脆弱性診断とは？診断の分類や流れ、おすすめの診断サービスをご紹介

自社で運用しているシステムやアプリケーション、あるいはネットワーク、サーバなどにおいて、安全性がきちんと担保できているか、日ごろから気になっている方は多いことと思います。もしそれらに意図しない脆弱性があり、そのままの状態になっていれば、自社や客先に深刻な悪影響を及ぼしてしまう恐れも考えられるでしょう。
今回は、自社システムなどの安全性をチェックする「脆弱性診断」について、その概要や種類、診断の流れなどをご紹介します。脆弱性診断について詳しく知りたい方は、ぜひご参考にしてください。

脆弱性診断とは、企業で運用しているシステムやアプリケーション、あるいはネットワーク、サーバなどにセキュリティ上の問題点がないかをチェックすることです。
脆弱性とは、セキュリティ面における弱点の総称で、プログラム上のバグなどもセキュリティへの影響次第で脆弱性に含まれることがあります。

脆弱性診断はなぜ必要か

プログラムに脆弱性のある状態を放置していると、悪意ある第三者によるサイバー攻撃や、それによる情報漏えいなどのリスクが高まります。それらによる被害を回避するため、セキュリティ上の問題点がないか定期的にチェックすることは、情報漏えいなどによる損失を防止することにもつながるのです。
セキュリティ事故による損害はときに巨大な規模になることがあり、企業内資産や企業価値を脅かすほどになる事例も報告されています。自社でシステムやアプリケーションを運用している企業にとって、セキュリティ面のチェックは欠かせないものともいえるのです。

脆弱性を狙ったサイバー攻撃の事例

近年においても、セキュリティ上の脆弱性を狙ったサイバー攻撃の事例は後を絶ちません。

2022年3月には大手自動車メーカー向けの部品メーカーがランサムウェアの攻撃を受けました。VPN脆弱性を悪用して侵入されたことが攻撃のきっかけとなり、国内の全工場が丸一日ほど操業停止に追い込まれた事案が発生しました。
また、2022年6月には国立大学の学内サーバがSQLインジェクションと呼ばれるサイバー攻撃を受け、2,000件を超える個人情報流出を招くこととなりました。

これらの事例から分かることとして、セキュリティ事故は巨大企業や官公庁など大規模組織だけを狙うのではないという事実があります。中堅・中小企業や教育機関・医療機関、サプライチェーンなどが標的になるケースも、実際に多く発生しているのです。
すべての企業・団体・個人において、強固なセキュリティの構築が求められていることが分かります。

ペネトレーションテストとの違い

脆弱性診断と似たようなセキュリティ対策として、ペネトレーションテストがあります。ペネトレーションテストでは、侵入や情報詐取など実際に存在するサイバー攻撃を模したテストを行います。情報システムや機器だけでなくネットワークや運用上の問題も含めてテストの対象とし、範囲を絞りながら攻撃シナリオを作成して実施することで、サイバー攻撃のリスクと課題を可視化します。
また、現在適用している情報セキュリティ対策にどれくらいの効果が実際にあるのか、発見したリスクを放置するとどのような危険性があるのか、といったことも測定可能です。

参考コラム：ペネトレーションテストとは？脆弱性診断との違いも解説

脆弱性診断は、診断対象によって主に2つの種類に分類できます。ここでは、大きく2種に分けられる脆弱性診断の種類について、それぞれご説明します。

プラットフォーム診断

プラットフォーム診断でチェックされる対象は、端末やサーバに搭載されるOSやミドルウェア、ネットワーク機器などです。プラットフォーム診断では、これらについて脆弱性の有無を検査します。
プラットフォーム診断の主な手法は、機器の設定確認やネットワークスキャンです。これらのチェック結果から、脆弱性を検出します。またこの際、不要な外部接続ポートがオープンになっていないかも調査します。

アプリケーション診断

アプリケーション診断におけるチェックの対象は、Webアプリやスマートフォンアプリです。各アプリケーションのプログラムに、セキュリティ上の問題点がないか検査・判断し、問題が見つかったら、攻撃が実現する可能性について攻撃者側の立場より診断を行います。自社Webサイトや専用アプリで顧客の重要情報を扱っている場合は、この診断を受けたほうが良いでしょう。

脆弱性診断には複数の手法があり、その診断手法によっても分類を行えます。ここでは、脆弱性診断の診断手法の違いについても見ていきましょう。

何を使って診断するか

診断を行うのが人かツールかによって、以下のように手法が分類されます。

・マニュアル診断
診断担当者が、状況を目視確認しながら診断を行う手法です。目視確認しながら行うためアクティブスキャンによる負荷は比較的問題なく、深いチェックが可能なことがメリットです。
ただし診断内容は担当者のスキルに依存し、また、診断に時間がかかります。

・ツール診断
人の手ではなく専用ツールを用いて、自動検査による診断を行う手法です。手軽に診断を行うことができる点がメリットですが、アクティブスキャンのため対象システムに負荷をかけるおそれがあります。

どこから診断するか

診断する対象物の、診断元からの距離によっても以下のように手法が分類できます。

・オンサイト診断
診断担当者が、診断対象となるネットワーク環境下へ直接出向き、現場で診断を行う手法です。内部ネットワークの診断に適しています。

・リモート診断
診断担当者が現場に出向くことなく、遠隔地からオンラインで診断を行う手法です。外部ネットワークからネットワークに接続するサーバの脆弱性や、アクセス制限の診断を行う場合に適しています。

現在、脆弱性診断の手法として主流となりつつあるのは、診断用ツールを用いた遠隔地からの自動診断です。前の項目を例に分類すると、「ツール診断かつリモート診断」ということになります。
ここでは、ツールによるリモート診断を例に挙げ、診断の主な流れをご説明します。

1.診断の準備を行う

まず、診断に必要なツールをインストールします。
その後、ツール上で診断に関する詳細設定をします。診断対象や診断基準、認証を必要とする箇所などについて、ここでセッティングをします。それらが済んだら、チェック箇所のクロール（画面遷移記録の取得による情報収集）を実行します。

2.診断を実行する

診断に際し、まず自動スキャンを行います。これは診断対象箇所に対し、サイバー攻撃におけるスキャンを模した疑似リクエストを送信するものです。
なお、クラウドサーバ上にあるWebアプリケーションをスキャンする場合は、クラウドの管理元へ事前に申し入れが必要となる場合もあるため、注意しましょう。
上記の診断が実行されたら、その結果が記録されます。

3.レポートを出力し、結果に応じた対処を行う

診断結果が記録されたレポートが送られるため、その内容を確認します。その上で、誤検知などがないかチェックが行われ、その後に必要に応じて再診断を行ったり、脆弱性が見つかった箇所の改修対応を行ったりします。

リモートによるツール診断を定期的に行う場合、手動のオンサイト診断と比較してコストを抑えられる点や、診断スケジュールの調整を行いやすい点などのメリットがあります。

アクセリアでは診断方法の調整や診断対象の洗い出しなど、総合的な支援も可能な「Webセキュリティ診断サービス」をご提供しています。
ツールと手動を併用した効率的かつ高品質な脆弱性診断で、Webアプリケーションに内在する脆弱性を調査します。
一般的に脆弱性診断が難しいとされるモダンなプロトコル、例えば、リアルタイムチャットやゲームで用いられるWeb Socket、gRPC、GraphQLだけではなく、FirebaseやSalesforceなどのクラウドで用いられるプロトコルにも対応可能です。(実施には条件がありますのでご相談ください)

これから脆弱性診断を取り入れたい方や、もっと高い頻度で定期診断を行いたいと考えている方におすすめのサービスとして、リスクを自動検知してレポートを出力する「セキュリティレポートサービス」が挙げられます。

アクセリアでご提供している「パケットキャプチャ型セキュリティレポートサービス」も、その1つです。

実際の通信状況からリスクを検知

パケットキャプチャ型セキュリティレポートサービスでは、実際の通信状況からリスクを検査します。机上の検討ではなく、実際に行われている通信からサイバー攻撃の兆候を検知してレポートを送信するため、最新の脅威への対応だけでなく設定の不備にも気付くことが可能です。加えて、実際の通信から読み取れるサイバー攻撃の兆候をレポートするため、今まさにサイバー攻撃が行われている場合は早期発見にご活用いただけます。

アクティブスキャンではなく実際の通信を検査するためシステムへの影響も最小限に抑えられ、日常的な運用を極力妨げずに脆弱性診断を実行できます。迅速に最新のセキュリティリスクに対応でき、社内システムやアプリケーションのさらなる安全性強化に役立つでしょう。

サイバー攻撃による被害がたびたび報告され、企業としても「あすは我が身」の備えについて必要性を感じているかと思います。そのリスクを高めてしまう脆弱性は意図して生まれるものではないため、つねに最新の情報に沿った対策を行わなければなりません。

▶Webセキュリティ診断サービスサービスページ
▶パケットキャプチャ型セキュリティレポートサービスサービスページ