脆弱性診断（セキュリティ診断）とは

脆弱性診断(セキュリティ診断)とは？必要性など基礎から解説

脆弱性診断（セキュリティ診断）とは

脆弱性診断とは会社のシステムやソフトウェアなどに存在する脆弱性（セキュリティ上の弱点）を見つけて、そのリスクや影響を評価する一連のプロセスです。脆弱性診断はセキュリティを強化するための重要な手法の一つで、サイバー攻撃が巧妙化する昨今では欠かせないものになっています。

脆弱性(ぜいじゃくせい)とは

脆弱性とはWebアプリケーション、スマホアプリ、ソフトウェア、ミドルウェア、OS、ネットワーク機器、クラウドプラットフォーム(AWS、Azure、Google Cloudなど)などに潜む情報セキュリティ上の欠陥や弱点のことです。脆弱性はソフトウェアのバグ、不適切な構成、セキュリティポリシーの不備、不正な操作など、さまざまな原因によって生じることがあります。

脆弱性診断が必要な理由

脆弱性を放置するリスク

脆弱性診断が必要な理由として、まず脆弱性を放置しているとどのような脅威があるかを見ていきましょう。脆弱性を放置していると攻撃者に狙われたときに悪用されてしまい、Webサイトの改ざん、不正アクセス、個人情報やクレジットカード情報、社外秘の情報などの重要情報の漏洩、企業内のネットワークへの侵入などの被害に発展することがあります。このような事象により、金銭的な被害を受けたり、個人や企業の評判や信用が損なわれることがあります。

このような脆弱性が悪用されることを未然に防ぐために四半期～1年ごとに、システムに対する脆弱性診断を行うことが望まれます。

現在多くの規制当局や業界団体が、システムに定期的な脆弱性診断を実施することを求めており、取引先から指示されて脆弱性診断を実施する企業もいます。脆弱性診断はもはやコンプライアンス要件の一項目とも言えるでしょう。

脆弱性診断の目的

脆弱性診断の目的は、システムやソフトウェアなどに存在する脆弱性を見つけて、そのリスクや影響を評価することです。またここでリスクが高い、影響が大きいと判断した脆弱性を修正することでシステムのセキュリティを向上させ、悪用の被害を未然に防ぐことが可能です。脆弱性診断が必要な理由 (脆弱性を放置するリスク)でも述べたように、脆弱性が放置されると悪意のある攻撃者によって悪用される可能性があります。そうなる前に脆弱性を特定し修正をしてシステムを安全に保つ心がけが求められます。

脆弱性診断の種類と診断対象

脆弱性診断では自動化されたツールを使用してネットワークやシステムをスキャンして既知の脆弱性を検出する手法や、専門家が手動でシグネチャ(特徴的なパターン)を利用して脆弱性を見つける手法、またはツールを使用しつつ手動でも脆弱性診断を行うハイブリッドな方法があります。

脆弱性診断の対象はWebアプリケーション、スマホアプリ、PCのソフトウェア、ミドルウェア、OS、ネットワーク機器、クラウドプラットフォームの他、IoTデバイスやブロックチェーンで用いられるスマートコントラクトなど新しい技術の出現によりますます広がりを見せています。

ペネトレーションテストとの違い

脆弱性診断とペネトレーションテストはどちらもシステムのセキュリティを評価する方法ですが、目的やアプローチが少々異なります。脆弱性診断は脆弱性があるかないかを見える化することが目的であるのに対し、ペネトレーションテストはそれら脆弱性を見つけるにとどまらず、それらを悪用して、金銭的な被害といった脅威が実際に発生するのかを検証するテストとなります。

	脆弱性診断	ぺネトレーションテスト
WHY なぜテストするのか	会社のシステムや開発したアプリケーションに対して脆弱性を洗い出したい。	会社のシステムや開発したアプリケーションに対して、実際に攻撃が可能なのか検証したい。
HOW どんな手法で？	定められた診断項目をもとに、ツールと人手で網羅的に脆弱性が無いか調査します。	専門家が攻撃対象のシステムおよび周辺環境を調査し、個々のシステムに特化した攻撃手法をもって、想定される脅威が発生しないか調査します。
WHAT 調査対象の範囲は？	Webアプリケーション、スマートフォンアプリケーション、IoTデバイスなど、単一のデバイス、アプリケーション	企業システム、実店舗など多様なサーバやネットワーク、認可サーバ（Active Directory）などで構成されるシステム
WHAT どんな診断レポートか？	発⾒された脆弱性の⼀覧、悪用された場合のリスク評価、脆弱性の詳細説明、今後の対応案	実現できた攻撃手法、攻撃経路の詳細、攻撃に利用した脆弱性情報、今後の対応案
WHO どんな企業・組織向きか？	自社Webサイトを運用されている企業 Webアプリ、スマホアプリ、IoTデバイスを開発・提供している企業	自社ネットワーク・システムを構築されている企業 お客様の個人情報やクレジットカード情報などの重要情報を扱われている企業
WHEN どのくらいの頻度で実施するのか	四半期から1年ごと アプリケーションのリリース前、アップデート前	1年ごと

GMO サイバーセキュリティ脆弱性診断

GMOサイバーセキュリティbyイエラエでは各種様々な脆弱性診断を取り揃えております。

主な脆弱性診断メニュー

Webアプリケーション診断

ブラウザ上で動作するアプリケーションの脆弱性診断です。お問合せフォームのみ、ログイン機能のみなど範囲や機能を限定して診断を実施することも可能です。詳細はこちら

スマホアプリ診断（iOS・Android）

iOSやAndroidで動作するアプリケーションの脆弱性診断です。スマホアプリ解析の専門家が完全手動で診断します。詳細はこちら

プラットフォーム診断(ネットワーク診断)

ネットワークに存在するサーバやネットワーク機器等に、既知の脆弱性や設定の不備等によるセキュリティ上の問題点がないかを診断します。詳細はこちら

クラウド診断
(AWS/Azure/Google Cloud/Salesforce/Google Workspace/Microsoft 365)

ご利用中のクラウドプラットフォームに設定不備などのセキュリティ上の問題がないか診断します。詳細はこちら

GMO AIセキュリティ診断 for GPT

GPT等のLLMを利用して構築したアプリケーションに対し、敵対的プロンプト(Adversarial Prompting)を用いた擬似攻撃を行い、アプリケーションにセキュリティ上の問題がないか診断します。詳細はこちら

脆弱性診断の費用

対応内容・期間などにより変動いたします。詳細なお見積もりについてはお気軽にお問い合わせください。

脆弱性診断の導入事例

当社の脆弱性診断サービスをご利用いただいたお客様の声を掲載しています。