脆弱性診断とは、WebアプリケーションやOS、ネットワーク機器などに潜むセキュリティ上の弱点を検出し、サイバー攻撃のリスクを事前に把握するための検査です。企業のシステム環境が複雑化する中で、脆弱性診断は情報漏えいや不正アクセスを防ぐための重要な対策として広く実施されています。
この記事では、脆弱性診断の基本的な考え方から、診断の種類・実施手順・サービス選定のポイントまでをわかりやすく解説します。
脆弱性診断とは?
脆弱性診断は、システムに存在するセキュリティ上の弱点を洗い出し、サイバー攻撃につながるリスクを把握・評価するためのプロセスです。実務上は「セキュリティ診断」と呼ばれることもあり、本記事では両者を同じ意味で扱います(広義のセキュリティ診断にはネットワーク監視や運用監査まで含める整理もありますが、本記事ではその領域までは踏み込みません)。
診断の対象はWebアプリケーションだけにとどまりません。OSやミドルウェア、ネットワーク機器、クラウド環境、スマートフォンアプリ、さらにはAPI連携部分に至るまで、サイバー攻撃の糸口となりうるすべてのシステムコンポーネントが対象になります。企業がどの範囲を診断するかは、自社のシステム構成や優先するリスクによって決まります。
脆弱性診断によって検出できる弱点の種類は、診断対象によって異なります。Webアプリケーションであれば不正なSQL文の注入やクロスサイトスクリプティングが典型的な検出対象になりますし、ネットワーク機器ではパッチ未適用や不要なポートの開放が問題となります。
脆弱性診断の目的
脆弱性診断の本質的な目的は、システムに潜む弱点を網羅的に洗い出し、悪用されるリスクを定量的に把握することです。未然防止を目的に平時から実施するケースが中心ですが、実際にインシデントが発生したあと、被害範囲の特定や再発防止策の検討のために実施することもあります。
ただし、平時のうちに事前対策として実施できれば、コストも影響範囲も大幅に小さく抑えられます。事後対応と比べて圧倒的に有利なのが、診断を活用する最大の理由です。
診断によって検出された脆弱性は、深刻度が評価されます。深刻度は一般に「攻撃されやすさ(緊急度)」と「攻撃を受けた際の影響の大きさ(影響度)」の掛け合わせで捉えられ、CVSS(Common Vulnerability Scoring System)などの国際的なスコアリング基準も同じ考え方で設計されています。すべての脆弱性を同時に修正することは現実的ではないため、深刻度の高いものから順に対処するという優先順位の判断が可能になります。
限られた人員と予算の中で、最もリスクの高い弱点から着実につぶしていけるのが、診断を活用する大きなメリットです。
脆弱性を放置するリスク
脆弱性を放置することで生じるリスクは、年々深刻になっています。IPAの「情報セキュリティ10大脅威2026」では、「システムの脆弱性を悪用した攻撃」が組織向けランキングで4位に選出されており、6年連続9回目の選出となっています。脆弱性を突いた攻撃は一時的なトレンドではなく、継続的な脅威として定着しているわけです。
攻撃が実際の被害につながるケースも増えています。警察庁の令和6年のサイバー脅威情勢に関する報告によると、ランサムウェアの被害報告件数は222件にのぼり、調査・復旧だけで1,000万円以上を要した組織の割合が50%まで増加しています。感染経路の多くはVPN機器などのネットワーク機器の脆弱性であり、パッチ適用の遅れが致命的になっています。
ここで押さえておきたいのは、上の「1,000万円以上」はあくまで直接的な調査・復旧費用に限ったものという点です。実際のインシデントでは、これに加えて顧客対応・コールセンター開設・業務停止・信用失墜などの二次被害が積み上がります。
例えばPonemon Instituteの調査(日本IBM公表)では、日本組織のデータ侵害1件あたりの平均総コストは約5.5億円にのぼるという結果が示されています(日本IBM 2025年データ侵害のコスト調査)。
これらのデータが示すのは、脆弱性を放置することが「運が悪ければ攻撃される」という話ではなく、「いつ攻撃されてもおかしくない」ということになります。
脆弱性診断の対象は大きく3種類
脆弱性診断は、何を診断するかによって検出できる脆弱性の種類がまったく異なります。
Webアプリケーションのロジック上の欠陥は、OSやネットワーク機器をスキャンするツールでは検出できません。逆に、ネットワーク機器のポート開放状況はWebアプリ診断の範疇外です。
脆弱性診断は大きく分けると、Webアプリケーション診断・プラットフォーム診断・API/クラウド/スマホアプリ診断の3種類に整理できます。
1. Webアプリケーション診断
脆弱性診断の中で最も需要が高いのが、Webアプリケーション診断です。ブラウザを通じて利用するWebサービスやシステム全般が対象となり、アプリケーションのロジックや入力処理の欠陥を検出します。
主な検出対象はOWASP Top10に基づく脆弱性です。具体的には、SQLインジェクション(不正なSQL文をデータベースに送り込む攻撃)、クロスサイトスクリプティング(XSS、悪意あるスクリプトを他ユーザーのブラウザで実行させる攻撃)、CSRF(クロスサイトリクエストフォージェリ、ユーザーの意図しない操作を実行させる攻撃)などが挙げられます。
これらはWebアプリケーション特有の脆弱性であり、ネットワーク機器のスキャンでは検出できません。ECサイト・会員制サービス・SaaSなど、個人情報や決済情報をWeb経由で扱う企業にとっては、まず優先的に実施すべき診断です。
2. プラットフォーム診断
プラットフォーム診断は、WebアプリケーションではなくOS・ミドルウェア・ルーター・ファイアウォールなどのネットワーク機器を対象とした診断です。アプリケーション層ではなく、インフラ層の脆弱性を検出することが目的です。
診断方法としては、インターネット側から対象サーバーに対して実施する外部からのリモート診断と、社内ネットワーク内から実施する内部ネットワーク診断の2種類があります。外部診断で攻撃者の視点から露出しているリスクを把握し、内部診断で侵入後の横展開リスクを評価するという組み合わせが一般的です。
主な検出対象は、セキュリティパッチが未適用の状態(CVEとして公開済みの既知脆弱性)、不要なポートやサービスの開放、OSや機器の設定不備などです。ランサムウェア攻撃でよく見られるVPN機器への侵入も、プラットフォーム診断で検出できるケースが多くなっています。オンプレミスでシステムを運用している企業や、社内ネットワーク・VPN・公開サーバーを自社で保有する企業にとっては必須の診断といえます。
3. API・クラウド・スマホアプリ診断
API連携が当たり前になった現在、APIのセキュリティ診断の需要も急速に拡大しています。API診断では、認証・認可の不備(本来アクセスできないリソースへのアクセスが可能になっている状態)やレートリミットの欠如など、APIに固有のリスクを検出します。
クラウド診断はAWSやAzure、Google Cloudなどのクラウドサービスの設定状態を検査します。CIS(Center for Internet Security)が策定するベンチマーク基準に照らした設定監査が主な内容であり、ストレージの公開設定ミスやIAMポリシーの過剰な権限付与などが典型的な検出項目です。
スマホアプリ診断はAndroid/iOS向けアプリを対象とし、ローカルストレージへの機密データの平文保存、通信の暗号化不備、コードの難読化の有無などを確認します。外部サービスとのAPI連携が事業の中核を担っている企業、基幹システムをクラウドに移行済みの企業、自社でモバイルアプリを提供している企業などは、Webアプリ診断やプラットフォーム診断と組み合わせて検討する領域です。
脆弱性診断とペネトレーションテストの違い
脆弱性診断とペネトレーションテストは混同されやすいですが、目的と手法がまったく異なります。
脆弱性診断の目的は、システムに存在する脆弱性を網羅的に洗い出すことです。どのような弱点が存在し、それぞれの深刻度はどの程度かを把握することに重点を置きます。診断結果は一覧形式でまとめられ、対策の優先順位を判断する材料として活用されます。
これに対してペネトレーションテスト(ペンテスト)は、実際の攻撃者が行うような手順を模倣し、本当に侵入・侵害が可能かどうかを検証する手法です。複数の脆弱性を組み合わせて攻撃経路を構築したり、社会工学的な手法を組み合わせたりすることもあります。
ペンテストは大きくシナリオベースとリスクベースの2種類に整理できます。シナリオベースは「ランサムウェアに感染した状況を想定する」「機密情報の窃取を想定する」といった特定のシナリオに沿って、その実現可否を検証するアプローチです。一方のリスクベースは、自社システムのリスク評価に基づき、優先度の高い脅威から順に検証対象を組み立てるアプローチで、事業環境や脅威動向に応じて柔軟にテスト範囲を最適化できる点が特徴です。近年はリスクベースを採用するケースが主流になりつつあります。
どちらが優れているというわけではなく、目的が異なります。「まず自社のシステムにどんな弱点があるかを把握したい」という場合は脆弱性診断が適しており、「既知の対策を施した上で、実際に侵入できるかを検証したい」という場合はペネトレーションテストが適しています。
脆弱性診断の進め方
脆弱性診断を外部のベンダーに委託する場合、一般的には以下の3つのフェーズで進みます。各フェーズで発注者側にも対応すべきタスクがあるため、あらかじめ流れを把握しておくと診断がスムーズに進みます。
- 診断範囲の決定と事前準備
- 診断の実施と報告
- 改修対応と再診断
1. 診断範囲の決定と事前準備
最初のステップは、どの範囲を診断するかを決めることです。理想的にはシステム全体を診断することが望ましいですが、予算や時間の制約がある場合は優先度を付ける必要があります。個人情報・決済情報・認証機能など、不正アクセスが発生した場合の影響が大きい部分を最優先で診断対象に含めることが基本的な考え方です。
範囲が決まったら、診断を実施するための準備を整えます。具体的には、本番環境を診断する場合の影響を考慮したテスト環境の用意、診断ツールからのアクセスをブロックしないためのIPアドレスの許可設定、ログイン機能がある場合のテストアカウントの発行、推奨ブラウザや動作環境の共有などが必要になります。
これらの準備が不足していると、診断期間の延長や再スケジュールが発生することがあります。ベンダーとの契約前に必要な準備物を確認し、余裕を持ったスケジュールを組むことが重要です。
2. 診断の実施と報告
診断期間はシステムの規模や診断手法によって異なりますが、小規模なWebアプリケーションであれば1週間程度、複雑な業務システムや広範囲のプラットフォーム診断では1ヶ月程度を見込むのが一般的です。診断中は、発注者側での追加情報の提供や環境の安定運用が求められます。
診断完了後、ベンダーから報告書が提出されます。報告書には通常、検出された脆弱性の一覧、CVSSに代表されるような深刻度評価の項目、脆弱性の再現手順、推奨される改善策が含まれます。特に重要なのは深刻度評価の確認です。Critical/Highなど上位に位置づけられた脆弱性から順に対処することで、限られたリソースを効果的に配分できます。
3. 改修対応と再診断
報告書を受け取ったら、深刻度の高い脆弱性から順に改修を進めます。改修作業は開発チームが担当しますが、ベンダーが提供する推奨対策の内容が不明確な場合は質問できる体制を整えておくとスムーズです。
改修が完了したら、修正が正しく適用されているかを確認するための再診断を実施します。改修したつもりでも、根本原因への対処が不十分で脆弱性が残存するケースは珍しくありません。再診断を無料で対応しているベンダーを選んでおくと、追加コストを抑えられます。この点はベンダー選定時に確認しておくべきポイントの一つです。
また、脆弱性診断は一度実施して終わりではありません。新機能のリリースやシステム構成の変更のたびに新たな脆弱性が生まれる可能性があるため、定期的な診断サイクルを組み込むことがセキュリティ水準の維持につながります。
脆弱性診断サービスの選び方
脆弱性診断の実施について、外部ベンダー委託を検討する際、どのベンダーを選ぶかは診断品質に直結します。
重要なのは、用途や予算に応じて適材適所で選ぶという視点です。定期的な棚卸しを目的とするなら効率重視のツール診断中心のプランが適しますし、重要システムの深掘り検査であれば手動診断の比重が高いプランが適します。診断内容とベンダーの強みが自社の目的に合致しているかを見極めることが、結果の質を大きく左右します。
ここでは、脆弱性診断サービスを選ぶ際に確認すべきポイントを4つご紹介します。
1. 診断手法と精度は適切か?
ツール診断のみか、手動診断を組み合わせているかを確認します。
ビジネスロジックの欠陥やアプリケーション固有の脆弱性は、手動診断でなければ検出できません。ツールと手動を組み合わせているかどうかは、診断品質を判断する最初のチェックポイントです。
また、診断に携わるエンジニアのスキルレベルも重要です。ホワイトハッカー(倫理的なハッカー)の知見を持つ専門家が診断を担当しているかどうかを確認すると、手動診断の精度の目安になります。
2. 診断精度が対外的に担保されているか?
信頼性の高いベンダーは、経済産業省が整備する情報セキュリティサービス台帳への登録や、情報セキュリティサービス基準への適合を取得しています。
これらは診断サービスの品質管理体制を第三者が評価した指標です。OWASP Testing GuideやCIS Benchmarkなど、業界標準の診断基準に基づいた手法を採用しているかどうかも確認すると良いでしょう。
3. 報告書の品質とサポートは十分か?
報告書のサンプルを事前に確認できるかどうかを確認します。
優れた報告書には、脆弱性の再現手順が具体的に記載されており、開発チームが手順を再現して問題を理解できる内容になっています。また、推奨される改善策が抽象的な記述ではなく、実装レベルで具体的に書かれているかどうかも重要なポイントです。
診断後のサポート体制も確認しておきましょう。報告書の内容について質問できる窓口があるかどうか、改修後のフォローアップが可能かどうかは、改修フェーズの進め方を大きく左右します。
4. 再診断対応の可否および、診断実績を確認
改修後の再診断を無料または低コストで対応しているかどうかを確認します。
再診断が別途高額になる場合、改修の確認を省略してしまうリスクがあります。また、診断実績の件数や対応できる領域の幅も選定基準になります。実績が豊富なベンダーほど、様々なシステム構成や業種での知見が蓄積されています。
バルテスは、品質保証専門会社として1,000件以上の脆弱性診断実績を持ち、ホワイトハッカーとツールを組み合わせた独自の診断手法を採用しています。情報セキュリティサービス台帳にも登録済みです。
2024年1月~2024年12月までに弊社がセキュリティ診断を実施したサイトを母集団に取った調査では、94%のサイトで危険なリスクが検出できた実績もあります。
バルテスはツールでは見つからない脆弱性も多数検出します。この機会にぜひバルテスの脆弱性診断をご検討ください。
脆弱性診断とは?まとめ
この記事で説明した内容を振り返ります。
- 脆弱性診断とは、システムに潜むセキュリティ上の弱点を事前に検出し、リスクを評価するプロセスである
- 脆弱性を放置すると、ランサムウェア被害や情報漏えいによる多大な損害につながるリスクがある
- 診断対象によってWebアプリケーション診断・プラットフォーム診断・API/クラウド/スマホアプリ診断の3種類に分類される
- 実行にあたっては「範囲決定・事前準備→診断・報告→改修・再診断」の3フェーズで進めることが有効
初めて脆弱性診断を実施する企業であれば、まず個人情報や決済機能を扱うWebアプリケーションの診断から始めるのが現実的です。すでに一度診断を経験している企業は、システム変更のタイミングに合わせた定期診断サイクルの確立を検討する段階に進んでいきます。
どの段階にある企業でも、最初のステップは診断範囲の整理と適切なベンダーへの相談です。
まずは、どの範囲を診断すべきか?ぜひバルテスまでご相談ください。