サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

脆弱性診断(セキュリティ診断)とは?



企業・組織のシステムにセキュリティ上の脆弱性や問題点がないかを診断するテストを、脆弱性診断またはセキュリティ診断と言います。

この脆弱性診断の目的や種類などを含め、脆弱性診断とは何か説明します。

脆弱性診断(セキュリティ診断)とは

脆弱性診断の基本事項について説明します。

そもそも脆弱性とは

脆弱性(ぜいじゃくせい)とは、OS・ネットワーク・ソフトウェア・アプリケーションなどに存在する、情報セキュリティ上の欠陥のことです。

脆弱性は、プログラムの不具合・欠陥や設計上のミスが原因となり発生します。

さらに、脆弱性には、すでに情報が公開された既知の脆弱性と、まだ発見されていない未知の脆弱性があります。

脆弱性を放置するリスク

仮に、脆弱性が残った状態でOS・ネットワーク・ソフトウェア・アプリケーションなどを利用し続けた場合、その企業や組織は、不正アクセスを受けたり、マルウェアに感染したりする恐れがあります。

そして、不正アクセスやマルウェア感染などのサイバー攻撃を受けると、結果として次のような損害につながる可能性があります。

機密情報の漏えい・流出

顧客の個人情報や社内機密情報など、重要な情報が盗み取られる。

社内システムのダウン

ひとたびサイバー攻撃を受けると、ネットワークやメール送受信の停止・Webページの閉鎖という対応は免れません。

Webサイトなどデータの改ざん

企業の公式サイトなどのWebサイトなどが書き換えられ、攻撃の踏み台に利用されることがあります。

マルウェア感染

例えば、PCやデバイスをロックしてしまうマルウェア「ランサムウェア」に感染した場合、身代金を要求されるなど、直接的な金銭的被害を受けます。

その他、サイバー攻撃により個人情報が漏洩した場合は、国から是正勧告を受けるというリスクもあります。万が一、是正勧告に従わなかった場合は、刑事上の罰則も用意されています。

企業や組織が、自社のシステムに存在する脆弱性を放置しておくという選択肢は、もはやないというのが現状です。

脆弱性診断の目的・必要性

このようなリスクを最小化するため、セキュリティ上の問題点である脆弱性の有無を診断して特定する脆弱性診断(セキュリティ診断)を、セキュリティ対策の一つとして行います。

脆弱性診断での問題点の特定は、一連のセキュリティ対策の最初に行うことが多く、その診断結果に基づいて具体的な改善やセキュリティ対策を実施します。

また、セキュリティ対策の運用開始後も、定期的に脆弱性診断を行います。

脆弱性診断の方法

脆弱性診断(セキュリティ診断)の方法には、大きく分けて次の2つがあります。

ツール診断

ツール診断は、自動検査ツールなどを用いて、機械的に脆弱性を検査する方法です。ツール診断は、セキュリティ診断の知識を持たないユーザを想定して設計されています。

メリット

  • 広範囲に短時間で診断可能
  • 低コスト
  • セキュリティ専門家でなくても診断できる

デメリット

  • 複雑なシステム構成の場合、誤診断が生じる可能性がある
  • 複雑な欠陥や一定のパターンから外れた欠陥は検知困難

手動診断

手動診断(マニュアル診断)は、セキュリティ専門家が検査を行う診断方法です。例えばWebサイト上に存在する脆弱性を洗い出す場合、エンジニアが実際にWebサイトを操作してチェックします。

メリット

  • 誤診断が少なく、精度が高い
  • ツール診断では検知が難しい複雑な欠陥も診断できる

デメリット

  • 診断結果が出るまでに時間がかかる
  • 高コスト

脆弱性診断ではどこを診断する?

脆弱性診断(セキュリティ診断)では、検査・診断する範囲をサービス利用者が決定することができます。具体的にはどのようなリソースを診断するのでしょうか?

アプリケーション

アプリケーション診断で、Webサイトやアプリケーションに存在するセキュリティ上の問題点を検査します。

顧客の重要情報を扱うWebサイトやスマホアプリを運営する場合において、サービスの公開前に実施されることが多いテストです。

具体的には、SQLインジェクション・クロスサイトスクリプティング(XSS)・パラメータ改ざんなどに悪用可能な脆弱性が存在しないか確認します。

プラットフォーム

プラットフォーム診断で、OSやミドルウェア・ネットワーク機器に存在するセキュリティ上の問題点を検査します。

自組織ネットワークの内部と外部の両面から、問題点を診断します。

具体的には、アクセス制御設定の確認・各種機器の設定の確認・ネットワークスキャンを用いた脆弱性の検出・外部接続可能なポートのうち不必要なポートがオープンになっていないかの確認などを行います。

まとめ

セキュリティ上の脆弱性や問題点がないかを診断する、「脆弱性診断(セキュリティ診断)」について説明しました。

安価かつすばやく基本的な脆弱性を洗い出すツールから、診断後のセキュリティ対策に関するアドバイスまで受けられるサービスまで、脆弱性診断サービスの内容は様々です。複数のサービスを比較検討して、自社のニーズに合致したサービスを検討しましょう。

よくある質問

脆弱性診断(セキュリティ診断)はどのくらいの頻度で行うべきですか?

脆弱性診断の推奨頻度は、診断項目により異なります。

例えば、Webサーバに保存されたデータの検査は、1週間に1回程度、ID・パスワードの検査やDDoS対策の体制確認は1年に1回程度とされています。

脆弱性診断の価格・費用はどのくらいかかりますか?

無料から数百万円まで、脆弱性診断のサービスにより価格・費用は異なります。一般的には、手動診断(マニュアル診断)よりツール診断の方が安価です。

また、同一サービスでも、ベーシックからプレミアムまで、複数の料金体系を用意している場合もあります。

自社の規模や検査が必要な範囲などを精査した上で、導入するサービスを選択します。脆弱性診断サービスの一覧はこちら

手動診断ではどのような人材が診断するのですか?

ツールでは検出できない複雑な問題点も洗い出せる手動診断(マニュアル診断)では、セキュリティ専門家自身が実際にWebサイトなどを操作し、診断します。

セキュリティ専門家として企業を支援するのが、ハッキング技術をセキュリティの向上や世の中への貢献のために活用するハッカーである「ホワイトハッカー」です。

診断結果はどのように得られますか?

ツール診断でも手動診断でも、発見された問題点は報告書・レポートとしてまとめられた状態で確認できます。さらに、手動診断やアセスメント付きのサービスでは、レポートとともに、その後の対策に関して、セキュリティ専門家の知見を生かしたアドバイスを受けることができます。

ペネトレーションテストとの違いは?

脆弱性診断と類似した診断にペネトレーションテストがあります。システム全体の問題点を網羅的に確認する脆弱性診断に対し、ペネトレーションテストでは、現実的な攻撃シナリオを用いて攻撃に対する耐性を確認します。現状の自社のシステムがどれだけ攻撃を受けやすいのかを診断するテストです。脆弱性診断サービスの一覧はこちら



  • LINEで送る

書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。