会社のWEBサイトやネットワークのセキュリティが大丈夫か心配! という方の多くは、「セキュリティ・脆弱性診断ツール・サービス」の使用を考えますが、実際どのツール・サービスを利用すれば良いかわからない。という方も多いようです。
ある程度知識があれば無料ツールから選んで実施することができますが、しっかりとその情報を知らないと的確なものを選ぶことはできません。
今回はそのようなセキュリティ・脆弱性診断ツール・サービスの概要や選び方、さらには無料ツールや有料サービスの特徴まで。セキュリティ診断の実施を考える際には確実に知っておく必要がある情報を整理しましたので、しっかりとチェックしてください。
セキュリティ・脆弱性診断とは
コンピュータやネットワーク、ソフトウェア等の情報システムを保守・運用していく上で重要な機能に対して、今後行われるだろうサイバー攻撃を様々な観点から考察し、対処する事でセキュリティを高める事を意味します。
情報システムを脅かす脅威は多く存在しており、自社の保有する重要な機密情報や個人情報を外部に流出させる事が無いようにするには、情報システムの脆弱性やセキュリティが堅実なのかを確認しておく必要性があります。
診断の必要性と実施のメリット
脆弱性の一例として挙げられるのが、情報システムのソフトウェアの設計ミスやプログラムコードのミスによって生じる「セキュリティホール」です。
セキュリティホールを放置していると、悪意のあるユーザーによって不正に外部からコンピュータへと不正アクセスを許す可能性があり、不正アクセスを通じて情報システムへの侵入や内部データの改ざん、情報漏洩等の被害を防ぐためにも、セキュリティ・脆弱性診断を通じて、生じる可能性のある問題を未然に防ぐ必要があるのです。
この未然に防ぐことが可能になることが、セ診断を行うことの最大のメリットです。
セキュリティ診断には、ある程度知識があれば無料で利用できるツールのものと、有料になりますが専門家にお任せして調べてもらうサービスが
[無料編]セキュリティ・脆弱性診断ツール
まずは無料のツールを紹介させていただきますが、ここであげるツールは、ある程度知識がないと利用できないものが多いので、エンジニア経験のない人にはあまり向かないかもしれません。
また「何を診断するのか」をしっかりと理解していないと「どのツールを利用すれば良いかもわからない」という状態になってしまうので、あまり知識がないという方は、素直に有料のサービスを利用することをお勧めします。
無料診断ツールでできること比較
ここでは、無料で利用できるツールとしてメジャーなものを5つピックアップしました。
それぞれどのような目的なツールで何ができるのか、概要を把握しておきましょう。
| ツール名 | 対象 | 特徴 |
|---|---|---|
| OWASP ZAP | webアプリケーション | 初心者でも使える、簡単さが魅力 |
| Burp Suite | webアプリケーション | ローカルProxyを中心に構成 |
| Nikto | webアプリケーション ミドルウェア |
辞書ベースで脆弱性診断を行うツール |
| Nmap | ネットワーク | 不要なオープンポートからネットワークの脆弱性を発見 |
| Nessus | ネットワーク | ローカルProxyを中心に構成。リクエストの改ざんテストもOK |
無料診断ツール詳細
それでは、上記で整理した無料診断ツールの詳細を見ていきましょう。
OWASP ZAP
URLhttps://www.owasp.org/index.php/Main_Page
「OWASP ZAP」は、オープンソースのWebアプリケーション脆弱性診断ツールで、Webアプリケーションのセキュリティに関するガイドやツールを公開している「OWASP (The Open Web Application Security Project)」が開発
「クロスサイトスクリプティング」「SQLインジェクション」など、WEBアプリケーションの代表的な脆弱性の診断が可能となります。
利用方法参考サイト
Burp Suite
URLhttps://portswigger.net/burp/
「Burp Suite」は、Webサイトへリクエストする情報を改ざんして脆弱性がないか確認したり、WebサイトをクローリングしてURLのリストを取得するなど、Webアプリケーションの脆弱性を診断するツール
利用方法参考サイト
Nikto
URLhttps://cirt.net/Nikto2
「Nikto」はオープンソースのセキュリティ診断ツールで、XSSなどのアプリ上に潜む問題から、ミドルウェアの設定など、多くのセキュリティ上問題となるであろう項目のチェックが可能
利用方法参考サイト
Nmap
URLhttps://nmap.org/
「Nmap」はポートスキャン機能だけでなく、OSやバージョンの検出機能、サービスおよびそのバージョンの検出機能など、多くの機能を兼ね備えている
利用方法参考サイト
Nessus
URLhttp://www.tenable.com/products/nessus-vulnerability-scanner
「Nessus」は指定したサーバに対しポートスキャンや擬似的なアクセスなどを行うことで、サーバに存在する脆弱性を調査するツール
利用方法参考サイト
それぞれ目的も活用方法も異なり、どのようなことが診断できるかも異なります。
あなたが必要としている診断を実施できるツールはありましたか?
上記無料ツールの使い方がよくわからない、無料ツールでは診断したいことが実現できないという方は、ここから整理する有料サービスをご確認ください。
[有料編]セキュリティ・脆弱性診断サービス
診断ツールの種類
厳密にシステムに対する脆弱性を確認したい時は「プラットフォーム診断」と「アプリケーション診断」の2つの手段があることを把握しておきましょう。
プラットフォーム診断
情報システムの土台に対する外部からの脅威を、未然に防ぐための診断です。
主な診断内容
情報システム全体を管理する為のOSやミドルウェアのプラットフォームを中心に、Webサーバやデータベースに至るまでの不正アクセスや情報漏洩等を未然に防ぐため、安全性を徹底的に診断・調査する事
アプリケーション診断
ユーザー側が使用するサービスに対する外部からの脅威を、未然に防ぐための診断です。
主な診断内容
WebサイトやWebサービス等のアプリケーションを中心に、会員サイトやスマートフォン・モバイル向けサイトに対する不正アクセスや情報漏洩等を未然に防ぐため、安全性を徹底的に診断・調査する事
診断方法の2つの違い
プラットフォーム診断やアプリケーション診断には、さらに2つの診断方法の違いがあり、それが「ツール診断」と「手動診断」です。
ツール診断
その名の通り「ツール」を用いて、対象となる情報システムに対する問題点を明確にし解決します。
手動診断
情報セキュリティに関する専門家が実際に対象となる情報システムの問題点を明確にします。
それぞれの「長所」と「短所」を下記の表に整理しました。
| ツール診断 | 手動診断 | |
|---|---|---|
| 長所 | 誰にでも使えるツールのため比較的安価に使用でき、自動的にセキュリティに対する脆弱性を発見可能 | 専門家の手によって診断ツールでは見つけずらい脆弱性に対象可能 |
| 短所 | WebサイトやWebサービスの内部構成が複雑だと誤検知率が高まる | 専門的な知識が必要な業務となるため、価格が高くなる傾向がある |
診断サービスの選び方 5つのポイント
ポイント1:診断項目は?
脆弱性診断・セキュリティ診断ツールを選ぶ際のポイントとして認識しておくと良いのが、次の項目だ。
プラットフォーム診断やアプリケーション診断を通じてどんな問題を防ぎたいのかを考える上での参考にして欲しい。
機密情報の漏洩
企業存続を揺るがしてしまう情報の漏洩を防ぎたいか
個人情報の流出
外部に流出することで企業価値を下げる恐れのある個人情報の漏洩を防ぎたいか
ホームページの改ざん
企業の顔とも言えるホームページに対する情報の改ざんを防ぎたいか
基幹システムの停止」
自社基幹システムの停止に伴う業務の大幅な遅れや中断を防ぎたいか
ウィルスの感染
外部からのサイバー攻撃によるウィルスのよる二次、三次被害を防ぎたいか
ポイント2:「ツール診断」「手動診断」のどちらか?
情報システムに対する問題や課題を解決する時に簡単に済ませたいと感じる時もあると思います。
そのような場合は、自動で全体の問題を見つける事が可能なツール診断がお勧めです。
ツール診断では発見できないような小さな脆弱性に対して対処したい場合は、手動診断を行うと良いでしょう。
その時々によって、脆弱性診断・セキュリティ診断ツールの使用方法に多様性のあるセキュリティ企業を選ぶとセキュリティを防ぐ際の利便性が高まるはずです。
ポイント3:価格は?
脆弱性診断・セキュリティ診断ツールを通じた診断サービス費用は、数十万円から数百万円まで様々です。
セキュリティ診断ツールの種類と選びかたのポイントを通じて、可能な限り費用対効果の高い診断をしてくれるツールを選ぶ事が重要となります。
ポイント4:診断レポートの質は?
情報システムが実際に安全かどうか、もしくは問題を抱えているのかどうかは自社に提供される診断レポートによって判断する事が多い傾向にあります。
そのため、セキュリティに対する見識や知識が少なくても理解しやすいレポートなのかを事前に確認しておく必要があり、レポートに対する質問をしても良いセキュリティ企業を選ぶ方がより効果が高まるはずです。
ポイント5:コンサルティングしてくれるか?(相談)
脆弱性診断・セキュリティ診断ツールを通じて自社の情報システムの課題や改善点が分かったとしても、対処する事が出来なければ意味がありません。
セキュリティや脆弱性などの問題が本当に解決したのかを確認するための再診断を提供していたり、コンサルタントによる相談をしてくれるセキュリティ企業を選ぶとさらに安全性を高める事が可能となります。
人気診断サービス4つの比較
厳選した脆弱性診断・セキュリティ診断サービスを説明していきながら、どのような選び方のポイントがあるのかを言及していきます。
| 各企業のサービス比較 (サービス名) |
費用 | 手動ツール | 自動ツール | 専門家サポート |
|---|---|---|---|---|
| 株式会社アルファネット (セキュリティ診断サービス) |
220,000円〜 | ◎ | ◯ | ◎ |
| 三和コムテック株式会社 (SCT SECURE Appvigil) |
298,000円(月間) | × | ◯ | ◯ |
| アララ株式会社 (P-Pointer File Security) |
60万円 | × | ◯ | △ |
| 株式会社ユービーセキュア (Webアプリケーション脆弱性検査ツール VEX) |
見積もり次第 | × | ◯ | ◯ |
株式会社アルファネット 「セキュリティ診断サービス」
詳細ページhttps://cybersecurity-jp.com/lp/anet-shindan
安心
数多くの項目(幅広さ)を細部(深さ)に渡り診断!脆弱性を洗い出す!
高品質
専門家による手動診断を採用!ツール診断よりも高品質な診断を実現
分り易さ
危険度別に分かりやすくレポートを作成!対策方法を明確に!
三和コムテック株式会社 「SCT SECURE Appvigil」
詳細ページhttps://www.sct.co.jp/business/solution/websecurity/
多くの企業はモバイル化を優先課題としながら、モバイルアプリに対する脆弱性やハッキング対策をしていない為、iOSやAndroidのモバイルアプリに対するサイバー攻撃、情報漏洩への対策が必要。
SCT SECURE Appvigilは、モバイルアプリの脆弱性やセキュリティが安全かどうかを診断し、何かしら問題が無いのかを診断。
情報システムを通じたモバイルアプリとの連動は日常的に行われており、現在使用しているモバイルアプリを通じて社内の機密情報が外部に筒抜けになってしまう可能性は高い。
通常のモバイルアプリ診断は人間による手作業を伴うため、診断結果を確認するまである程度の期間が必要。
しかし、SCT SECURE Appvigilはクラウドサービスとしての運用を行うため、時間を選ばずに自動診断を行うことができ、約1日から2日程度でモバイルアプリの安全性診断とレポート提示が可能。
アララ株式会社 「P-Pointer File Security」
詳細ページhttps://ppointer.jp/product/
個人情報を安全に扱う方法として、社内の人間による手作業を行なっている企業も多い傾向にあるが、ヒューマンエラーを防ぐことは安易ではない。
P-Pointerは、コンピュータに存在する個人情報や機密情報を含むファイルを全て辞書形式でリストアップし、高速で検索、レポートしてくれる為、重要なファイルがどこにあるのかをすぐに可視化し確認可能。
情報システムを運用していく上で、個人情報や機密情報を管理する事は重要である一方、日々の業務に追われてしまい事で安全性を損なう恐れは大きい。
重要な情報がどこにあるのかをリアルタイムで確認する事で、情報漏洩のリスクを防ぎ、セキュリティ担当者の業務の手間を省く事も可能。
株式会社 ユービーセキュア 「Webアプリケーション脆弱性検査ツール VEX」
詳細ページhttps://www.ubsecure.jp/vex/vex
情報システムの脆弱性やセキュリティ診断をする時に必要となるのは、高い問題検知率と低い誤検知率(間違えて問題を検出しない率)。
Webアプリケーション脆弱性検査ツール VEXでは、情報システムの脆弱性診断に対して豊富な経験を持つ技術者によって開発。
純国産のツールとして最新の機能はもちろん詳細な技術資料に至るまで全てが日本語として使用する事が可能。
情報システムにトラブルが生じた場合、サポート部門と開発部門が協力しながら問題解決に取り組む為、原因調査から改善への意思決定、そして安全な情報システムへと迅速に完結させる体制を整備済み。
使いやすく診断をする時の不備の無いセキュリティツールなら、より安全に情報システムを運用する事が可能となる。
まとめ
脆弱性診断・セキュリティ診断ツールと言っても、何が気になっていて何をチェックしたいのかによって、診断すべき項目も様々でその方法も異なってきます。
無料のツールはもちろんのこと、最近では、脆弱性診断・セキュリティ診断サービスも多くの特徴を持つサービスがたくさん提供されているので、上記の5つのポイントをもとに、あなたの会社にあったサービスを選ぶことが重要です。
