脆弱性診断(ぜいじゃくせいしんだん)とは、ソフトウェアやサーバー、アプリケーション等に脆弱性がないかを調べる診断のことを言います。本記事では、そもそも脆弱性とは何なのかを説明した上で、脆弱性が存在することにより生じるリスクや実際の攻撃事例を紹介し、脆弱性診断の概要や必要性について解説します。診断のやり方・内容・種類、ペネトレーションテストとの違い、診断ツールの比較・選定ポイントなども紹介するので、「自社に脆弱性診断が必要なのかどうかわからない」、「どのようなツールを選べばいいのかわからない」といったお悩みがある方々の参考になれば幸いです。
- 「CVE(共通脆弱性識別子)」とは?
- 脆弱性を放置することにより生じるリスクとは?
- 日本国内における脆弱性をついた攻撃の事例
- ペネトレーションテストとは?
- 脆弱性診断とペネトレーションテストの違いとは?
【脆弱性診断にも対応!】マキナレコードのセキュリティコンサルサービス
・脆弱性診断サービスのご紹介
・パートナー企業の概要
・その他の支援サービス一覧
・実績
脆弱性診断とは?
そもそも脆弱性とは?読み方と概要
「脆弱性(ぜいじゃくせい)」とは、「ソフトウェア製品やネットワーク機器、アプリケーション等におけるセキュリティ上の弱点」のことです。脆弱性が存在すると、悪用されて攻撃者による不正アクセスが可能になったり、マルウェアに感染させられたりする恐れがあります。なお、脆弱性は「セキュリティホール」と呼ばれることもありますが、セキュリティホールは正確には脆弱性の一部であり、本来できないはずの操作ができてしまったり、見えるべきでない情報が第三者に見えてしまうといった不具合を指します。
脆弱性への対処方法としては、パッチ(ソフトウェア内の問題を解決するために開発される追加コード)の適用、構成設定の変更、脆弱性の影響を受けているソフトウェアの削除などがあります。
脆弱性という用語は、ソフトウェアやWebアプリケーション、サーバー等における情報セキュリティ上の欠陥を指す場合が多いものの、人や業務プロセス、組織の体制に対しても使われることがあります。例えば、重要なデータを取り扱う従業員のセキュリティに関する意識が低い場合などには、「人の脆弱性」という言い方をすることが可能です。
「CVE(共通脆弱性識別子)」とは?
脆弱性は日々新しいものが公表されていますが、それについて報道するニュースなどで、「CVE」という表記を目にしたことがあるという方も多いと思います。CVE(Common Vulnerabilities and Exposures/共通脆弱性識別子)とは、米国政府の支援を受けた非営利団体「MITRE」が収集・採番した脆弱性のリストのことです(※)。多くの脆弱性診断ツールでは、CVEを参考に、既知の脆弱性の特定が行われています。
※MITREによる脆弱性の収集・採番の仕組み自体を指して「CVE」と呼んだり、「脆弱性」と同じ意味で「CVE」という言葉が使われたりする場合もあります。
CVE識別番号(CVE-ID)
MITREは、個別製品中の脆弱性に一意の識別番号「CVE識別番号(CVE-ID)」を付与しています。これにより、例えば組織Aの発行する脆弱性対策情報と、組織Xの発行する脆弱性対策情報とが同じ脆弱性に関する対策情報であると判断することや、対策情報同士の相互参照や関連付けを行うことなどが可能になっています。CVE識別番号は、「CVE-西暦-連番」で構成されています。
例)
・CVE-2022-0847:Linux Kernelにおける、「Dirty Pipe」(※)という脆弱性
・CVE-2021-34473、CVE-2021-34523、CVE-2021-31207:Microsoft Exchange Serverというサーバーソフトウェアにおける「ProxyShell」という脆弱性 など
※深刻度や注目度の高い脆弱性に対しては、上記の例のように何らかの俗称がつけられることがあります。関連記事:「Apache Commons Textの脆弱性(CVE-2022-42889)について知っておくべきこととは?」
JVNとJVN iPedia
CVEは世界的に使用されているものですが、日本でも、IPA(独立行政法人情報処理推進機構)とJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)が共同で「JVN(Japan Vulnerability Notes)」という脆弱性対策情報ポータルサイトを運営しています。JVNには、国内で使用されるソフトウェア等の脆弱性関連情報や、海外の機関と連携した脆弱性情報が掲載されており、情報セキュリティ対策に役立てることが可能です。
また、国内外問わず日々公開される脆弱性対策情報を収集・蓄積することを目的とした脆弱性対策情報データベースとして、「JVN iPedia」というものもあります。JVN iPediaでは、キーワードやベンダー名、製品名などによって特定の脆弱性対策情報を効率的に検索することができます。
脆弱性診断とは?
脆弱性診断の概要
ここまでで、脆弱性の概要についてはおわかりいただけたかと思いますので、ここからは本題の脆弱性診断について詳しく見ていきましょう。脆弱性診断とは、簡単に言えば脆弱性がないかどうかを調べる診断のことであり、「セキュリティ診断」や「セキュリティ検査」、「脆弱性検査」などと呼ばれる場合もあります。
ソフトウェア等の製品やアプリケーションなどに脆弱性が存在していたとしても、それが原因でその製品/アプリケーションが明らかな異常を示すことは少なく、通常の使い方であれば問題なく利用できるという場合がほとんどです。つまり、脆弱性の存在は利用者や開発者から気づかれにくいと言えます。そのため、脆弱性の有無については、専用ツールを使った診断や専門家による手動診断を行ってしっかりと調査する必要があります。
なお、脆弱性診断は既に存在する脆弱性(開発段階で意図せず作り込まれてしまった脆弱性)を検出するものであり、診断によって脆弱性を発見できれば、これを修正するなどして対処を行うことができます。しかしそれ以前に、まずは脆弱性の発生を未然に防ぐことが重要です。こうした背景から、脆弱性診断は他のセキュリティプロセス(パッチマネジメントやセキュアコーディング、セキュリティレビュー等)と組み合わせて実施することが望ましいとされています。
脆弱性診断の種類
脆弱性診断には、大きく分けて以下の3つの種類の診断が存在します。なお、それぞれの詳細については後半で詳しく説明します。
①プラットフォーム診断
サーバーやネットワーク機器などの脆弱性有無を調べる診断です。
②Webアプリケーション診断
Webアプリケーション(Web APIを含む)の脆弱性有無を調べる診断です。
③スマホアプリ診断
スマホアプリケーションの脆弱性有無を調べる診断です。
※この他にもクラウドや制御システム、IoT機器、物理環境(従業員や組織)などを対象とする診断もありますが、今回は上記の3種に的を絞って解説します。
脆弱性診断を実施するタイミングとは?
脆弱性診断は、システムやアプリケーションの開発段階で実施したり、開発後のリリース前の段階で実施するのが一般的です。また、取引先企業や顧客からの要望で実施することになるというケースもあり得ます。
実施回数や頻度に関しては、1回のみで十分というわけではありません。定期的に診断を実施して脆弱性対策が適切に行われているかどうかを確認することや、システムに何らかの変更があった場合に再度診断を実施して安全性を確かめることも大切です。
そのほか、PCI DSS(クレジットカード業界のセキュリティ基準※)に準拠している、または準拠を目指している企業に関しては、四半期に1回以上、対象となるWebサイトの診断(スキャン)を行い、脆弱性が存在しないことを証明する必要があります。
※PCI DSSについて詳しくは、こちらの解説記事をご覧ください⇨「PCI DSSとは?要件や準拠までの流れをわかりやすく解説」
脆弱性診断の目的と実施するメリット
脆弱性診断の目的・メリット
脆弱性診断の目的と必要性
前述の通り、表面上からは脆弱性の存在に気づきにくい場合がほとんどであるため、脆弱性の有無を調べるためにはしっかりと診断を行う必要があります。
また、どんなに注意深く設計を行ったとしても100%安全な開発というのは不可能ですし、攻撃者は想定外の形で攻撃してきます。例えば、Webアプリケーションの開発時の思いもよらないコーディングミスから脆弱性が発生し、情報漏洩につながるというケースも起こり得るのです。したがって、不正アクセスを受けてシステムに侵入され、データを盗み取られる、といったセキュリティ事故(インシデント)の発生を防ぐためにも、脆弱性診断を行って悪用につながりかねない脆弱性を特定しておくことが重要だと言えます。
そして、脆弱性診断はただ実施するだけで終わりというわけではありません。検出されたセキュリティリスクを出発点としてシステムや組織の弱点を見直し、セキュリティ対策実施計画の改善や強化につなげることが大切です。
脆弱性診断のメリット
脆弱性診断を実施することのメリットには、以下のようなものがあります。
・検出された問題に対処することで、一定の安全性を確保できる
・診断を専門企業(ベンダー)に委託することでリスクが分散できる
・ステークホルダー(取引先をはじめとする利害関係者)への説明責任を果たすことができる
脆弱性診断をやらないとどうなる?
脆弱性診断をやらないということは、攻撃者に狙われるかもしれない弱点があっても気づかない、または弱点を放置する、ということを意味します。では、脆弱性が対処されずに存在し続けると、具体的にはどのような危険が及ぼされ得るのでしょうか?
脆弱性を放置することにより生じるリスクとは?
攻撃者は、サーバーやPCなどの攻撃対象となるシステムの存在を確認したり、システムに不正に侵入するための弱点を見つけたりするために、「スキャン」と呼ばれる探索活動を行っています。脆弱性を放置しておくと、こうしたスキャンを行う攻撃者によって脆弱性が発見されてしまう恐れがあります。そして攻撃者は、発見した脆弱性を悪用し、システムへの侵入などのサイバー攻撃を試みる可能性があります。
攻撃被害につながる恐れのある脆弱性
以下に、悪用されると攻撃被害に遭う恐れのある脆弱性として代表的なものをいくつか挙げました。
<SQLインジェクションの脆弱性>
Webアプリケーションは、データベースと連携している場合、利用者からの入力情報をもとに「SQL文」と呼ばれるデータベースへの命令文を組み立てています。このSQL文の組み方て方に問題があると、データベースが不正利用されてしまう恐れがあります。この問題は「SQLインジェクションの脆弱性」と呼ばれており、この脆弱性を悪用した攻撃は「SQLインジェクション攻撃」と呼ばれています。
🚨発生し得る脅威
・データベースに蓄積された非公開情報の閲覧(被害例:個人情報が漏洩する、など)
・データベースに蓄積された情報の改ざん、消去(被害例:Webページが改ざんされる、パスワードが変更される、など)
・認証回避による不正ログイン など
<クロスサイトスクリプティングの脆弱性>
Webアプリケーションの中には、個人情報登録時の確認画面や掲示板など、利用者が入力した内容をWebページとして出力するものがあります。ここで、Webページへの出力処理に問題がある場合、そのWebページに有害なスクリプト(簡易的なプログラム)等を埋め込まれてしまう恐れがあります。この問題は「クロスサイトスクリプティングの脆弱性」と呼ばれており、この脆弱性を悪用した攻撃は「クロスサイトスクリプティング攻撃」と呼ばれています。
🚨発生し得る脅威
・本物サイト上に偽のページが表示される(被害例:フィッシング詐欺により重要情報が漏洩する、など)
・ブラウザが保存しているCookieを取得される(被害例:Cookieに個人情報等が格納されている場合、その情報が漏洩する、など)
<バッファオーバーフローの脆弱性>
Webアプリケーションを含むあらゆるプログラムは、指示された処理を行うためにメモリ上に自身が使用する領域を確保します。しかし、入力されたデータが適切に扱われない場合、確保されていたメモリの領域を超えて領域外のメモリを上書きされ、プログラムが意図しないコードを実行してしまう可能性があります。この問題は「バッファオーバーフローの脆弱性」と呼ばれており、この脆弱性を悪用した攻撃は「バッファオーバーフロー攻撃」と呼ばれています。
🚨発生し得る脅威
・プログラムの異常終了(被害例:意図せずサービスが停止してしまう、など)
・任意のコード実行(被害例:マルウェア等へ感染させられる、バックドアが設置されてしまう、など)
<脆弱なソフトウェアの利用>
機器に既知の脆弱性を含むバージョンのソフトウェア(OSやミドルウェア、サーバーソフトウェア等)が利用されていると、その脆弱性をついた攻撃を受けてしまう恐れがあります。例えば、近年ではMicrosoft Exchange Serverというサーバーソフトウェアにおける「ProxyShell」という脆弱性が話題になりました。この脆弱性のパッチは既に公開されていますが、脆弱なバージョンのExchange Serverを使用し続けている場合、ProxyShellが悪用されて何らかの攻撃を受けてしまう恐れがあります。
🚨発生し得る脅威(ProxyShellの例)
・アクセス制御の回避(被害例:不正アクセスによりシステムに侵入される、など)
・権限昇格攻撃(被害例:アカウントが乗っ取られて重要なデータを閲覧される、など)
・リモートコード実行(被害例:マルウェア等へ感染させられる、など)
日本国内における脆弱性をついた攻撃の事例
ここで参考までに、今年日本国内で公表された、脆弱性をついた攻撃の実際の事例をいくつか紹介します。
公表日 | 概要 |
11月1日 | 健康食品等を扱う企業が運営するオンラインショッピングサイトへ、システムの一部の脆弱性をついて第三者が不正にアクセス。ペイメントアプリケーションが改ざんされ、顧客のクレジットカード情報(4,636件)が漏洩した可能性があることが判明。 |
10月25日 | マーケティング関連のプラットフォーム等を提供する企業の複数サービスにおいて、システムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ソースコードの書き換えがなされ、一部の取引先企業のWebサイト等において入力された情報が外部へ流出した可能性があることが判明。 |
9月20日(第1報) | 酒造会社が使用するサーバーがランサムウェアに感染し、サーバーに記録されていたデータが暗号化されて使用できない状態となった。原因は、同社が導入していたSSL-VPN機器に存在していた脆弱性を悪用され、VPNに不正にログインされたことだと報告されている。 |
7月19日(第1報) | 攻撃者がVPN機器の脆弱性を悪用し、不正に窃取した認証情報を使って高機能部品・部材メーカーのシステムに不正侵入、同社のサーバーおよびPCのファイル暗号化および一部情報の窃取を行った。これにより、個人情報(約6,000件)や顧客の機密情報の一部(約60件)が漏洩。 |
6月29日(第1報) | CD・レコード・DVD等の販売等を行う企業が運営するオンラインショップが不正アクセスを受け、顧客の情報約701,000件が漏洩。調査の結果、オンラインショップの関連サーバー1台にセキュリティ上の脆弱性が生じており、悪意ある第三者が不正アクセスできる状況であったことが確認された。 |
6月7日 | 衣料品販売を行う企業が運営するオンラインオーダーサイトへ、システムの一部の脆弱性をついて第三者が不正にアクセス。Webアプリケーションが改ざんされ、顧客のクレジットカード情報等の個人情報(最大で2,341件、2,218名)が流出した可能性があることが判明。 |
5月16日(第1報) | 国産パブリッククラウドサービスの一部のロードバランサー(インターネットからのアクセス負荷を分散させるネットワーク装置)に対し、脆弱性を悪用した不正アクセスが行われた。一部の顧客の業務通信データや当該サービスにアクセスするための認証情報等を窃取することが技術的に可能な状態になっていた。 |
3月22日 | 大手菓子製造業者のサーバー数台が不正アクセスを受け、同社通信販売事業の一部の顧客の個人情報が外部流出した可能性がある。調査の結果、インターネット回線に設置していたネットワーク機器の脆弱性を悪用されて侵入された可能性が高いことが判明。 |
(報道資料等を参考に作成、情報源一覧はページ下部に記載)
脆弱性診断の診断内容
では次に、診断対象や診断内容、検出できる脆弱性について、各診断(プラットフォーム診断、Webアプリケーション診断、スマホアプリケーション診断)ごとに見ていきましょう。
プラットフォーム診断の診断内容
診断対象
ファイアウォール、ロードバランサー、リバースプロキシ、仮想化インフラ、サーバーOS(ゲストOS)、サーバーミドルウェア、VPN等。
診断内容
プラットフォーム診断では、対象のサーバーやネットワーク機器等に対して疑似的な攻撃の通信を行うことにより、脆弱性やセキュリティリスクの有無を確認します。プラットフォーム診断には、外部診断(リモート診断)と内部診断(オンサイト診断)の2種類があります。
外部診断(リモート診断) | 内部診断(オンサイト診断) | |
診断対象 | グローバルIPアドレスを通じてインターネットからアクセス可能な装置。 | システム内のネットワークや拠点(オフィスなど)のLAN内等における、主にプライベートIPアドレスを有する装置。 |
診断目的 | 攻撃者がセキュリティ境界の外側から悪用することのできる脆弱性の有無を明らかにすること。 | セキュリティ境界の内側で、内部犯や境界防御(※)を超えて侵入した外部の攻撃者により悪用されうる脆弱性を明らかにすること。 |
※境界防御とは、ファイアウォールなどを設置して組織の内側と外側を遮断することで境界を設け、外部からの攻撃や内部からの情報流出を防止しようとするセキュリティ対策のことを言います。関連記事:「ゼロトラストセキュリティとは?5つの構成要素と対策の具体例」
発見できる脆弱性の例
・不要ポートの開放
・脆弱なソフトウェアの利用
・サーバーの設定不備 など
Webアプリケーション診断の診断内容
診断対象
Webアプリケーション(Web APIを含む)、アプリミドルウェア等。
診断内容
Webアプリケーション診断では、対象のWebアプリケーション等に擬似的な攻撃の通信を行うことで、情報漏洩やサイト改ざん等につながる脆弱性の有無を確認します。
発見できる脆弱性の例
・SQLインジェクションの脆弱性
・クロスサイトスクリプティングの脆弱性
・バッファオーバーフローの脆弱性 など
スマホアプリ診断の診断内容
診断対象
スマホアプリ本体、アプリとサーバーとの間の通信等。
診断内容
スマホアプリ診断では、AndroidやiOS/iPadOS端末上で動作するアプリの脆弱性の有無を確認します。
発見できる脆弱性の例
・サーバー証明書の検証に不備がある
・他のアプリから機密情報を参照される
・WebView(アプリ上にWebページを表示する機能)上で悪意のあるWebページを開かされる など
脆弱性診断のやり方と、ペネトレーションテストとの違い
脆弱性診断のやり方:3通りの手法
脆弱性診断には、大きく分けて3通りの手法(ツール診断、手動診断、ツール診断と手動診断の併用)が存在します。
ツール診断
ツール診断では、自動化されたツールを用いて診断を行います。診断対象全体をすばやく検査できるのがメリットです。一方で、誤検出や偽陽性(実際には存在しない脆弱性を検知してしまうこと)、偽陰性(実際には脆弱性が存在するにもかかわらず検出されないこと)が発生する場合がある、特殊な脆弱性は検出できないことがある、といった弱点もあります。そのため、誤検出/偽陽性/偽陰性の精査や、ツールでは検出できない脆弱性の診断については、人手で補う必要があります。
手動診断
手動診断では、その名の通り専門家が手動で診断を行います。人手による診断となるため、自動で行うツール診断よりも時間やコストがかかるものの、ツールでは検知できないような脆弱性も見つけることができるというメリットもあります。ただし、診断精度については診断士のスキルにも左右されるという点に留意しておくことが重要です。
ツール+手動
効率の点で勝るツール診断と、攻撃者の目線から弱点がないかを調べられる手動診断とを組み合わせて実施するというやり方です。
脆弱性診断とペネトレーションテストの違い
脆弱性診断とよく比較されるのが、「ペネトレーションテスト」です。ペネトレーションテストもセキュリティ上の弱点を調べるという意味では脆弱性診断と似ていますが、実施目的や手法は異なっています。
ペネトレーションテストとは?
ペネトレーションテストとは、具体的な攻撃シナリオを元にシステムへの侵入(=ペネトレーション)を試み、組織やシステムの攻撃耐性を確認するテストのことを言います。
想定される攻撃シナリオの例としては、以下のようなものがあります。
・システム内の脆弱性を悪用してマルウェアを展開する(テストでは擬似マルウェアを使用)
・マルウェアを含むフィッシングメールを送りつけ、認証情報を盗む
・悪意を持つ内部犯が重要なデータを窃取する など
テストを実施する専門家(ペンテスター)は、上記のようなシナリオを元に、攻撃者が実際に使うツールや脆弱性、技術などを使用し、システムに侵入できるかどうかや、侵入後に情報を盗み取れるかどうかなどを調べます。これにより、システムを保護する上での弱点や運用上の問題点がないかを確認します。
脆弱性診断とペネトレーションテストの違いとは?
脆弱性診断とペネトレーションテストの主な違いについて、以下の表にまとめました。
タイプ | 脆弱性診断 | ペネトレーションテスト |
目的 | 脆弱性やセキュリティ上の弱点を網羅的に特定すること。 | 侵入や情報窃取などの特定の目的が達成可能かどうかを調査し、攻撃耐性やセキュリティ上の問題点の有無などを確認すること。 |
手法 | 擬似的な攻撃の通信(必要最低限の量)を行うことで、脆弱性の有無を確認する。 | 攻撃者が実際に使用するツールや脆弱性、技術等を用いて一定期間内に目的が達成できるかどうかを調べる。 |
調査対象 | システムを調査対象とし、指定されたWebアプリケーションやIPアドレスごとに診断を行う。 | システム、人、組織、ルールを調査対象とし、その組織が持つすべてのシステム、もしくは指定されたシステム全体に対してテストを実施する。 |
調査期間 | 比較的短い(ツール診断であれば1日で済む場合もあるが、手動診断の場合は数日〜数週間)。 | 比較的長い。5日〜1か月程度(1か月以上かかる場合もあり)。 |
脆弱性診断ツール/ベンダー(会社)の選び方・比較基準
脆弱性診断のツールやサービスには無料のものから有料のものまでさまざまな種類があり、精度やサポート内容なども多岐にわたります。また、そういったツール/サービスを提供するベンダー(会社)も多数存在します。その中から自組織に適したツールやベンダーを選ぶにはどのような点に注意すれば良いのでしょうか?
脆弱性診断ツール/ベンダー(会社)の選び方
脆弱性診断ツール/ベンダーを選定するにあたって、まずは以下の3点を明確にしておくことが大切です。
①診断の対象範囲の決定と診断タイプの決定
前述の通り、脆弱性診断にはプラットフォーム診断、Webアプリケーション診断、スマホアプリケーション診断の3種類があります。どの診断が必要なのかを判断するためには、まず診断対象の範囲を決定する必要があります。
②現行の脆弱性対策の確認と必要な機能/サポートの把握
現時点で脆弱性に対策するための体制がある程度確立されているのであれば、最低限の機能を備えた診断ツールを導入すれば十分かもしれません。しかし、ゼロから脆弱性対策を行うという企業の場合、発見された脆弱性への対処法を詳しく案内してくれる、丁寧な脆弱性レポートを提供してくれる、など、サポートが充実しているベンダーの方が適しています。
③診断目的の設定
脆弱性診断を実施する目的によっても、どんなツール/ベンダーが適切なのかは変わってきます。「開発したアプリケーションのリリース前の最終チェックとして安全性を確認する」など、しっかりと目的を定めておくことが重要です。
脆弱性診断ツール/ベンダー(会社)選定時の比較基準
上記の3点が明確になり、実際にツール/ベンダーを選定する段階では、以下に挙げるようなポイントを比較することをお勧めします。
脆弱性診断ツール/ベンダー(会社)選定時の比較ポイント
✔️質/精度・スピード
診断の質や精度は非常に重要なポイントです。具体的には、偽陽性や偽陰性が生じる頻度の少ないものを選ぶ必要があります。
また、脆弱性は、できる限り早い段階で見つけられればそれに越したことはありません。なぜなら、脆弱性を抱えた状態でいる時間が長いと、それだけ攻撃を受けるリスクを抱える時間が長くなるからです。したがって、一定以上の正確度とスピードを兼ね備えたツールやサービスを選ぶのが望ましいと言えます。
✔️診断方法
ベンダーのサービスを利用する場合には、ツールを使って自動的に診断する場合でも、偽陽性・偽陰性の精査などの点で人手が入るものの方が正確度は高まります。
✔️サポート内容
対応している設定の多さや対応範囲に加え、オンプレミスだけでなくクラウドでの診断にも対応しているかどうかや、自社のニーズに合わせてカスタマイズした報告書を提供してくれるかどうか、また、対策/修正のためのガイダンスの有無など、細かなサポート内容を確認しておくことも重要です。
✔️対応する脆弱性の範囲
自社にとって影響が大きいと考えられるような種類の脆弱性の検出に対応しているかどうかは、必ずチェックしておくべきポイントです。例えばWebアプリケーションの診断の場合、OWASP TOP 10(※)に対応しているかなどを確認しておくことをお勧めします。
※OWASP TOP 10とは、Webアプリケーションに関する10大セキュリティリスクのリストで、アプリケーションセキュリティのスタンダードとして世界的に利用されています。OWASP TOP 10は、非営利組織であるOpen Web Application Security Project(OWASP)によって運営されています。
✔️費用(価格)
自社の予算内に収まる金額かどうかはもちろんのこと、付随する機能やサポートの内容に見合った価格かどうかを確認することも大切です。また、機能が少なくても安価なものがいいのか、もしくは多少高価でもサポートが充実しているものがいいのかなどは、自社のニーズに合わせて判断する必要があります。
IPAの情報セキュリティサービス基準適合サービスリスト
脆弱性診断サービスを選定する際には、IPAが提供しているリストを参照することもお勧めします。IPAでは、経済産業省が策定した「情報セキュリティサービス基準」に適合する情報セキュリティサービスの提供状況について調査を行い、利用者が参照することができるようにその調査の結果を「情報セキュリティサービス基準適合サービスリスト」として公開しています。その中に脆弱性診断サービスのリストもあるので、これを選定時の参考にすることが可能です。
自社でも利用できる脆弱性診断ツール(ただし、専門知識が必要)
ベンダーなどが提供する有料の脆弱性診断サービス以外にも、自社で独自に利用できる脆弱性診断ツールも存在しています。例えば、先ほど触れたOWASPも、「OWASP ZAP」というWebアプリケーション診断ツールを公開しています。また、Linux/FreeBSD系サーバーシステム向けに開発された「Vuls(Vulnerability Scanner)」(※)という日本製のツールも有名です。
※Vulsについては、IPAの資料「脆弱性対策の効果的な進め方(ツール活用編)」に詳細や使用方法が記載されています。
自社で独自に利用できる診断ツールのメリット、デメリット
上記のような、ベンダーを介さずに自社で独自に利用できる脆弱性診断ツールを使う一番のメリットは、コストがさほどかからないという点です。一方で、ある程度の専門知識がないとツールを使いこなせない、サポートが充実していない、といったデメリットも存在します。自社で独自に利用できるツールとベンダーが提供するツール、それぞれの特徴を理解した上で、自社のニーズに合うツール/サービスを選ぶことが大切です。
脆弱性診断に関連するガイドライン
本記事では脆弱性診断のごく基本的な部分しか紹介しきれていませんが、もっと理解を深めたいという方には以下に挙げるようなガイドラインを読んでみることをお勧めします。
デジタル庁「政府情報システムにおける脆弱性診断導入ガイドライン」
政府情報システムの関係者向けに、脆弱性診断を効果的に導入するための基準およびガイダンスを提供する文書ですが、民間企業にとっても参考になるような情報が盛り込まれています。こちらのページから閲覧可能です。
脆弱性診断士スキルマッププロジェクト「Webアプリケーション脆弱性診断ガイドライン」
一定レベルの手動診断による脆弱性診断を行うために最低限必要な診断項目や手順を定義したガイドラインです。ISOG-J(日本セキュリティオペレーション事業者協議会)とOWASP Japan主催の共同ワーキンググループである「脆弱性診断士スキルマッププロジェクト」によって提供されており、こちらのページからご覧いただけます。
【脆弱性診断にも対応!】マキナレコードのセキュリティコンサルサービス
脆弱性診断サービスのご紹介
株式会社マキナレコードでは、セキュリティ体制構築やセキュリティ認証取得支援をはじめとするセキュリティコンサルティングに加えて、各種セキュリティ診断を専門に扱う複数のパートナー企業をご紹介するというサービスもご用意しています。
<対応可能な診断>
・Webアプリケーション診断
・スマホアプリ診断
・クラウドやプラットフォームの診断
・ペネトレーションテスト
上記の診断の中から、お客様のシステム状況に応じて今最も必要な診断をご提案いたします。また、診断結果を受けてどう対応を実施していくかに関して、優先順位の決定や対応可否の判断といったフォローも行います。
パートナー企業の概要
・脆弱性診断企業A社
豊富なエンジニアリソースで短納期の診断にも対応。分業を用いた体制で、通常より少ないリソースで信頼性の高い診断を実施します。
・脆弱性診断企業B社
コンピューターやネットワークに関する高度な知識や技術を持つセキュリティエンジニアが多数在籍。クラウド診断などもカバーする脆弱性診断企業です。
・脆弱性診断企業C社
Webアプリやネットワークなどのペネトレーションテスト、標的型攻撃メールのテストなどの疑似サイバー攻撃を通じて診断を実施します。
その他の支援サービス一覧
その他にも、以下のようなコンサルサービスがございます。
✅セキュリティ顧問:セキュリティに関する質問等をメール・Slack でお答えします。ご要望に応じて定期的な訪問をいたします。
✅Fit&Gap:目的に対する現在の体制におけるセキュリティの問題点を洗い出し、対策を検討いたします。
✅CSIRT支援構築:保有情報や利用環境に基づき、組織全体のセキュリティレベル向上に有効なCSIRT構築を行います。
✅規程・ガイドライン:企業運営で必要なセキュリティの規程類をヒアリングをもとに作成いたします。
✅教育 :全社員・経営者に対し、セキュリティ教育を行います。 E-Learningを用いた理解度チェックも実施可能です。
✅認証取得支援:ISMS(ISO/IEC27001) 認証、プライバシーマーク認証、PCI DSS認証など情報セキュリティに関する各種認証(※)を取得するための支援を行います。
関連記事:「ISMSとは:なぜ必要?ISOとの違いや認証制度について解説」、「Pマーク(PMS)とISMSの違い、取得のメリットとは」、「PCI DSSとは?要件や準拠までの流れをわかりやすく解説」
実績
脆弱性診断サービス単体でのご利用だけでなく、セキュリティ顧問やセキュリティ体制構築支援などその他のサービスと併せて診断もご利用いただいているという実績があります。
【ECサービスA社への支援実績】
・依頼背景:未着手のセキュリティ対応をすすめるにあたって、まずは自社サービスのセキュリティ状況を把握したい
・支援内容:脆弱性診断、診断結果の実施フォロー
【クラウドサービスB社への支援実績】
・依頼背景:セキュアコーディングや体制構築に加え、プロダクトの脆弱性診断も実施し総合的に対策を進めたい
・支援内容:セキュアコーディングレビュー、セキュリティ顧問、セキュリティ体制構築支援、脆弱性診断、診断結果の実施フォロー
その他、サービスの詳細については、弊社のホームページをご覧ください。
情報源
https://www.ipa.go.jp/files/000051352.pdf(IPA脆弱性対策コンテンツリファレンス)
https://www.ipa.go.jp/security/vuln/CVE.html(IPA 共通脆弱性識別子CVE概説)
https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/e2a06143-ed29-4f1d-9c31-0f06fca67afc/3bc45d3c/20220630_resources_standard_guidelines_guidelines_08.pdf(デジタル庁 政府情報システムにおける脆弱性診断導入ガイドライン)
https://www.ipa.go.jp/files/000017316.pdf(IPA 安全なウェブサイトの作り方 改訂第7版)
https://scan.netsecurity.ne.jp/article/2022/11/18/48511.html
https://scan.netsecurity.ne.jp/article/2022/11/04/48438.html
https://scan.netsecurity.ne.jp/article/2022/10/28/48404.html?pickup_list_click3=true
https://scan.netsecurity.ne.jp/article/2022/10/31/48408.html
https://news.yahoo.co.jp/articles/52931b976996a37a66370564d868f49996f59971
https://scan.netsecurity.ne.jp/article/2022/06/10/47711.html
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600011/090600115/
https://www.itmedia.co.jp/news/articles/2203/22/news164.html
https://www.ncsc.gov.uk/guidance/vulnerability-scanning-tools-and-services(NCSC Vulnerability Scanning Tools and Services)
関連投稿
Writer
2015年に上智大学卒業後、ベンチャー企業に入社。2018年にオーストラリアへ語学留学し、大手グローバル電機メーカーでの勤務を経験した後、フリーランスで英日翻訳業をスタート。2021年からはマキナレコードにて翻訳業務や特集記事の作成を担当。情報セキュリティやセキュリティ認証などに関するさまざまな話題を、「誰が読んでもわかりやすい文章」で解説することを目指し、記事執筆に取り組んでいる。