脆弱性診断(セキュリティ診断)とは?必要性など基礎から解説
脆弱性診断(セキュリティ診断)は、ソフトウェアやOS、Webアプリケーションなどに潜むセキュリティ上の弱点を特定し、リスクや影響を評価するプロセスです。脆弱性を放置すると、マルウェア感染や情報漏洩、Webサイト改ざんなどの被害につながる恐れがあります。
本記事では脆弱性診断の診断方法や流れなどを解説します。
目次
脆弱性診断(セキュリティ診断)とは
脆弱性診断(セキュリティ診断)とは、ソフトウェアやミドルウェア、OSなどに存在する脆弱性(セキュリティ上の弱点)を見つけて、そのリスクや影響を評価する一連のプロセスです。脆弱性診断はセキュリティを強化するための重要な手法の一つで、サイバー攻撃が巧妙化する昨今では欠かせないものになっています。
脆弱性(ぜいじゃくせい)とは
脆弱性とはWebアプリケーション、スマホアプリ、ソフトウェア、ミドルウェア、OS、ネットワーク機器、クラウドプラットフォーム(AWS、Azure、Google Cloudなど)などに潜む情報セキュリティ上の欠陥や弱点のことです。
脆弱性はソフトウェアのバグ、不適切な構成、セキュリティポリシーの不備、不正な操作など、さまざまな原因によって生じることがあります。
通常、脆弱性が発見されると、製品を開発した事業者が脆弱性を修正するための修正プログラム(パッチ)を公開します。そのため、利用者はOSやソフトウェアを常に最新の状態にアップデートすることが脆弱性対策の大原則です。しかし、アップデートを実施した際にシステムの動作が変更されたり、プログラムを変更しないと継続使用ができなくなるなどの理由で、脆弱性をそのままにしている場合や、使用しているソフトウェアなどに脆弱性が発見されていることを気づかないまま使用している場合もあるかもしれません。そのため、近年、脆弱性を見つけて、そのリスクや影響を評価する脆弱性診断が非常に重要になっています。
脆弱性診断(セキュリティ診断)が必要な理由
脆弱性を放置するリスク
脆弱性診断(セキュリティ診断)が必要な理由として、まず脆弱性を放置しているとどのような脅威があるかを見ていきましょう。脆弱性を放置していると攻撃者に狙われたときに悪用されてしまい、Webサイトの改ざん、不正アクセス、個人情報やクレジットカード情報、社外秘の情報などの重要情報の漏洩、企業内のネットワークへの侵入などの被害に発展することがあります。このような事象により、金銭的な被害を受けたり、個人や企業の評判や信用が損なわれることがあります。
マルウェア(ウイルス等)感染の危険性が高まる
脆弱性を放置した場合、サイバー攻撃手段の一つであるマルウェアに感染してしまう可能性が高まります。近年、大きな被害を引き起こしているランサムウェアも、脆弱性が起因となって感染するマルウェアの一種です。
警察庁の公表によると、ランサムウェアの感染の原因は、VPN機器(ネットワーク機器の一種)の脆弱性や、安易な認証情報が設定されていたためと考えられたものが大半です。つまり、脆弱性の対応ができていればランサムウェアの被害には遭わなかった可能性も考えられるのです。
また、過去には脆弱性を悪用され自社サイトが改ざんされた結果、自社サイトを介して顧客のパソコンにマルウェアを感染させるサイバー攻撃(ドライブバイダウンロード攻撃)もありました。
脆弱性に気づかず、あるいは放置すると、自社が影響を受けるだけでなく、自社の取引先や顧客にも多大な被害をもたらすマルウェアに感染してしまう可能性が非常に高まります。
このように脆弱性が悪用されることを未然に防ぐために、定期的な脆弱性診断を行うことが望まれます。
現在多くの規制当局や業界団体がシステムに定期的な脆弱性診断を実施することを求めており、取引先から指示されて脆弱性診断を実施する企業もあります。脆弱性診断はコンプライアンス要件の一項目とも言えるでしょう。
脆弱性診断(セキュリティ診断)の目的
脆弱性診断(セキュリティ診断)の目的は、システムやソフトウェアなどに存在する脆弱性を見つけて、そのリスクや影響を評価することです。診断の結果リスクが高く、影響が大きいと判断した脆弱性を修正することでシステムのセキュリティを向上させ、悪用の被害を未然に防ぐことが可能です。
脆弱性診断が必要な理由 (脆弱性を放置するリスク)でも述べたように、脆弱性が放置されると悪意のある攻撃者によって悪用される可能性があります。そうなる前に脆弱性を特定し修正をしてシステムを安全に保つことが求められます。
経産省では、企業がサイバーセキュリティを経営課題として捉えるための指針として、「サイバーセキュリティ経営ガイドライン」を策定しており、その中で脆弱性診断の実施を強く推奨しています。加えて、「ECサイト構築・運用セキュリティガイドライン」では、ECサイトの責任者および担当者が必ず実施すべき具体的な実践内容の一つとして「脆弱性診断」を挙げています。
脆弱性診断を検討する際には、IPAが提供する「安全なウェブサイトの作り方」が有用です。このガイドラインでは、過去に多く報告された脆弱性や影響の大きい攻撃例をもとに、Webアプリケーションの安全性を確保するための運用ポイントがまとめられています。加えて、「ウェブ健康診断仕様」では、危険度の高い13の脆弱性に関する診断項目が提示されており、各項目について検出パターンと判定基準が明記されています。診断内容が限定的である点に注意は必要ですが、実施内容を絞って診断する場合に、有効なガイドラインです。
脆弱性診断(セキュリティ診断)の対象
Webアプリケーション診断
多くの企業がWebアプリケーションを運営しています。これらのWebアプリケーションは外部からのアクセスが多く、悪意のある攻撃者が情報を盗むことも。Webアプリケーション診断は、このようなインターネット上の公開サービスに対するセキュリティリスクをチェックします。例えば、不正な入力を利用した「SQLインジェクション」や、情報を外部に漏らす「クロスサイトスクリプティング(XSS)」のリスクなどが診断内容に含まれます。
クラウド診断
近年、AWSなどのクラウドの利用が増えています。従来のサーバーと違い「常に最新の環境でアクセスできる」というメリットがありますが、同時に適切な設定がされていないとセキュリティリスクが高まる恐れもあります。
クラウドサービスは、セキュリティと運用管理に関する責任をクラウド事業者とユーザー側(クラウド環境の利用者)で分担する責任共有モデルになっています。ユーザー側はクラウド上に構築したアプリケーションや設定が管理責任の対象となるのが一般的です。
クラウド環境の脆弱性診断は、ユーザー側のクラウド環境に潜む設定ミスやアクセス権限の問題を発見します。例えば、誰でもアクセスできる可能性のある設定ミスや、不要な権限が付与されていないかを調べることが重要です。
プラットフォーム診断(ネットワーク診断)
プラットフォームに脆弱性が存在すると、外部からの攻撃や内部からの不正アクセスによるリスクが高まります。プラットフォーム(OS、ミドルウェア、仮想基盤など)のセキュリティ対策を適切に講じることは、システム全体の安全性を保つ上で非常に重要です。プラットフォーム診断では、OSやミドルウェアのセキュリティパッチの適用状況、不要なサービスやポートの開放状況、不適切なアクセス権限設定などを確認し、潜在的なリスクを特定します。
関連記事:プラットフォーム脆弱性診断とは?必要性や基礎知識を解説
スマホアプリ診断
最近では、スマホアプリもビジネスに欠かせない存在です。特に、顧客情報を扱うアプリにはセキュリティが求められます。スマホアプリ診断では、アプリのコードに潜む弱点や、ユーザーデータの保護対策がされているかを確認します。例えば、通信が暗号化されていない場合や、認証の脆弱性がある場合など、ユーザー情報が外部に漏れるリスクを防ぐことが重要です。
専門家による脆弱性診断サービス
当社では手動による脆弱性診断をはじめ、各種セキュリティ対策サービスをご提供しております。ぜひご相談ください。
資料ダウンロード脆弱性診断(セキュリティ診断)の種類
手動診断とツール診断の違い
脆弱性診断には、大きく分けて「手動診断」と「ツール診断」があります。ツール診断は自動化されたスキャンツールを用いる方法で比較的簡単に実施でき、手動診断は専門家がシステムの設計やビジネスロジックを理解した上で行うため、より柔軟な診断が可能です。
ビジネスロジックを考慮した診断
手動診断では、システムの設計やビジネスロジックを理解した上で診断が行われます。
例えば、管理者のみが閲覧可能なデータが、権限を持たないユーザーにも閲覧可能になっていないかといったアクセス制限の確認は手動診断が必要です。
ツール診断では、こうした複雑な条件まで考慮することが難しいため、ツールで発見できない潜在的なリスクを見つけるには、経験を積んだ専門家による手動診断が適しています。
手動診断では、ビジネスに関わる重要情報が適切に守られているかを人の目で細かくチェックするため、システムの運用に適した診断が可能です。
価格
脆弱性診断ツールを使って診断を内製化すれば、一般的にはセキュリティベンダーに手動診断を依頼するよりも安価に実施することができます。ツールの使用には数万円~数十万円のライセンス費用が必要ですが、診断にかかる工数が少なく、自動で定期的に実施できるため、予算に限りがある企業にとって有効です。
ツールを使った診断をセキュリティベンダーへ依頼する方法もあります。費用は数十万円~と自社で行うよりも高くなりますが、ツール導入の手間を省き、診断結果に対する対応の優先度付けを依頼することができるため、社内にセキュリティに詳しい人材がいないが、コストは抑えたいといった場合におすすめです。
セキュリティの専門家が行う手動診断は、費用が数十万円~数百万円と高くなりますが、その分システムや状況に合わせた詳細な診断が期待できます。
重要なシステムに対しては、ツール診断と手動診断を併用することで、リスクの高い部分を網羅的にカバーできます。
関連記事:脆弱性診断の費用はどのくらい?価格相場や比較ポイントを解説
診断頻度
ツール診断は、状況に合わせて繰り返し利用できるため、定期的なチェックにも向いています。
自動化された診断は月に一度や四半期ごとなど、企業のポリシーに合わせた柔軟なスケジュールで実施可能です。
手動診断は時間とコストがかかるため、特定のタイミングで実施するスポット利用に適しています。新システムの導入時や、大きなアップデート後など、重要な局面で手動診断を行うことで、より精度の高い診断が可能です。
エラーハンドリング
ツール診断では、サーバエラーなどが発生すると「診断を継続できない」と判断され、「脆弱性発見できず=問題なし」となる場合があります。しかし、手動診断ではエラーが起きた場合も状況に応じた詳細な対応が可能です。
例えば、サーバエラーが発生した背景を探り、システムが正しく動作していないこと自体をリスクとして報告することもあります。このように、手動診断は診断結果を柔軟に調整し、実際のリスクや改善ポイントに沿った報告ができるため、ビジネスに即した診断内容を求める場合に効果的です。
脆弱性診断(セキュリティ診断)とペネトレーションテストの違い
脆弱性診断(セキュリティ診断)とペネトレーションテストはどちらもシステムのセキュリティを評価する方法ですが、目的やアプローチが異なります。
脆弱性診断は脆弱性があるかないかを見える化することが目的であるのに対し、ペネトレーションテストはそれら脆弱性を見つけるにとどまらず、それらを悪用して、金銭的な被害といった脅威が実際に発生するのかを検証するテストとなります。
診断目的
脆弱性診断
会社のシステムや開発したアプリケーションに対して脆弱性を洗い出す。
ペネトレーションテスト
想定されるサイバー攻撃のシナリオを策定し、その実現性を評価する。
診断方法
脆弱性診断
定められた診断項目をもとに、ツールと人手で網羅的に脆弱性が無いか調査する。
ペネトレーションテスト
専門家が攻撃対象のシステムおよび周辺環境を調査し、個々のシステムに特化した攻撃手法をもって、想定される脅威が発生しないか調査する。
診断範囲
脆弱性診断
Webアプリケーション、スマートフォンアプリケーション、IoTデバイスなど、単一のデバイス、アプリケーション
ペネトレーションテスト
攻撃シナリオに関連するシステム全体
診断レポートの形式
脆弱性診断
発⾒された脆弱性の⼀覧、悪用された場合のリスク評価、脆弱性の詳細説明、今後の対応案
ペネトレーションテスト
攻撃シナリオに基づいたペンテスターのアプローチの内容。総合的な評価や、指摘事項があった場合は個別の評価。今後の対応案
実施頻度
脆弱性診断
四半期から1年ごと アプリケーションのリリース前、アップデート前
ペネトレーションテスト
1年回程度
ペネトレーションテスト(侵入テスト)とは?脆弱性診断との違いから有効手法まで解説
脆弱性診断(セキュリティ診断)の流れ
脆弱性診断は「基本的な脆弱性」の有無を確認し、その後に、自社にとって必要な手動診断やペネトレーションテストを実施することが推奨されます。以下は脆弱性診断を実施するための大まかな手順です。
- 事前準備
診断を行う前に、対象を明確にする必要があります。Webアプリケーション、クラウド基盤、プラットフォームなどによって診断手法が異なります。どのようなサイバー攻撃を想定したリスク評価をしたいのか、それぞれに適した診断手法を選ぶことが重要です。 - 脆弱性診断の実施
Webアプリケーションのように診断対象が多岐にわたる場合、網羅的なテストケース準備が重要です。診断対象の重要な要素を検討し、診断の深さを決定します。また、診断の実施時には、業務への影響を最小限に抑えるため、事前にスケジュール調整を行うことも大切です。 - レポートの確認
ツール診断では、結果が即座にレポートとして提供されますが、手動診断では実施者からの報告を受け取ります。脆弱性診断を実施した企業は、診断結果を基に必要な対策を講じ、セキュリティの強化を図ることが求められます。
脆弱性診断(セキュリティ診断)のよくある質問
診断にかかる費用
脆弱性診断には大きく分けると「ツール診断」と「手動診断」の2種類があります。ツール診断は自動スキャンツールを用いて実施され、比較的簡単で安価に行えるのが特徴です。多くのセキュリティベンダーが提供しており、月額数万円で利用可能なものから、無料で使える簡易的なツールまで幅広く存在します。
一方、手動診断はセキュリティ専門家がシステムの構造やビジネスロジックを理解した上で実施するのが特徴です。ツールでは検出が難しい脆弱性や固有の問題も発見可能です。費用は数十万~数百万円まで実施内容によって幅がありますが、柔軟で精度の高い診断と詳細なレポートが得られる点がメリットです。
納期
脆弱性診断の納期は、診断の範囲や規模、診断内容の深さ、実施方法によって異なります。
ツール診断の場合は、診断の範囲や深さが限定されていたり、自動で診断を行うため、短期間で完了します。例えば、GMOイエラエで提供している脆弱性診断サービス「GMOサイバー攻撃 ネットde診断」は、導入後に即日診断結果を出力することができます。一方の手動診断は、セキュリティ専門家がシステムの詳細を理解しながら診断を行うため、数週間~数ヶ月かかることが一般的です。
国際的な診断基準に対応しているか
脆弱性診断を検討する際には、診断内容が国際的なセキュリティ基準であるOWASP(Open Web Application Security Project)やASVS(Application Security Verification Standard)に対応しているかを確認することが重要です。これらの基準に則った診断を実施することで、企業が最新のセキュリティリスクに対応し、システムの安全性を正確に評価している証明だけでなく、外部の監査機関や取引先に対して信頼性の証明を行う際にも活用できます。
GMOイエラエの脆弱性診断では、OWASPやASVSのガイドラインに則った脆弱性診断を提供していることに加え、最新のセキュリティリスクである「OWASP Top 10」にも対応しています。
脆弱性診断(セキュリティ診断)をするには
GMOサイバーセキュリティ byイエラエでは、ツールによる診断と、ホワイトハッカーと呼ばれるセキュリティエンジニアによる手動診断の両面から脆弱性診断やペネトレーションテストをご提供しています。詳細は以下よりご参照ください。
専門家による脆弱性診断(セキュリティ診断)サービス
Webアプリケーション診断
ブラウザ上で動作するアプリケーションの脆弱性診断です。お問合せフォームのみ、ログイン機能のみなど範囲や機能を限定して診断を実施することも可能です。
スマホアプリ診断(iOS・Android)
iOSやAndroidで動作するアプリケーションの脆弱性診断です。スマホアプリ解析の専門家が完全手動で診断します。
プラットフォーム診断(ネットワーク診断)
ネットワークに存在するサーバやネットワーク機器等に、既知の脆弱性や設定の不備等によるセキュリティ上の問題点がないかを診断します。
クラウド診断
(AWS/Microsoft Azure/Google Cloud/Salesforce/Google Workspace/Microsoft 365)
ご利用中のクラウドプラットフォームに設定不備などのセキュリティ上の問題がないか診断します。
LLMセキュリティ診断
GPT等のLLMを利用して構築したアプリケーションに対し、敵対的プロンプト(Adversarial Prompting)を用いた擬似攻撃を行い、アプリケーションにセキュリティ上の問題がないか診断します。
簡単リーズナブルに脆弱性診断を内製化するなら
GMOサイバー攻撃ネットde診断
世界屈指の知見を有するセキュリティの専門家が開発するツールで、脆弱性診断の内製化を実現します。
セキュリティ対策資料をまとめてダウンロード
- セキュリティ診断の選び方
- セキュリティ対策の選び方
- サービスラインナップ
- WEBシステム/アプリ開発者様向け
- システム/ITインフラ運用管理者向け
- その他IoT診断など
監修:GMOサイバーセキュリティ byイエラエ 編集部
企業の情報セキュリティ担当者や開発者向けに、サイバーセキュリティに関する情報を発信しています。
