脆弱性診断(セキュリティ診断)とは?必要性など基礎から解説
目次
脆弱性診断とは
脆弱性診断とは、ソフトウェアやミドルウェア、OSなどに存在する脆弱性(セキュリティ上の弱点)を見つけて、そのリスクや影響を評価する一連のプロセスです。脆弱性診断はセキュリティを強化するための重要な手法の一つで、サイバー攻撃が巧妙化する昨今では欠かせないものになっています。
脆弱性(ぜいじゃくせい)とは
脆弱性とはWebアプリケーション、スマホアプリ、ソフトウェア、ミドルウェア、OS、ネットワーク機器、クラウドプラットフォーム(AWS、Azure、Google Cloudなど)などに潜む情報セキュリティ上の欠陥や弱点のことです。脆弱性はソフトウェアのバグ、不適切な構成、セキュリティポリシーの不備、不正な操作など、さまざまな原因によって生じることがあります。
脆弱性診断が必要な理由
脆弱性を放置するリスク
脆弱性診断が必要な理由として、まず脆弱性を放置しているとどのような脅威があるかを見ていきましょう。脆弱性を放置していると攻撃者に狙われたときに悪用されてしまい、Webサイトの改ざん、不正アクセス、個人情報やクレジットカード情報、社外秘の情報などの重要情報の漏洩、企業内のネットワークへの侵入などの被害に発展することがあります。このような事象により、金銭的な被害を受けたり、個人や企業の評判や信用が損なわれることがあります。
このような脆弱性が悪用されることを未然に防ぐために四半期~1年ごとに、システムに対する脆弱性診断を行うことが望まれます。
現在多くの規制当局や業界団体が、システムに定期的な脆弱性診断を実施することを求めており、取引先から指示されて脆弱性診断を実施する企業もいます。脆弱性診断はもはやコンプライアンス要件の一項目とも言えるでしょう。
脆弱性診断の目的
脆弱性診断の目的は、システムやソフトウェアなどに存在する脆弱性を見つけて、そのリスクや影響を評価することです。診断の結果リスクが高く、影響が大きいと判断した脆弱性を修正することでシステムのセキュリティを向上させ、悪用の被害を未然に防ぐことが可能です。
脆弱性診断が必要な理由 (脆弱性を放置するリスク)でも述べたように、脆弱性が放置されると悪意のある攻撃者によって悪用される可能性があります。そうなる前に脆弱性を特定し修正をしてシステムを安全に保つ心がけが求められます。
脆弱性診断の種類と診断対象
脆弱性診断では自動化されたツールを使用してネットワークやシステムをスキャンして既知の脆弱性を検出する手法や、専門家が手動でシグネチャ(特徴的なパターン)を利用して脆弱性を見つける手法、またはツールを使用しつつ手動でも脆弱性診断を行うハイブリッドな方法があります。
脆弱性診断の対象はWebアプリケーション、スマホアプリ、PCのソフトウェア、ミドルウェア、OS、ネットワーク機器、クラウドプラットフォームの他、IoTデバイスやブロックチェーンで用いられるスマートコントラクトなど新しい技術の出現によりますます広がりを見せています。
脆弱性診断とペネトレーションテストの違い
脆弱性診断とペネトレーションテストはどちらもシステムのセキュリティを評価する方法ですが、目的やアプローチが少々異なります。脆弱性診断は脆弱性があるかないかを見える化することが目的であるのに対し、ペネトレーションテストはそれら脆弱性を見つけるにとどまらず、それらを悪用して、金銭的な被害といった脅威が実際に発生するのかを検証するテストとなります。
診断目的
脆弱性診断
会社のシステムや開発したアプリケーションに対して脆弱性を洗い出す。
ペネトレーションテスト
会社のシステムや開発したアプリケーションに対して、実際に攻撃が可能なのか検証する。
診断方法
脆弱性診断
定められた診断項目をもとに、ツールと人手で網羅的に脆弱性が無いか調査する。
ペネトレーションテスト
専門家が攻撃対象のシステムおよび周辺環境を調査し、個々のシステムに特化した攻撃手法をもって、想定される脅威が発生しないか調査する。
診断範囲
脆弱性診断
Webアプリケーション、スマートフォンアプリケーション、IoTデバイスなど、単一のデバイス、アプリケーション
ペネトレーションテスト
企業システム、実店舗など多様なサーバやネットワーク、認可サーバ(Active Directory)などで構成されるシステム
診断レポートの形式
脆弱性診断
発⾒された脆弱性の⼀覧、悪用された場合のリスク評価、脆弱性の詳細説明、今後の対応案
ペネトレーションテスト
実現できた攻撃手法、攻撃経路の詳細、攻撃に利用した脆弱性情報、今後の対応案
対象企業/組織
脆弱性診断
自社Webサイトを運用されている企業 Webアプリ、スマホアプリ、IoTデバイスを開発・提供している企業
ペネトレーションテスト
自社ネットワーク・システムを構築されている企業 お客様の個人情報やクレジットカード情報などの重要情報を扱われている企業
実施頻度
脆弱性診断
四半期から1年ごと アプリケーションのリリース前、アップデート前
ペネトレーションテスト
半年~1年ごと
脆弱性診断を受けるには
GMOサイバーセキュリティ byイエラエでは、ツールによる診断と、ホワイトハッカーと呼ばれるセキュリティエンジニアによる手動診断の両面から脆弱性診断をやペネトレーションテストをご提供しています。詳細は以下よりご参照ください。
主な脆弱性診断メニュー
Webアプリケーション診断
ブラウザ上で動作するアプリケーションの脆弱性診断です。お問合せフォームのみ、ログイン機能のみなど範囲や機能を限定して診断を実施することも可能です。
スマホアプリ診断(iOS・Android)
iOSやAndroidで動作するアプリケーションの脆弱性診断です。スマホアプリ解析の専門家が完全手動で診断します。
ネットワーク診断(プラットフォーム診断)
ネットワークに存在するサーバやネットワーク機器等に、既知の脆弱性や設定の不備等によるセキュリティ上の問題点がないかを診断します。
クラウド診断
(AWS/Microsoft Azure/Google Cloud/Salesforce/Google Workspace/Microsoft 365)
ご利用中のクラウドプラットフォームに設定不備などのセキュリティ上の問題がないか診断します。
AIセキュリティ診断 for GPT
GPT等のLLMを利用して構築したアプリケーションに対し、敵対的プロンプト(Adversarial Prompting)を用いた擬似攻撃を行い、アプリケーションにセキュリティ上の問題がないか診断します。
診断内容や自社に合った選び方をまとめてダウンロード
- セキュリティ診断の選び方
- セキュリティ対策の選び方
- サービスラインナップ
- WEBシステム/アプリ開発者様向け
- システム/ITインフラ運用管理者向け
- その他IoT診断など
監修:GMOサイバーセキュリティ byイエラエ 編集部
企業の情報セキュリティ担当者や開発者向けに、サイバーセキュリティに関する情報を発信しています。
