脆弱性診断のやり方は、脆弱性診断サービスを用いるのが一般的です。専門家による手動診断と、決まったパターンで自動的に行われるツール診断があり、自社のシステムや状況に合わせた診断が必要となります。
本記事では、脆弱性診断の診断方法や対象範囲・実施のタイミングを解説します。脆弱性診断をどのように進めたらよいかわからないとお悩みの方は、ぜひ参考にしてください。
目次
[ 開く ]
[ 閉じる ]
脆弱性診断(セキュリティ診断)とは
脆弱性診断は、企業や組織・団体で使用しているネットワークやアプリケーションシステムの脆弱性を検査する診断のことです。脆弱性はシステムなどの欠陥や不具合を指し、脆弱性につけこんでおこなうサイバー攻撃も多いことから「セキュリティ診断」とも呼ばれます。
外部のネットワークに接続される機器はすべて、サイバー攻撃の標的になる可能性があります。そのため、Webサイトやアプリを運営する企業だけでなく、パソコンやスマホなどの電子機器を扱うすべての企業にとって、脆弱性診断は必要だといっても過言ではありません。
混同されやすいセキュリティ検査として「ペネトレーションテスト」があります。ペネトレーションテストは、脆弱性から擬似侵入を試み、データにたどり着くなど目的を達成できるかのテストです。脆弱性診断はシステムの脆弱性を洗い出す検査のため、根本的な目的が異なります。
脆弱性診断のやり方
脆弱性診断を行うためには、脆弱性診断サービスを利用する必要があります。脆弱性診断はシステムの欠陥や不具合を見つける検査です。組織にとって重要度が高いサーバやシステム・Webアプリケーションなど、診断する範囲に応じて適切な擬似攻撃を行う必要があります。
脆弱性診断サービスには手動診断とツール診断があり、どちらか、もしくは両方を掛け合わせることにより診断を進めます。それぞれの特徴は、以下のとおりです。
特徴 | |
---|---|
手動診断 |
|
ツール診断 |
|
手動診断とツール診断の特徴を考慮すると、得意とする部分が異なるのは明らかです。そのため、診断するシステムに適した診断方法を選ぶことが重要となります。手動診断とツール診断について、さらに詳しく解説していきましょう。
手動診断
手動診断とは、セキュリティやサイバー攻撃などの専門エンジニアが行う診断です。脆弱性診断の対象システムを、専門家の手で検査します。
機械的な方法では発見が難しいと考えられる脆弱性や、遷移先・設計ミスから考察される脆弱性を発見できるなど、精度の高い検査ができることが特徴です。細やかで高度な検証を得意とする一方で、検査にかかる日数が長くなる傾向にあり、費用もやや高めの診断方法です。
- 個人情報や決済情報を含むWebサイトを運用している
- サイバー攻撃による情報漏洩が企業として致命傷になるようなデータを保持している
特に上記のような企業は、手動診断を取り入れて多角的な検証を行うことをおすすめします。
ツール診断
ツール診断とは、脆弱性診断のために開発された診断ツールを用いて、機械的に検査を行う診断です。Webブラウザから使用できるものもあり、診断開始から結果が出るまで10分ほどで終了するツールもあります。
システムに対応していれば使用でき、既知のプログラムで擬似攻撃をすることにより幅広い検査が可能です。費用は安く済むことが多いものの、人の手が加わらないために誤検知があることや決まった範囲でしか検査できないことは留意しておきましょう。
- 一度も脆弱性診断をしたことがない
- 事業として顧客の個人情報などは扱っていない
- 新規サービスリリース前に検査しておきたい
パソコンなどでネットワークを利用して事業を行っており、上記に該当する場合、まずはツール診断を用いて脆弱性診断することがおすすめです。
脆弱性診断の対象範囲
脆弱性診断サービスで検査できるシステムの対象範囲は、組織内で使用しているシステムの広範囲にわたります。
- Webアプリケーション
- スマホアプリ
- プラットフォーム
- クラウドサービス
端末ごとのアプリケーションから組織の社内サーバ・外部システムであるクラウドサービスまで、脆弱性の発生箇所はシステム全体に及びます。脆弱性診断を実施することで、サイバー攻撃の侵入経路となる箇所を洗い出すことが可能です。脆弱性を知ることで、より強固なセキュリティ体制を整えられます。
Web・スマホアプリやクラウドサービスなどを運用している企業はもちろんのこと、これらを利用して業務を進めているという企業でも脆弱性診断を実施すべきでしょう。また、脆弱性診断の対象となるシステムは、システムごとに重点的に検査すべき項目が異なります。それぞれの特徴や検査項目の分類について、さらに詳しく解説します。
【関連記事】サイバー攻撃とは?種類や被害事例、対策方法についてわかりやすく解説
Webアプリケーション
Webアプリケーション診断とは、通常使用しているWebアプリケーションに攻撃者目線での擬似攻撃を行い、脆弱性を検査します。
Webアプリケーションの中で必要な検査項目があり、アプリケーションの設計自体だけでなく、実際にアプリケーションを使用するうえでの脆弱性なども検査するのが望ましいと考えられます。「GMOサイバーセキュリティ byイエラエ」のWebアプリケーション診断の検査項目は、主に以下のとおりです。
- 入出力処理に関する脆弱性
- 認証に関する脆弱性
- 認可に関する脆弱性
- セッション管理に関する脆弱性
- Webサーバ設定に関する脆弱性
- クライアントサイド技術に関する脆弱性
- 一般的な脆弱性
- アプリケーション仕様や設計に起因する脆弱性
Webアプリケーションは外部ネットワークと接触するものとなるため、サイバー攻撃の標的になりやすいシステムです。Webアプリケーションを使用している企業やサイトを運営している企業は、脆弱性診断をおこなうのがよいでしょう。一度も診断を行ったことがない、Webサイトに新しい機能を追加またはアップデートした、などといった場合が脆弱性診断を行う最適なタイミングです。
スマホアプリ
スマホアプリの脆弱性診断とは、iOSやAndroidのスマホアプリに対してセキュリティ上の問題点を洗い出すため、脆弱性診断をおこないます。「GMOサイバーセキュリティ byイエラエ」のスマホアプリ診断の検査項目は、主に以下のとおりです。
- 情報の保管
- 通信
- アプリ連携
- その他
スマホを日常生活で使用している人ならば、何かしらのスマホアプリを利用しているでしょう。近年ではスマホでメールやビジネスチャットなど業務に関わる作業をする場面も増えているため、使用しているアプリの安全性確保は不可欠です。
スマホアプリを開発して運用している、会社用のスマホを従業員に貸与してユーザーの個人情報を取り扱っている、スマホからも社内のクラウドサービスに接続できる、などという場合はスマホアプリの脆弱性診断を行うのがよいでしょう。
プラットフォーム
プラットフォームの脆弱性診断とは、診断対象となるサーバーやネットワーク機器に対して、脆弱性やセキュリティ対策が不足している箇所がないかを検査します。インターネット経由でのリモート診断や、社内サーバーに直接アクセスするなどの手法で行われます。
「GMOサイバーセキュリティ byイエラエ」のプラットフォーム診断の検査項目は、主に以下のとおりです。
- ホストのスキャン
- ネットワークサービスの脆弱性
- SSL/TLSの脆弱性
- 認証に関わる脆弱性
- 各種OSの脆弱性
- 悪意あるソフトウェア
- ネットワーク機器の脆弱性
Webサーバーやネットワーク機器は、サイバー攻撃などを受ける侵入口となりやすい反面、万全なセキュリティ対策を施すことで社内ネットワークを守る壁になるようなシステムです。
一度も脆弱性診断を受けたことがない、または前回の脆弱性診断から1年以上が経過している、新規サービスのリリースを控えている、PCI DSSに準拠しており定期的に検査が必要である、といった場合はプラットフォーム診断が必要でしょう。
クラウド
クラウドの脆弱性診断とは、GoogleやAmazon・Microsoftが提供するクラウドサービスの脆弱性を検査する診断です。利用中のクラウドシステムやプラットフォームにセキュリティ上の問題がないか、検査します。
「GMOサイバーセキュリティ byイエラエ」のプラットフォーム診断はSalesforceやGoogle Workspace・Microsoft 365を対象としています。検査項目は、主に以下のとおりです。
- AWS(IAM・Lambda・CloudTrail・Systems Manager・WAF) に関する脆弱性
- Amazon(S3・API Gateway・VPC・EC2・EBS・RDS・SNS・SQS・Cognito・OpenSearch Service・Redshift) に関する脆弱性
- SecurityGroupに関する脆弱性
利用中のクラウドのセキュリティ対策が不安な場合や、管理できていないアカウントなどがないかチェックしたいといった場合、クラウド診断が必要になるでしょう。
脆弱性診断を実施するタイミング
脆弱性診断を実施するタイミングについては、Webアプリケーションかクラウドかなどの対象システムにより異なります。システム全体を考慮すると、主に以下のタイミングや状況に当てはまる場合、脆弱性診断を実施するのがよいでしょう。
【タイミング】
- 脆弱性診断を一度も行ったことがない
- 前回の脆弱性診断から1年以上経過している
- 新規アプリ・システムの開発後
【状況】
- サービス拡大に伴ってセキュリティを強化したい
- 決済情報や個人情報を扱うサイトを運営している
- オンラインや外出中の個人や会社貸与のスマホ・パソコンから社内情報にアクセスできる
脆弱性を狙って攻撃してくるサイバー攻撃は、次々に新しい手口が現れます。タイミングの箇所にも記載したとおり、少なくとも年1回程度の検査実施がおすすめです。
脆弱性診断サービスならGMOサイバーセキュリティ byイエラエ株式会社がおすすめ
(引用:GMOサイバーセキュリティ byイエラエ)
脆弱性診断サービスをお考えなら、セキュリティ専門家が在籍する「GMOサイバーセキュリティ byイエラエ」におまかせください。攻撃者の視点をもった調査員が、リスクゼロのセキュリティ診断を行います。
会社名 | 提供サービス | 料金 |
---|---|---|
GMOサイバーセキュリティ byイエラエ株式会社 |
|
要問合せ ※システムや必要な診断範囲に応じてプランを策定 |
※2023年2月時点
GMOサイバーセキュリティbyイエラエの脆弱性診断の種類は豊富で、Webアプリケーションからスマホアプリ・プラットフォーム・クラウド診断など幅広く対応可能です。
それぞれ対象となるシステムに関わってきた技術者だけでなく、サイバー攻撃をおこなう攻撃者の目線で脆弱性診断を行うのが特徴と言えます。対象システムや予算などに合わせて診断プランを策定しているため、不要な診断にコストをかける必要もありません。自社に適した脆弱性診断がわからない、どこまで診断すればよいのか専門家の意見が聞きたい、という方におすすめです。
まとめ
脆弱性診断は、対象システムの欠陥や不具合を検査する診断です。診断方法は専門家が手動で行う方法とツールを用いた方法の2パターンあります。どちらも得意とする部分が異なるため、診断したいシステムや状況に合わせて、脆弱性診断のやり方を選ぶのがよいでしょう。
「GMOサイバーセキュリティ byイエラエ」では、セキュリティや各システムの専門家が在籍し、脆弱性診断を行っています。取り扱っている診断も幅広いため、どのような脆弱性診断を受けたらよいかわからないとお悩みの場合でも、ご相談を承っています。セキュリティ環境を強化し安全に業務をおこなっていきたいとお考えの方は、ぜひ一度、GMOサイバーセキュリティ byイエラエにご相談ください。
文責:GMOインターネットグループ株式会社