脆弱性診断(セキュリティ診断)とは?必要性や種類、方法まで徹底解説
投稿者:S&Nデジマ担当
近年、サイバー攻撃の高度化・巧妙化が進んでおり、企業や組織にとって情報セキュリティ対策の強化は喫緊の課題と言えます。こうした中、サイバー攻撃への対策の1つとして注目されているのが「脆弱性診断(セキュリティ診断)」です。本記事では、脆弱性診断の概要からその必要性、種類、方法に加え、最近注目のASMとの違いまで解説します。
脆弱性診断(セキュリティ診断)とは?
脆弱性診断(セキュリティ診断)とは、システムやネットワーク、Webアプリケーションに脆弱性がないかをチェックし、そのリスクを評価するプロセスのことです。悪意のあるサイバー攻撃者(脅威アクター)は、脆弱性を悪用してランサムウェアなどを侵入させることが多いため、適切なセキュリティ対策を講じる上でも重要です。
脆弱性とは?
脆弱性とは、OSやソフトウェア、VPNなどのネットワーク機器をはじめとするハードウェアにおける欠陥や不備のことです。プログラミングのミスによるバグや設計上の欠陥、最新バージョンのアップデート漏れなどによって生じます。脆弱性が放置されてしまうと、悪意のあるサイバー攻撃者により悪用され、情報漏えいや不正アクセスといった被害につながるおそれがあります。
脆弱性診断の必要性
脆弱性を放置すると、悪意のあるサイバー攻撃者に悪用されるリスクが高まります。情報漏えいや不正アクセスによって、金銭的な被害や企業のレピュテーション(信用、評判)が毀損されるほか、システムやデータが使用不能になって事業継続が困難になるおそれもあります。
そうした事態を未然に防ぐためにも、定期的に脆弱性の有無をチェックし、リスク評価をすることは重要です。ISMS(情報セキュリティマネジメントシステム)やPCI DSS(クレジットカードにおけるグローバルセキュリティ基準)でも、定期的な脆弱性診断を求めています。
なお、脆弱性診断と混同されがちなものに「ペネトレーションテスト」があります。脆弱性診断とペネトレーションテストでは目的が異なります。
脆弱性診断は、脆弱性を特定してリスク評価するのが目的であるため、システム全体に対して行います。しかし、ペネトレーションテストは実際にサイバー攻撃を受けた場合、セキュリティ対策がどの程度機能するかを評価し、課題を洗い出すのが目的です。そのときに置かれた状況や達成したい目的に合わせて使い分けることが大切です。
脆弱性診断の種類と方法
脆弱性診断は、対象によって様々な種類があります。ここでは、デジタル庁がとりまとめた「政府情報システムにおける脆弱性診断導入ガイドライン」(2024年1月31日改訂)で対象としている3種類を紹介します。
プラットフォーム脆弱性診断
サーバやネットワーク機器などに対し、擬似的な攻撃を行うことで脆弱性やセキュリティリスクの有無を確認します。自動化されたツールを用いるのが一般的ですが、誤検出(偽陽性)の精査やツールで検出できない脆弱性の診断は手動で行います。
Web アプリケーション脆弱性診断
Web アプリケーションやWebアプリケーションプログラミングインターフェイス(Web API)に対し、擬似的な攻撃をすることで、情報漏えいやサイト改ざんなどにつながる脆弱性の有無を確認できます。
ツールによる自動診断だけに頼ると、Webアプリケーションの仕様に起因する脆弱性を検出が困難なため、専門家により手動診断と併用する必要があります。
スマートフォンアプリケーション脆弱性診断
Google Android や Apple iOS/iPadOS 端末上で動作するスマートフォンアプリケーションに対して行います。アプリ本体だけではなく、アプリとサーバの通信も対象となります。アプリ本体をツールで自動解析するほか、リバースエンジニアリングを用いることもあります。
最近注目のASMと脆弱性診断の違いとは?
ASM(アタックサーフェスマネジメント、Attack Surface Management)は、外部から把握できる情報を用いて組織のIT資産を発見・管理する手法です。サイバー攻撃者と同じ視点でIT資産を調べ、攻撃者にとって魅力を感じる脆弱性などのサイバーリスクを可視化する方法とも言えます。
ASMと脆弱性診断は、脆弱性などのリスクを検出・評価するという点が共通しています。
しかし、ASMはそれまで把握できていなかったIT資産も対象に含まれます。様々な部門で使われているのに、情報システム部門が把握できていない「シャドーIT」はその典型例です。一方、脆弱性診断は、把握済みのIT資産のみが対象です。
また、ASMはあくまでも通常アクセスの範囲内で行われるので、脆弱性の可能性を示すだけにとどまります。しかし、脆弱性診断は、擬似的な攻撃への応答を評価するため、脆弱性を特定できる可能性が高まります。
さらに、脆弱性診断は擬似的な攻撃を実施するため、セキュリティツールに検出され、システムダウンを誘発するリスクがあります。しかし、ASMは通常アクセスの範囲内なので、検出されることがほとんどありません。
対象 | 脆弱性の特定確度 | 対象の影響 | |
ASM | インターネット上を検索し、発見したものを対象とする | 通常アクセスの範囲で行うため確度が低い可能性がある | パケットがセキュリティ監視装置に検出されることはほとんどない |
脆弱性診断 | 対象をあらかじめ指定する | 攻撃を模したパケットを送信し、その応答を評価することで一定の確度が確保される | セキュリティ監視装置でアラームを検出したりシステムダウンを誘発したりすることがある |
セキュリティ対策には「脆弱性診断+ASM」が求められる
サイバーリスクに備えるには、脆弱性を特定して適切な対策を講じることが必要です。しかし、急速なデジタルシフトやテレワークの推進によって、情報システム部門が把握していないデバイスやクラウドサービスなどの「シャドーIT」がもたらすリスクは、計り知れないレベルとなってきています。
最大のセキュリティリスクは、「自分が外部からどう見えているか把握できていないこと」にあります。シャドーITは、サイバー攻撃者から見えているのに、自分では見えていないIT資産であり、攻撃者にとっては実に魅力的な侵入経路である可能性が高いと言えるでしょう。
いくら頑張って守ろうとしても、把握していないものを守ることはできません。脆弱性診断では、把握しているIT資産を調べられますが、未把握なものは調べることもできません。つまり、脆弱性診断とAMSの双方を継続的に実施することが、セキュリティ対策には不可欠です。
最後に
今回は、脆弱性診断の概要からその必要性、種類、方法に加え、最近注目のASMとの違いまで解説しました。日本情報通信(NI+C)では、各種脆弱性診断やASM、その他の多くの製品を取り扱っております。気になるソリューションがございましたら、ぜひお問合せ下さい。