いま注目される脆弱性診断の必要性から種類、選び方までを解説

多くの情報がインターネットを介してやり取りされる現代、企業が情報を守るには高いレベルのセキュリティ対策が求められます。特に悪意のあるユーザーは「セキュリティ対策が弱い場所、セキュリティ上の弱点＝脆弱性」を狙う傾向にあるため、企業にとっては脆弱性の発見と改善がセキュリティにおける急務と言えます。
本記事では、脆弱性を発見する「脆弱性診断」の必要性や種類、ツールの選び方などをご紹介します。

脆弱性診断とは、OSやネットワークなど、利用するIT環境にセキュリティ上の問題がないか診断することです。セキュリティ診断とも呼ばれます。
脆弱性とはアプリやネットワークなどに存在するセキュリティ上の問題点であり、脆弱性を狙ってサイバー攻撃を行う事例が多々あります。脆弱性診断を行うことによって、セキュリティの問題を見つけ出し対策を行います。

【関連記事】サイバー攻撃とは。企業が「加害者」になり得るリスクとその対策

現在、脆弱性診断が注目されているのは「ECサイトの脆弱性診断義務化」のためです。
経済産業省は2022年から「クレジットカード決済システムのセキュリティ対策強化検討会」を実施しており、2023年1月の報告書にて2024年度末を目途に「基本的なセキュリティ対策として、EC加盟店のシステム、ECサイト自体の脆弱性対策を必須とする」としました。同時に本人認証も義務化となる予定です。これによって、適切な対策をしないとカード会社から契約を打ち切られる可能性があります。
そのため脆弱性診断が注目されており、現在はまだ各社の努力義務ですが、ECサイトのセキュリティ対策義務化に向けて早めに準備する企業も増えてきています。
デジタル庁も「政府情報システムにおける脆弱性診断導入ガイドライン」を公開しています。基本的に行政に向けた内容ですが、民間企業も活用可能です。

脆弱性診断は、機密情報や個人情報を悪意あるユーザーから守るために必要です。
サイバー攻撃で狙われるのは大手企業だけではなく、企業規模を問わず無差別に攻撃されて脆弱性を突かれることが多いです。攻撃が通ったのが大手企業であれば身代金を要求し、中小企業であれば踏み台にして繋がりのある大手企業を狙うこともあります。

警察庁が発表している「令和5年におけるサイバー空間をめぐる脅威の情勢等について」によると、警察庁に報告されたランサムウェアによる被害件数は197件。その多くが、VPN機器やIoT機器の脆弱性を狙った犯行でした。またトレンドマイクロの脆弱性発見コミュニティ「Zero Day Initiative」でも、2023年の脆弱性アドバイザリは1,913件で過去最高になるなど、脆弱性を狙ったサイバー攻撃は年々増加傾向にあります。
ある大手企業ではネットワーク機器の脆弱性を突かれ、ECサイトに登録していたおよそ165万人の顧客データが流出。あるSNSでもAPIの脆弱性を狙った攻撃によって2億人のデータが盗まれ、販売されるなどの事件も起こっています。情報漏洩が起これば、顧客へのお詫び、原因究明、対策が必要になる他、営業停止や損害賠償など、さまざまな手間と時間、コストがかかります。

また警察庁がインターネット上に設置しているセンサーで、無差別に通信パケットを送信して脆弱性を発見し悪用しようとする動きを把握するためのものがあります。このセンサーで令和5年に検知したアクセス件数は、1日・1IPアドレスあたり9,144.6件。特に海外から送信されたものが多いです。これほどの頻度で無差別なサイバー攻撃が行われている現代において、狙われやすい脆弱性への対策は必須といえます。
現在のWebサイトにおいて「安心して利用できること」は、サービスのひとつであり、選ばれる要因でもあります。脆弱性を排除して、顧客に安心感を与えることが大事です。

脆弱性診断は、診断する対象によって種類が分かれます。ここでは脆弱性診断の種類をご紹介します。

Webアプリケーション診断

Webアプリケーション診断では、WebアプリやWebサイトの脆弱性を診断します。バックエンドシステムへの不正入出力の不可、IDやパスワードの強度、設定やセッション管理などが主な診断内容です。
Webサイトの脆弱性を突いた攻撃は非常に多いため、Webアプリケーション診断は基本として必ず実施しておきましょう。
また今後は、システム上の設定不備改善、脆弱性診断、ウイルス対策等が義務化されるため、この後に紹介するネットワーク診断やクラウド環境診断が必要になるケースも考えられます。

ネットワーク診断

ネットワーク診断は、自社のネットワーク機器やOS、サーバーなどネットワークの基盤となる部分の脆弱性を調べる診断です。プラットフォーム診断とも呼ばれます。インタイーネット経由でお客様ネットワーク外からの脆弱性を診断する「リモート診断」と、お客様ネットワーク内からの脆弱性を診断する「オンサイト診断」があります。

クラウド環境診断

クラウド環境診断では、クラウドサービスの設定を診断します。
総務省の「令和3年版情報通信白書」によると、クラウドサービスを一部でも利用している企業は68.7％と、多くの企業がクラウドサービスの利用や移行を行っています。
クラウド環境診断では、AWSやAzureなどのクラウドサービスが、ベストプラクティスに基づいたセキュリティになっているかを診断します。

脆弱性診断には「手動診断」「ツール診断」「ハイブリッド診断」の3つがあります。ここからは、これらの手法について詳しく解説します。

手動診断

手動診断は、セキュリティの専門家が手動で行う診断です。複雑で、ツールには診断が難しいシステムなども対応できます。
費用や時間はかかりますが、精度が高く、重要な情報を扱う場合に向いている診断方法です。

ツール診断

ツール診断は、自動化されたツールで行う診断です。要件を設定すれば、ツールが自動的に脆弱性を検知してくれます。
複雑なシステムだと対応できなかったり、見落としがあったりすることもありますが、短時間で診断ができ、コストもそれほどかかりません。
インターネット経由で行うクラウド型、ソフトをインストールするソフトウェア型の2種類があります。

ハイブリッド診断

手動診断、ツール診断の「いいとこどり」をした診断です。ツールで大まかな診断を行い、追加で手動診断を行うことで、脆弱性を高い精度で見つけ出せます。
システムやWebサイトに合わせた柔軟な対応も可能です。

脆弱性診断サービスは多くのベンダーが提供しています。選ぶ際には、自社への適性とアフターフォロー、コストなどを基準に選びましょう。

自社に合った診断内容か

脆弱性診断サービスを選ぶ際には、自社に合っているか検討しましょう。自社が対象とする内容を診断できるか、診断の範囲は自社のニーズと一致しているか、同時実行できるシステム数が自社と合っているかなど、自社が行いたい診断内容に合致しているかを確認します。
また自社の業界の実績がある診断サービスは、自社ともマッチしやすいです。一定の業種に特化していると業種の理解が深く、求められているサービスの提供や的確なアドバイスが受けられます。

アフターフォローがあるか

脆弱性診断サービスは、アフターフォローも大切にしましょう。
脆弱性診断サービスはあくまで脆弱性を発見するだけで、本当に大切なのはその後の対策です。専門家からアドバイスやフォローを受けられるか、レポートが分かりやすいかなど、診断後の対策まで面倒をみてくれるサービスが望ましいです。
IT資産の状況は企業によってさまざまなため、専門家が柔軟に対応することで未知の資産が見つかることもあります。またレポートが分かりやすいと、グループ会社などにも説明しやすくなるでしょう。
加えて、連絡手段も同時に確認しましょう。メールしか連絡手段がないと緊急時に対応してもらえない場合があります。電話やオンラインミーティングなど、緊急時も対応してくれる体制だと安心です。

コストは適切か

脆弱性診断サービスでは、適切なコストのサービスを選びましょう。
基本的に手動診断は価格が高く、ツール診断は低めに設定されています。中には無料のものもありますが、機能や利用できる期間が限られている場合もあるため、自社のニーズと合っているかを確認した上で、コストとのバランスを考えて選ぶことが大切です。
脆弱性診断は定期的に行う必要があるため、基本的に買い切りにはならない場合が多いです。クラウドサービスやライセンスの更新料などのランニングコストも考慮しましょう。

脆弱性診断は診断する対象に合わせ、アフターフォローやコストなどを考えて選ぶことが大切です。ＪＢＣＣでは、さまざまな対象に合わせた脆弱性診断サービスをご用意しています。また診断だけでなく、診断後の改善提案なども可能です。ここからはＪＢＣＣの脆弱性診断サービスをご紹介します。

Webアプリケーション診断サービス

Webアプリケーション診断は、ツールを用いてWebアプリケーションを診断し、ＪＢＣＣのセキュリティエンジニアが診断結果を報告するサービスです。Webアプリケーションの脆弱性対策を行うことによって、安全なWebアプリケーションの提供を可能にし、開発の手戻りを防いでコストも削減します。

ネットワーク脅威診断サービス(SLR)

ネットワーク脅威診断サービスは、次世代ファイアーウォール機器を接続してログ採取し、セキュリティリスクを検知・分析するサービスです。自社のネットワーク内にある問題を把握することで、セキュリティ事故を未然に防ぎます。

クラウド設定監査サービス

クラウド設定監査サービスは、AWS、Azure、GCPといったクラウドサービスの設定ミスや漏れをコンプライアンス基準に基づき監査・診断するサービスです。セキュリティリスクを可視化してレポートとして報告することで、クラウドサービスを安全に利用できるようにいたします。

脆弱性マネジメントサービス

脆弱性マネジメントサービスは、定期的にお客様のネットワーク環境をスキャン。最新のIT資産の把握と脆弱性の診断・リスク評価を実施し、継続的な脆弱性管理を行います。

「横河レンタ・リース株式会社」さまでは、マルチクラウド環境に対応したセキュリティ運用の実現に向けて、ＪＢＣＣのクラウド設定監査サービスを利用して情報漏えいリスクの低減を実現しています。

横河レンタ・リースさまの詳しい導入事例の資料は、下記からダウンロードできます。

【導入事例】横河レンタ・リース株式会社 様 クラウド設定監査サービスで情報漏えいリスクの低減を実現

横河レンタ・リース様は、ＪＢＣＣの「クラウド設定監査サービス」を活用し、マルチクラウド環境におけるセキュリティ一元管理を実現しました。

事例資料をダウンロードする

脆弱性診断は、自社の情報を守るための第一歩です。義務化となったECサイトだけでなく、自社のWebサイトやシステムなどで実施し改善を行うことで、セキュリティ対策を強化できるでしょう。
ＪＢＣＣでは、脆弱性診断サービスを各種提供しています。脆弱性診断でお悩みのことがあれば、お気軽にご相談ください。