近年サイバー攻撃の被害が増加しており、セキュリティ対策を検討する機会が増えてきました。セキュリティツールの導入やゼロトラストなど、様々なセキュリティ対策がありますが、本記事では脆弱性診断(セキュリティ診断)のやり方について紹介していきます。脆弱性診断なんてやりたくないなぁと思っている方も、きっとやりたくなっていただける記事になっています!
脆弱性診断とは?
脆弱性診断とはWebアプリケーションやスマホアプリ、ネットワークなどに脆弱性がないかを診断するサービスです。
よくあるパターンとして、新しくシステムを開発する際は未対策の脆弱性が残らないように十分に気を付けて対策していたとしても、その後の機能追加や不具合修正といった改修時に意図せず脆弱性を作りこんでしまうというものがあります。それを放置してしまったためにサイバー攻撃の被害にあってしまうという事例も度々見かけます。
このように開発時に見逃されてしまった脆弱性(セキュリティホール)を確認することを脆弱性診断と呼び、サイバー攻撃の被害を防ぐために、脆弱性診断の実施が必要になります。
主な脆弱性診断の手法としては下記の2つです。
- ツール/AI診断
- 手動診断
それぞれの違いについて具体例を用いて解説していきます。
ツール/AI診断
対象のシステムに診断ツールを用いて、自動でサイバー攻撃をしかけていきます。
診断例)各画面の攻撃できそうな箇所に対してSQLインジェクションを実施した場合、開発者が想定していない画面が表示されるかどうか
※SQLインジェクション:データベースへの指示に使われるSQLというメッセージに細工して、攻撃者が意図する指示を実行させる攻撃手法
診断ツールは無料で使えるものはもちろん、セキュリティ専門会社が提供する有料のツールもあります。ツールによって攻撃の種類や使い方は様々です。ただし、ツールでは検出できない脆弱性もあるので注意が必要です。
手動診断
対象のシステムに対して、手動でしか確認のできない診断を行います。
診断例)
- 情報が出たばかりの新しい攻撃手法あるいは脆弱性に関する診断
- 複雑な手順を必要とする攻撃手法に関する診断
- サイト毎に要望される細かな制御への対応(特定のページを診断対象から除外したい、特定の診断項目だけ実施したい、など)
上記のような場合はツールによる確認が困難なため、手動で確認していく必要があります。今回の例はわかりやすいものとなっていますが、確認項目はその他にも様々あります。
脆弱性診断はやりたくないけど、やるべきなの?
結論からお伝えすると脆弱性診断はやるべきです!特に個人情報を扱うシステムや外部に公開しているサイトに関しては実施するべきです。
では脆弱性診断をやらなかった時にはどういうことが起こりうるかをご説明していきます。例えば自社で運営しているオンラインショップのサイトがあったとします。そこではお客様の個人情報(住所やメールアドレス、クレジット情報など)が取り扱われています。
そこに悪意のある攻撃者がサイバー攻撃を仕掛けてきました。たまたまそこに脆弱性があった場合、攻撃者はその脆弱性を利用して、サイトで管理している個人情報をすべて抜き取れてしまいます。そこから漏洩した個人情報が不正に使われてしまったら…、考えるだけで恐怖でしかありません。
そうなってしまったら損害賠償を求められることもありますし、たった1度の失敗であっても社会的信頼が損なわれてしまいます。サイトのリリース前に脆弱性診断を受けて、事前にそこに脆弱性があることを把握していれば、その時点で修正することもできたわけです。今回は情報漏洩を例にしましたが、攻撃を受けたことによりシステムが停止して業務に支障がでるなど、自社だけではなく取引先のお客様にまで影響を及ぼす可能性もあります。
ネガティブな話ばかりしてしまいましたが、実際そういった事件がいくつも起きているのが現状です。また、ニュースで目に留まる会社は大企業が多いかもしれませんが、被害を受けているのは決して大企業だけではありません。実際に攻撃する側として考えたときに、強固なセキュリティ対策を行っている大企業よりも、簡単に防御を突破あるいは征服できる会社に攻撃を仕掛けていく方が効率がよいと思いませんか?
こういったセキュリティ対策は後回しになりがちです。対策をしたことによって何か大きな変化があるわけでもなく、コストもかかるし、めんどうなのでやりたくないと考えるのもとてもわかります。
脆弱性診断は健康診断とよく比喩されることがあります。現在の健康状態を把握しておくことで、大事になる前に改善することができます。ビジネスでも同じく、事件が起きてからでは手遅れになる場合があることもしっかり理解したうえでやるかやらないかを判断しましょう。
脆弱性診断 2つのやり方
ここまで、脆弱性診断の手法と大切さをご説明いたしました。ここからは脆弱性診断を実施する方法をご紹介いたします。脆弱性診断を行うには下記の2つの実施方法があります。
- 自社で実施
- 外部委託
それぞれ詳しく紹介していきます。
自社で実施
先程、診断の手法としてはツール/AI診断と手動診断の2つがあるとご紹介いたしましたが、どちらも専門知識がある人がいれば自社で行うことも可能です。ただ、知識がない人が1から学んでいくにはかなりハードルが高いと思います。
攻撃のパターンは年々変わってきており、その都度情報をアップデートするのにも手間がかかります。もちろん自社で行うので、外部に委託するよりは費用は安くすむことになるかと思います。専属で業務にあたることができる人材を確保できる場合は、現実的な選択肢の1つとして挙げられます。
外部委託
脆弱性診断の対象を選定し、専門の会社に依頼して脆弱性診断を実施する方法もあります。専門会社によってはどこを診断するべきかを選定までしてくれる会社もあります。もちろん、各会社によって診断の項目や費用感は変わってきます。
診断の項目や費用をよく確認し、会社の選定をしていく必要があります。外部に委託する分、費用としては高くなりますが、専門の第3者に依頼することで安心感はかなりあるかと思います。
選定の基準として、【情報セキュリティサービス台帳】という経済産業省が定める診断項目に適合している会社をリスト化しているものがあります。これに登録されている会社であれば、基本的には安心して委託できるかと思います。
その他の比較ポイントとしては、診断項目、見積りの仕方、診断項目以外のサービス内容で比較するのが一般的です。
各会社で差が出るポイントとしては診断項目以外のサービス内容です。再診断の無料実施や対策方法の記載までしっかりとあるか、その他基本サービスには含まれていない相談事の対応が可能かどうか(日々の進捗の連絡など)がわかりやすく差が出ます。会社選定の際にはよく比較して選ぶようにしましょう。
まとめ
「脆弱性診断のやり方 やりたくないけど、やるべきなの?」と題して、ご紹介してまいりました。脆弱性診断について、いろいろ書かせていただきましたが、結論として、脆弱性診断はやったほうがよいと思います。
現在、サイバー攻撃のリスク認知度は高まってきているが、自社は大丈夫だろうと思い対策していない企業が多いのが現状です。この記事をご覧いただいているということは、少しでもセキュリティに関心があり気になっているのではないでしょうか。この機会に是非、脆弱性診断をご検討してみてください。
バルテス・モバイルテクノロジー(以下VMT)では脆弱性診断をサービスとしてご提供しています。ツール診断と手動診断の両方あわせたハイブリッド診断が可能です。また、成果物の報告書もわかりやすく記載しています。レポートでは図を用いての説明や、対策方法もコメントしていますので、資料を元にしてシステムを適切に改修していただくことができます。
さらにVMTで脆弱性診断を実施いただくと、最大1,000万円の保証が受けられる東京海上日動の「サイバーリスク保険」も無償で付帯されます。まだサイバーリスク保険に加入していない企業様であれば診断も受けられて保険も付帯されるので、より安心につながるのではないかと自負しております。
また、先程ご紹介した「情報セキュリティサービス台帳」にも登録しております。脆弱性診断をご検討いただく際は、是非一度VMTまでお問い合わせください。
当サイトではWebサイト、モバイル端末、IoT機器が抱える脆弱性によるリスクへの対策を検討している方や、サイバー攻撃の脅威から守るWAFに興味がある方へ、ダウンロード資料をご用意しております。ぜひ資料をダウンロードいただき、ご活用ください。
