アメリカのセキュリティ企業、パロアルトネットワークスの調査によれば、サイバーセキュリティ攻撃の原因で2番目に多かったのが「脆弱性」でした。サイバーセキュリティの脅威は常に進化しており、企業は先手を打つことが不可欠です。
自社のサイバーセキュリティを最新の状態に保つための効果的な方法が、脆弱性診断の実施です。脆弱性診断とは、システムやネットワークの弱点を特定し、高いレベルのセキュリティを維持するプロセスのこと。本記事では、脆弱性診断の特徴や必要な理由、ペネトレーションテストとの違い、診断の流れなどを解説します。
そもそも脆弱性とは?
サイバーセキュリティの世界では、脆弱性はコンピュータシステムやネットワークの弱点を指します。シノプシス サイバーセキュリティ・リサーチセンターの調査によれば、4,400件のテストのうち95%に脆弱性が発見されました。
ハッカーは脆弱性を利用して企業の機密情報を盗み取り、ダークウェブ上で他の犯罪者に機密情報を販売するリスクがあります。なお脆弱性は、ソフトウェアやハードウェア、あるいは人間の行動にまで存在する可能性があり、悪用される前に特定し、対処することが組織にとってとても重要です。
脆弱性診断が必要な理由
脆弱性診断とは、システムやアプリケーションなどのセキュリティ上の弱点を特定し、評価するプロセスです。脆弱性評価が必要な理由の1つは、常にサイバー攻撃が高度化しており、新たな脆弱性が続々と発見されるためです。
サイバー犯罪者は脆弱性を利用して、システムへの不正アクセスや機密情報の窃取、マルウェアやその他の悪意のあるソフトウェアのインストールなどを行います。盗まれた機密情報は、ダークウェブ上で他のサイバー犯罪者に販売され、個人情報の盗難や金融詐欺など、さまざまな違法行為に使用されるリスクがあるのです。
脆弱性はサイバー犯罪者が機密データにアクセスして盗み出すための経路となり、そのデータはダークウェブで売買されます。このような攻撃を防ぎ、機密データを悪用されないようにするためには、企業がシステムの脆弱性を積極的に特定し、適切な対処を施すことが欠かせません。
脆弱性評価によって、企業は潜在的な脅威を把握し、脆弱性が悪用される前に対処できるようになるわけです。
ペネトレーションテストとの違い
ペネトレーションテストとは、システムまたはネットワークに対する模擬攻撃をして、セキュリティ対策の有効性をテストし、攻撃者に悪用される可能性のある脆弱性を特定する手法です。ペネトレーションテストの目的は、現実世界の攻撃者が使用する戦術や技術、手順を再現し、組織のセキュリティ上の弱点やギャップを特定することです。
脆弱性評価とペネトレーションテストは、どちらも潜在的なセキュリティ上の弱点を特定する点では同じですが、脆弱性評価がより受動的なアプローチであるのに対し、ペネトレーションテストはより能動的なアプローチという違いがあります。
脆弱性診断の主な評価対象
脆弱性診断の対象としてよく知られているのは、Webアプリケーション、プラットフォーム、ネイティブアプリ、IoTの4つです。ここからは、各評価対象の特徴と脆弱性診断が重要である理由について説明します。
ウェブアプリケーション
ウェブアプリケーションは、広く利用されており、ネットワークへの容易な侵入口となるため、攻撃者に狙われることが多いです。Webアプリケーションの脆弱性評価をすれば、SQLインジェクションやクロスサイトスクリプティング(XSS)、その他のコードインジェクション攻撃などの脆弱性を特定できます。また、ウェブアプリケーションへの攻撃リスクを高める設定ミスやその他の問題の発見も可能です。
プラットフォーム
プラットフォームの脆弱性評価は、ウェブアプリケーションをサポートする基礎的なコンポーネントの脆弱性を特定するのに役立ちます。例えば、Webサーバーの脆弱性評価では、サーバーを攻撃されやすい状態にしている古いソフトウェアや設定の特定が可能です。
ネイティブアプリ
ネイティブアプリとは、AndroidやiOSなどの特定のオペレーティングシステム上で動作するように設計されたアプリケーションです。これらのアプリはデバイスに直接インストールされ、カメラやマイク、位置情報サービスなどのデバイス機能にアクセスできます。
ネイティブアプリの脆弱性評価は、安全性の低いデータ保存や不十分な暗号化、認証の問題などの脆弱性の特定に役立ちます。
IoT
IoTとは、インターネットに接続され、相互に通信可能な物理的なデバイスや自動車、家電製品などを指します。IoT機器の脆弱性評価は、脆弱なパスワードや暗号化されていない通信経路、安全でないファームウェアなどの脆弱性を特定するのに役立ちます。また、IoT機器の管理・制御に使用されるモバイルアプリやウェブポータルの脆弱性も発見することができます。
主な脆弱性の種類一覧
主な脆弱性の種類とその特徴を下記表にまとめました。
| 脆弱性 | 特徴 |
| SQLインジェクション | 攻撃者が悪意のあるSQLコードを埋め込み、データへのアクセスやアプリケーションの制御をするサイバー攻撃。ウェブアプリケーションを介して実行される。 |
| クロスサイトスクリプティング(XSS) | 攻撃者が他のユーザーが閲覧するウェブページやアプリケーションに悪意のあるスクリプトを埋め込み、機密データの盗難やユーザーセッションの乗っ取りをするサイバー攻撃。 ユーザー入力の検証や出力のサニタイジングが適切に行われていないウェブアプリケーションを介して実行される。 |
| リモートコードエグゼキューション(RCE) | 攻撃者がターゲットシステムまたはアプリケーション上で悪意のあるコードを実行することで、システムやアプリケーションの制御や機密データの盗難をするサイバー攻撃。 ユーザー入力を適切に検証しない、入出力チャネルを保護しないなど、安全でないコーディング手法が原因となることが多い。 |
| 人的脆弱性 | 物理的な機密情報の盗難や社外での会話が原因の漏洩、破損などの人為的な操作により引き起こされる脆弱性。 |
手動とツールの脆弱性診断の違い
脆弱性診断は手動もしくはツールで実施されます。どちらの方法にもメリット・デメリットがあるため、自社に最適な方法を選べるように、各方法の特徴を理解しましょう。
手動による脆弱性評価
手動による脆弱性評価とは、サイバーセキュリティの専門家が攻撃者の視点となり、手動で調査する方法です。主にツールと手動によるテスト方法を組み合わせ、ツールが見落とす可能性のある脆弱性の特定に使用されます。
手動調査は、ツールベースの評価よりも時間とリソースを要しますが、より詳細で正確な結果に期待できます。なぜなら、手動評価では専門家の知識と経験、直感が使用されるため、ツールでは見落とされる可能性のある脆弱性や潜在的な攻撃ベクトルを特定できるためです。
ツールベースの脆弱性評価
ツールベースの脆弱性評価は、システムまたはアプリケーションの既知の脆弱性と弱点を特定するように設計された自動スキャンツールを使用して実施されます。
ツールベースの評価は、手作業による評価よりも迅速かつ少ないリソースで実施できますが、正確性に欠ける場合があります。自動化されたツールは、データベースに登録されている既知の脆弱性しか特定できないため、新しい脆弱性や未知の脆弱性を見逃す可能性があるためです。
ツールベースの評価は、コンプライアンス目的などセキュリティ態勢を迅速かつ定期的に評価する必要があるシステムに推奨されます。
脆弱性診断の流れ
脆弱性診断の流れは以下の通りです。
1.目的の明確化
2.脆弱性診断サービスの選択
3.スケジュール調整
4.調査の実施
5.報告及び対策
ここからは、各ステップの詳細について解説します。
目的の明確化
脆弱性診断における最初のステップは、診断目的を明確にすることです。目的が明確になれば、診断対象となる資産や診断の範囲、テストする脆弱性の種類などが特定できます。
脆弱性診断サービスの選択
目的が明確になったら、脆弱性診断サービスを選択します。自社にサイバーセキュリティに精通した人材がいなければ、専門のベンダーに依頼しましょう。サービス選定の際に考慮すべき要素としては、サービスの専門性や評判、実績、コスト、可用性などが挙げられます。
スケジュールの調整
専門のベンダーと脆弱性診断の日程を調整し、資産へのアクセスやネットワーク接続など必要要件を調整します。
調査の実施
自動化ツールもしくは手動テスト、またはその両方を組み合わせた脆弱性評価を実施します。評価対象の資産への影響を最小限に抑えるため、管理された構造的な方法で実施する必要があります。
報告および対策
調査が完了したら、評価結果を文書化し、ステークホルダーと共有します。レポートには、特定された脆弱性の概要やその重大性、および推奨される対策が含まれるべきです。報告書を確認し、リスクに基づいて脆弱性に優先順位をつけ、迅速に対策をしましょう。
まとめ
脆弱性診断は、企業が自社のシステムやネットワークにおけるセキュリティリスクを特定し、サイバー攻撃を事前に防ぐために必要不可欠です。定期的に脆弱性診断を実施することで、機密情報の流出をはじめとするサイバー攻撃の被害に遭う前に、脆弱性を緩和する予防策を講じられます。
弊社は脆弱性診断とペネトレーションテストを提供しております。サイバーセキュリティの専門家が、貴社のニーズや状況に応じた脆弱性診断を提案し、診断結果と対策案を詳細に報告いたします。ご興味のある方は、まずは下記よりお問い合わせください。
