昨今、脆弱性を悪用した個人情報の漏えいのニュースを目にする機会が増えました。例えば、個人情報漏えいのようなセキュリティ事件・事故は、組織に多大な影響を及ぼします。
そのため、組織で利用しているネットワークやWebアプリケーション、モバイルアプリに脆弱性があることを確認し、脆弱性があれば対処が望まれます。ネットワークやWebアプリケーション、モバイルアプリなどの脆弱性は、「脆弱性診断」で検出できます。「脆弱性診断」とは、いったいどのようなものなのでしょうか。
本記事では、「脆弱性診断って何?」や「脆弱性診断は必要なの?」といった脆弱性診断に対する疑問にお答えします。また、自社内で脆弱性診断を行うリスクを説明し、脆弱性診断を診断事業者に依頼する場合の脆弱性診断サービスの概要や診断事業者が脆弱性診断サービスで実施する内容を解説します。
脆弱性診断とは?目的と有用性を解説
脆弱性診断とは、対象システムの脆弱性を発見するために技術的な調査を実施することを言います。脆弱性診断を行う目的は、脆弱性を検出し対処することで、対象に内在する脆弱性を第三者に悪用された場合に発生する被害の予防です。
脆弱性診断で発見することが可能な脆弱性によって引き起こされた被害の例をご紹介します。以下は、ECサイトの構築システムの脆弱性が悪用されサイトに偽の入力フォームを設置されたことにより、サイト利用者のクレジットカード情報などの情報が10,000件漏えいし、2,500万円分のクレジットカードの不正利用がされた場合の被害例になります。
引用元JNSA「インシデント損害額調査レポート 2021年度版」https://www.jnsa.org/result/incidentdamage/data/incidentdamage_20210910.pdf
実際に事故対応で発生する費用2,890万円以外にも、売上利益の損害3,000万円やクレジットカード会社からの損害賠償3,600万円が加わり、合計の9,490万円の被害額が一度の情報漏えいにより発生しています。
脆弱性診断を行い、発見された脆弱性に適切な対応が行えていれば、被害を防げていたかもしれません。このように、脆弱性診断は脆弱性に関連するリスクの低減に有用だと言えます。
脆弱性診断には、脆弱性を悪用する側の知識やノウハウが必要となります。自社内で脆弱性診断の手法を習得し実施可能ですが、知識やノウハウの偏りが発生しやすく、脆弱性診断を正しく網羅的に実施するための知識やノウハウが不足した状態で脆弱性診断を完了としてしまうケースがあります。つまり、様々なシステムの脆弱性診断を実施している診断事業者に依頼すると有効ですので、ぜひお勧めいたします。
脆弱性診断サービスの選び方と必要事項
脆弱性診断は、診断を実施する事業者により脆弱性診断サービスとして提供されています。脆弱性診断サービスでは、ネットワークやWebアプリケーション、モバイルアプリケーションなどの分野ごとにサービスメニューが分かれていることがほとんどです。
サービスメニューが分かれている理由は、分野ごとに診断に必要な知識や細かな診断手法が異なるためです。ここでは、脆弱性診断サービスの代表的なサービスメニューを、脆弱性診断項目の例と脆弱性診断サービスを受けるにあたって診断事業者へ開示する情報の例と合わせてご紹介します。
1.プラットフォーム診断
ネットワークを構成するサーバーやOS、ミドルウェアなどに内在する脆弱性を診断します。
【脆弱性診断項目の例】
- ネットワーク調査(ポートスキャンなど)
- 主要サービス調査(各種サービスの情報収集、調査)
- 各種OSの脆弱性調査
など
【診断事業者へ開示する情報の例】
- 診断対象のIPアドレスやホスト名
- 負荷分散の有無
- 禁止操作の有無(禁止操作がある場合は、操作の詳細)
など
2.Webアプリケーション診断
Webアプリケーション(Webサイト)に内在する脆弱性を診断します。
【脆弱性診断項目の例】
- 認証に関する診断
- 承認(認可)に関する診断
- クライアント側での攻撃に関する診断(クロスサイトスクリプティング)
- コマンドに関する診断(SQLインジェクションなど)
- 各種情報漏えいの確認
- ロジックを狙った攻撃
など
【診断事業者へ開示する情報の例】
- 診断対象URL
- ログイン情報(アカウント用のログインページがある場合のみ)
- API情報(API通信がある場合のみ)
- 禁止操作の有無(禁止操作がある場合は、操作の詳細)
など
3.モバイルアプリケーション診断
スマートフォン向けのアプリケーションに内在する脆弱性を診断します。
【脆弱性診断項目の例】
- 各種情報の保管状況確認(機微情報の有無の確認など)
- 通信に関する診断(暗号化検証など)
- アプリケーション連携に関する診断
【診断事業者へ開示する情報の例】
- 診断対象モバイルアプリケーション
- 利用しているOS
- API情報(API通信がある場合のみ)
- 禁止操作の有無(禁止操作がある場合は、操作の詳細)
など
ご紹介した脆弱性診断サービス以外にも、IoT診断など、様々な脆弱性診断サービスがあります。脆弱性診断を依頼したいシステムがどの脆弱性診断サービスに当てはまるかわからない場合は、一度診断事業者に確認を取ることをお勧めします。
診断事業者が提供する脆弱性診断項目の例と、実際に脆弱性診断を依頼するにあたり診断事業者へ開示する情報の例を解説しました。
では脆弱性診断にはどのような手法があるのでしょう?実際に脆弱性診断サービスで診断事業者が提供する内容に合わせて解説します。
脆弱性診断サービスの実施内容
多くの診断事業者が、診断ツールによるツール診断と、診断員による手動診断の2つの手法を用いた脆弱性診断サービスを提供しています。では、ツール診断と手動診断のご紹介をしていきます。
【ツール診断】
診断用のツールを利用して、大量の脆弱性パターンの確認を自動で行います。ツール診断のメリットは、自動で大量の脆弱性パターンを確認するため、短時間で多数の脆弱性を診断できる点になります。
デメリットは、ツールに記録されている脆弱性パターンに当てはまらない脆弱性が検知できない点になります。また、ツールの判定方法により、本来であれば脆弱性ではない通信も機械的に脆弱性として検知してしまう過検知(誤検知)もデメリットとして挙げられます。
【手動診断】
診断事業者が診断対象の特性に合わせた診断を手動で行います。手動診断のメリットは、認可の不備など、パターン化の難しい脆弱性も診断できる点になります。
デメリットは、ツール診断と比較して診断時間が長くなる点が挙げられます。ツール診断と手動診断は、組み合わせることにより、双方のメリットを活かした有効性の高い脆弱性診断を行えます。
診断事業者による脆弱性診断作業が完了した際には、結果をまとめた報告書を作成しサービス依頼元へ提出します。報告書に記載される内容は診断事業者により異なります。弊社のWebアプリケーション診断の報告書を例に、報告書の内容を解説します。
報告書では、脆弱性診断を実施した結果を以下の項目でそれぞれ解説します。
【診断結果概要】
- 総合評価
- 検出された脆弱性一覧
- 総評
【診断結果詳細】
- 検出された脆弱性の詳細
- 脆弱性が再現した場所
- 脆弱性再現方法
- 脆弱性を放置した場合の影響
- 脆弱性を解消する方法
診断事業者が知識とノウハウを生かして脆弱性診断を行い、結果を報告書にまとめて依頼者へ提出します。
依頼者は、診断事業者から受け取った報告書の内容を踏まえて脆弱性対策を進め、システムの安全性の維持・向上を図ります。
このような内容を踏まえて、脆弱性診断サービスの利用を検討する際は、納期や品質、価格とともに、自組織のセキュリティポリシーに沿った診断内容のサービスを選択しましょう。
まとめ
「脆弱性診断(セキュリティ診断)とは?脆弱性診断サービスの目的と必要性を紹介」と題して、ご紹介してまいりました。本記事では、脆弱性診断の目的や有用性、脆弱性診断サービスの概要、脆弱性診断サービスを依頼するために必要となる情報、診断事業者が脆弱性診断サービスで実施する内容を解説しました。
本記事を通して、脆弱性診断・脆弱性診断サービスが何か、診断事業者によって脆弱性診断サービスの内容に違いがあることをご理解いただけたかと思います。脆弱性診断は脆弱性に関連するリスクの低減に有用です。定期的に脆弱性診断を行い、脆弱性のないシステムを目指しましょう。
当サイトではWebサイト、モバイル端末、IoT機器が抱える脆弱性によるリスクへの対策を検討している方や、サイバー攻撃の脅威から守るWAFに興味がある方へ、ダウンロード資料をご用意しております。ぜひ資料をダウンロードいただき、ご活用ください。
