1993 年から日本でも商用利用が開始されたインターネットは、約 30 年を経て企業や個人にとって不可欠な社会インフラになりました。インターネットには、膨大な数の PC やモバイル機器がネットワークされ、クラウドや AI などの新しいテクノロジーとサービスの基盤ともなっています。新しいビジネスモデルの創出やワークスタイル変革などに貢献しているインターネットですが、その一方でサイバー攻撃や情報漏えいのリスクも増大しています。悪意あるハッカーが機密情報を奪うために、ソフトウェアの脆弱性やセキュリティホールなどをついたサイバー攻撃を繰り返しています。
サイバー攻撃の脅威には、重要インフラの破壊や国家転覆を企てるサイバー戦争、サイバーテロのみならず、金銭目的や愉快犯のようなサイバー犯罪も広がっています。そして、ハッキング技術は超高度に進化し巧妙化しています。ボットと呼ばれる自動化を悪用した踏み台攻撃も増加しています。さらに、工場や重要インフラで使われている IoT 機器にハッキングコードを組み込んで稼働を停止させたり、企業内のデータを暗号化して身代金を要求するランサムウェア被害も拡大しています。
こうしたサイバー攻撃によって被害を受けた企業は、社会的な信用の失墜や金銭的な損害賠償に業務の停止など、社会的な責任をともなう代償を支払わなければなりません。2021 年度の不正アクセスは、届出が確認された件数だけでも、前年比 130 %と増加傾向にあります。この数字は氷山の一角であり、実際には社内ネットワークがインターネットに接続している企業の多くが、日々世界中からサイバー攻撃を受けていると考えられるのです。
サイバーテロやサイバー攻撃などは、どの企業であっても等しくリスクにさらされていますが、万が一攻撃された際に国民生活及び社会経済活動に甚大な被害をもたらす「重要インフラ」に関しては緊密な官民連携によって重点的に防護していく必要があるとして、日本政府のサイバーセキュリティの司令塔である内閣サイバーセキュリティセンター(NISC)は、「重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針」という指針を示しています。 この指針の中では、重要インフラサービスに関連する情報システムを新たに開発する際やアップデートする際などは脆弱性診断の実施を検討する旨の指針が明記されています。
同様に、政府機関や地方自治体が開発・管理する情報システムについても、デジタル庁が「政府情報システムにおける脆弱性診断導入ガイドライン」を公開しており、その中で政府系情報システムについて脆弱性診断を実施する際の指針を示しており、「脆弱性診断の実施においては、診断に対する正しい理解を持ち、高度な専門性に加え、安全性確保のための体制を有する適切なセキュリティベンダーから診断サービスを調達する必要がある」という記載があります。
重要インフラや政府機関に限らず、企業の情報システムやサービスを提供している Web サイトなども、サイバー攻撃の脅威が増大しています。こうした背景から、民間企業においても、脆弱性診断(セキュリティ診断)が必要になると受け止められています。
脆弱性診断(セキュリティ診断)を実施する目的としては「自社システムの脆弱性を放置することで被害者にならないため」ということが第一に挙げられます。
自社の構築した情報システムに脆弱性があり、そこからシステムに侵入され、システムの破壊や情報の改ざん、個人情報の漏洩などの被害にあう可能性があります。そうなった際はシステム停止などによる機会損失のみならず、社会的信用の失墜や補償問題などの金銭的被害にも及びかねません。
第二に、加害者にならないためという点もあります。脆弱性を通じて侵入したシステムを踏み台にして、他のシステムの攻撃の拠点にするケースもあります。知らない間に自社のシステムが他社のシステムを攻撃する拠点になっていた、ということも絵空事ではないのです。
上記のような点を防ぐため Web アプリケーションやサーバーにおいて、侵入のための脆弱性があるかないかを検査する「脆弱性診断(セキュリティ診断)」を実施する必要があると言えるでしょう
これは、構築したシステムに脆弱性があるかどうかをチェックするのではなく、構築中・開発中のシステムに対して脆弱性診断(セキュリティ診断)を行うことで脆弱性が入り込むリスクを軽減する取り組みです。
とりわけ Web アプリケーションについては IPA の「安全なウェブサイトの作り方」や、Web アプリケーションのセキュリティ対策を推進するコミュニティである OWASP(The Open Web Application Security Project) など「脆弱性が入り込まないための開発ガイドライン」が示されており、このガイドラインに沿ってプログラムやシステムを構築しながら診断・チェックを行うことで目的の情報セキュリティ対策に準拠しているかを確認します。
第三者チェックとは、開発者や運用者などの当事者とは異なる企業・組織が実施するチェックのことであり、情報システムの納品時にこうした第三者評価を求められるケースがあります。また、情報セキュリティ監査を目的として実施するケースもあります。
第三者に脆弱性診断(セキュリティ診断)を依頼するメリットとしては、専門家による診断を通じ、有識者ならではの暗黙的な知見や、見落としがちな脅威なども発見できることが挙げられます。
第三者による脆弱性診断(セキュリティ診断)の実施はサイバートラストを始めとした脆弱性診断に造詣の深い、信頼できるセキュリティベンダーを選択してください。
先述したデジタル庁「政府情報システムにおける脆弱性診断導入ガイドライン」では、脆弱性の発生部位に応じて、大きく3つの診断カテゴリに分けられており、それぞれで発見できる脆弱性は異なります。
Web アプリケーション診断は、診断対象の Web アプリケーション(Web API 含む)に対して 疑似的な攻撃リクエストを行うことにより脆弱性の有無を確認するものです。
一般的な「SQL インジェクション」や「クロスサイトスクリプティング」などの脆弱性をはじめ、「パラメータ改ざん」や「権限昇格・認証」などにかかわる挙動などを確認し、システム停止や情報漏えい、データ改ざん、不正アクセス、認証回避などにつながる脆弱性を調査します。
主にサーバー機器やネットワーク機器、OS やミドルウェアといった、インフラ部分の脆弱性を診断するカテゴリになります。 汎用的な製品や部品を使うことが多く、脆弱性なども公知のものが多いため狙われやすいカテゴリになります。主に「ネットワークポート」や「構成・設定内容の不備」、「プロトコルやネットワークサービスの脆弱性」などをチェックしていきます。
Android や iOS /iPadOS 端末上で動作するアプリの脆弱性の有無を調査するものです。昨今ではテレビやセットトップボックス、IoT 機器などでも同 OS が動いていることもあり、言い換えればクライアント端末の診断ということが言えます。
診断内容としては「通信内容の確認」、「重要情報の暗号化の確認」、「WebViewの脆弱性の有無」などを確認します。
ツール診断では、既知の脆弱性などを検査するツールをシステムや Web ページに自動的に接続して、脆弱性診断(セキュリティ診断)を自動で行います。ツールによる均一的な検査と人手に頼らない短時間での診断が可能になります。一方検出できる範囲に制限があったり過検知を報告してしまうケースなどもあります。
マニュアル(手動)診断では、診断に長けたプロフェッショナルが直接システムやウェブページにアクセスして、様々な手法を駆使して脆弱性発見を試みます。ツール診断では発見できない脆弱性を検知できるメリットがある一方で、診断には時間と人的コストがかかります。
外部診断は、インターネット側から診断対象のシステムにアクセスする形の脆弱性診断であり、サービス運用状態と同じ条件での環境である外接部から、公開された Web アプリケーションや公開セグメント上のサーバーの診断を実施します。リモート診断とも呼ばれることもあります。
公開環境での実施のため特別な設定作業が必要ない一方、外部に公開されていない部分の検査ができないという側面もあります。
内部診断は内部ネットワークから脆弱性診断(セキュリティ診断)を行うもので、インターネット側からの外部診断からは見えない箇所など内在的な脆弱性を詳細に調査するのに役立ちます。
外部に公開されていない部分の診断ができる一方、外部からのアクセスを想定していない施設にシステムがある場合、エンジニアがオンサイト診断をするのが難しいなどのケースがあります。
2024 年より改定される、クレジットカード業界のセキュリティ基準である PCI-DSS 4.0 においては、「内部脆弱性スキャンにおいて、認証スキャンを実施する」(要件11.3.1.2)という要件が追加されており、これまで以上に内部診断のニーズは高まっていくものと思われます。
脆弱性診断(セキュリティ診断)は、システム単体またはシステム接続部の脆弱性の確認を行います。上記まででご説明しているように OS やプラットフォームに内在する脆弱性をはじめ、プログラム上の脆弱性を検出することが目的となります。
ペネトレーションテストは、実際に攻撃されることを想定した疑似サイバー攻撃です。運用体制やシステム全体の隙を狙ってどこから侵入できるのか、侵入にどこまで防衛できるのかどうかを可視化します。倫理的ハッキングとも呼ばれ、プログラム上の脆弱性はないが、運用上侵入可能になってしまうようなものを発見するのに役立ちます。
海外では Penetration Test を略して「Pentest(ペンテスト)」とも呼ばれることもあり、クレジットカード業界のセキュリティ基準である PCI-DSS においてはシステム変更後に定期的にペネトレーションテストを行うことが義務付けられています。
脆弱性診断(セキュリティ診断)は、利用するサービスによって診断にかかる時間や検査の精度に価格などの違いがあります。脆弱性診断・セキュリティチェックをしたいけど、どのサービスが良いのか迷っているときには、次のポイントをチェックしておきましょう。
これらの基準をチェックした上で、診断にかかる期間やコスト、アフターフォローなどを比較検討して、自社のニーズにマッチした脆弱性診断(セキュリティ診断)サービスを選ぶと安心です。
サイバートラストの脆弱性診断サービスは、経産省情報「情報セキュリティサービス基準」に準拠し、認定登録されています。また、情報セキュリティマネジメントシステムの国際標準規格である「ISO/IEC 27001」の認証を取得しており、安心して診断をご依頼いただけます。
サイバートラストの脆弱性診断サービスは IPA や OWASP といった業界標準のチェックリストに準拠した診断サービスを実施・提供しており、専門のセキュリティエンジニアが情報システムの脆弱性を徹底的に調査します。ご予算や納期にお答えするため人工知能を活用したツール診断のメニューもご用意しております。是非ご相談ください。
Web サイト公開やサービスのリリース期限に合わせて、短期間で脆弱性診断を実施したいときには、ツールによるスピーディーな診断サービスが適しています。
サイバートラストの提供している AI スキャン診断サービスは、AI+RPA(プロセス自動化)を活用した高精度な専用ツールを用いた Web サイトの自動スキャンにより、短期間で内在する脆弱性を明らかにし、適切な対策方法を提示します。
脆弱性診断のコストを低く抑えたいときにも、サイバートラストの AI スキャン診断サービスが効果的です。AI + RPA により、多くの脆弱性スキャンを自動化しているので、診断サービスのコストメリットを最大化します。
AI スキャン診断サービスは、事前の手続きで診断対象と見積もりにスケジュールなどを確認できるので、予算に合った診断対象を調整できます。また、スキャンが完了すると、脆弱性診断レポートが作成されます。提供されるレポートは、検出された内容をグラフ化したスキャンサマリーと、OWASP TOP 10 や IPA 安全なウェブサイトの作り方などにおける検出状況を一覧化したガイドライン対応状況も作成されます。さらに、検出された脆弱性の問題点と対策方法を提示した詳細な説明書も提供されます。レポートの受取後は、メールや電話によるアフターフォローにも対応します。
ツール診断では実施できない深い粒度の Web アプリケーション診断や、構造が複雑なサイト、プラットフォーム診断などを通じシステム全体の脆弱性診断を実施したいときには、サイバートラストの「脆弱性診断サービス」があります。
「脆弱性診断サービス」は、最新のサイバー攻撃を熟知した専門のセキュリティエンジニアが、攻撃者の視点で情報システムの脆弱性を徹底的に調査し情報システムの潜在的な問題点を洗い出し、適切な対策を講じるために情報システムの安全性を確認・評価します。
プラットフォーム診断では詳細な「ネットワーク診断」や内部診断である「ホスト診断」を実施することができます。
診断後に提供される「診断レポート」では詳細な再現例や具体的な事象が報告されます。さらにオプションサービスで、改修後の再診断や診断エンジニアによる報告会も提供されます。
診断期間やコストは AI スキャン診断サービスと比較して多くなりますが、信頼性の高い Web サイトを構築したいと考えているならば、サイト公開前に実施しておくと安心感と安全性を高められます。
ご説明してきたように、脆弱性診断(セキュリティ診断)には様々な種類や方法があり、お客様の情報システムに最適なものを選択するには専門的な知識が求められます。診断の実施をご検討の方はぜひサイバートラストまで相談ください。
IoT 化が進むオフィスビルシステムの脆弱性調査
認証アプライアンス製品および脆弱性管理サービスのセキュリティ診断