキュリティサービス基準」に適合した「QT PRO マネージドセキュリティ」を提供。専任の技術者によるサポートを実施します。

5.2. サイバー攻撃が年々増加している

警視庁が報告している「サイバー空間におけるぜい弱性探索行為等の観測状況」から、サイバー攻撃の準備行為とみられる探索が例年増加傾向にあることがわかっています。
1日1IPアドレスあたりで令和元年度には4192.0件だった探索行為が令和2年度には6506.4件と、約1.5倍に増加しています。 インターネット上では常に攻撃者が標的を探していることを認識し、適切なセキュリティ対策をおこなう必要があるでしょう。

5.3. 情報セキュリティインシデント発生時のリスクを抑える

万一情報セキュリティインシデントが発生した場合、事前にセキュリティ診断をおこなっていれば被害を最小限に抑えることができます。

例えば、メール送信機能を利用しないサービスしか公開していないにも関わらずメール送信で利用されるポート・プロトコルが動いていれば、その機器を踏み台に不正にメールを送信されるなどのリスクが生まれます。
万一の状況に備える意味でも、セキュリティ診断の重要性は高いといえます。

5.4. サービスの安心・安全性に対する意識の高まり

近年大手企業でも情報漏えいが多数発生していることを背景に、ユーザー側でも安心して利用できるサービスであるかの期待や感度が高まっています。
セキュリティ診断を実施し適切なセキュリティ対策をおこなっていることをサービスを公開するうえで明確にすれば、ユーザー側でも安心してサービスを利用できるでしょう。

6. セキュリティ診断を実施する基準とタイミング

セキュリティ診断を実施する基準とタイミング

最後に、セキュリティ診断を実施する基準とタイミングをご紹介します。

6.1. システム監査の時期

システム監査の際には、運用している機器のセキュリティ対策を確認するためにセキュリティ診断の実施を求められることが多いでしょう。
監査で求められるセキュリティレベルにより、診断結果でどこまでの対策を実施するべきかは異なります。システム監査の際は診断実施とあわせて、セキュリティ要件にあわせた対応範囲を相談できる診断事業者を選ぶべきです。

6.2. 自社のセキュリティ対策を見直し・強化するとき

自社内でセキュリティ対策の見直し・強化をおこなう際にセキュリティ診断を活用するのもよいでしょう。 セキュリティ診断は費用がかかるため予算と相談にはなりますが、定期的にセキュリティ診断を実施しセキュリティ対策の見直しをおこなうことが望ましいです。

6.3. 新しくシステムやWebサイトを構築したとき

新しくシステムやWebサイトを構築した際は、本稼働前にセキュリティ診断を行い脆弱性を解消しましょう。
セキュリティ診断をおこなわずに公開してしまうとサイバー攻撃にあうリスクが高まります。また、脆弱性の修正のためにサービス停止が必要となる場合のユーザーへの影響発生を防ぐことができます。

6.4. 自社や業界基準でセキュリティ診断の規定があるとき

自社や業界基準でセキュリティ診断の規定がある場合は、その規定に沿って診断をおこなうようにしましょう。セキュリティ診断は少なからずコストがかかります。規定がない場合は、実施範囲(インターネット上に公開する機器、不特定多数に公開する機器など)や実施頻度(年に何回実施するか)などを定めて運用しましょう。

7. まとめ

まとめ

今回は、セキュリティ診断の内容や実施の重要性、また実施すべきタイミングについてご紹介しました。 セキュリティ診断は、プラットフォーム診断とWebアプリケーション診断の2種類でIT機器やWebアプリケーションの脆弱性を検査するサービスです。

この記事を参考にセキュリティ診断サービスを有効に活用し、サイバー攻撃への適切な対策を行いましょう。


関連リンク