脆弱性診断とは|脆弱性診断による攻撃者目線での問題点の洗い出し

脆弱性管理、診断|知る×学ぶ

脆弱性診断とは|脆弱性診断による攻撃者目線での問題点の洗い出し

 サイバー攻撃は年々高度化・複雑化しています。

 どこから手を付けて何をどうしたらよいかわからないセキュリティ担当者の方も多いと思います。

 本記事では、攻撃者目線でセキュリティ上の問題点を洗い出し、必要な対策をとることでサイバー攻撃の被害を未然に防ぐことができる「脆弱性診断」について、事例を交えながら解説します。

 自社のセキュリティの向上のためには何をするべきか、脆弱性診断を受けることを検討しているが、どのような観点で診断事業者を選んだらよいか悩まれている方は、本記事を検討のご参考にしていただければと思います。




▼ 目次
1. 脆弱性とは
2. 脆弱性診断とは
3. なぜ、脆弱性診断が必要なのか
4. 脆弱性が見つかった場合の対策
5. 事例から学ぶ、脆弱性診断サービスの効果
6. 脆弱性診断に関するQ&A






1. 脆弱性とは

 脆弱性とは、もともと意図していなかった操作をされることで攻撃者に悪用されうる「プログラム上の不具合や設定の不備」のことなどを言います。

 プログラマーやシステム管理者は、往々にして仕様や要求を満たすことを優先してセキュリティのことは二の次にしがちなため、脆弱性が発生する傾向があります。

 また広く使われているプログラムであるにもかかわらず、すぐには誰にも気づかれず、リリースされてから何十年後かに見つかるものもあり、今は大丈夫でも時間経過とともに新しい脆弱性が見つかり、セキュリティに影響を及ぼすような場合もあります。


脆弱性診断の必要性とは






2. 脆弱性診断とは

 脆弱性診断とは、ビジネスで使用されているソフトウェアの情報などを取得し、そこから悪用可能な脆弱性がないか調査をしたり、不正な値を用いて通常とは異なる挙動を示すか否かを確認することで、調査対象のセキュリティ上の弱点を洗い出す行為を指します。

 脆弱性診断の対象には、オペレーティングシステム、ネットワーク機器、ミドルウェアなどを対象とした診断、Webアプリケーションを対象とした診断、スマートフォンのアプリケーションを対象とした診断などがあり、診断作業は専用の診断ツール、或いはセキュリティの専門家による手作業によって実施されます。



脆弱性診断の必要性とは




3. なぜ、脆弱性診断が必要なのか

 人間の健康状態を改善するためには、まずは健康診断を受けて現状を知り、生活習慣の改善、治療を受けるなどの対策を実行します。

 ITシステムの場合でも同様に、脆弱性診断を実施し、システムのセキュリティについての現状を把握し、脆弱性そのものを無くすことや軽減する対策を行う必要があります。

 仮に最新のセキュリティ・ソリューションを導入していても、システムに脆弱性が存在する場合は、攻撃者にセキュリティ・ソリューションをバイパス・無効化される恐れがあります。また、設定の不備など何らかの理由によりセキュリティ・ソリューションが機能しなかった際は、攻撃の影響を受ける可能性もあります。



脆弱性診断の必要性とは
図 1. セキュリティ製品で保護策を講じていても、
システムに脆弱性が存在すると被害を受ける可能性がある




脆弱性診断の必要性とは
図 2. 脆弱性をなくした上でセキュリティ製品を利用すると

セキュリティ効果が高まる




 診断で見つかった危険な脆弱性の実例の一部を下記に挙げます。

  • 外部に公開する必要がない管理者画面がどこからでもアクセスでき、簡単に推測できるユーザー名、パスワードが使用されていて管理者としてログイン可能だった
  • リモートから任意の操作が可能な脆弱性が存在する古いバージョンのソフトウェアが使用されていた
  • ユーザーが送信するパラメーターを適切に処理していなかったため個人情報を簡単に取得することができた



 仮に、上記の脆弱性が悪用されていた場合、サービス提供の停止、情報流出、企業の信用の低下など、社会やビジネスに対して影響を及ぼす結果を招く危険性があったと考えられます。


脆弱性診断の必要性とは






4. 脆弱性が見つかった場合の対策

 脆弱性診断の結果、危険度の高い脆弱性が見つかった場合、脆弱性を悪用されないように、適切かつ迅速に対応して情報セキュリティ事故を未然に防ぐ必要があります。

 主な対策方法は、OSやソフトウェアのアップデート、設定変更、プログラムの修正などを実施して対応します。

 上記の根本的な対策を実施できない場合は、軽減策として新たにセキュリティ・ソリューションを導入するなどの対策を検討する必要があります。

 マルチセキュリティベンダーの伊藤忠テクノソリューションズ(以下、CTC)は、主要なセキュリティベンダーと強力なリレーションシップを結び、様々なセキュリティ・ソリューションの導入をご支援する体制と技術力があります。

 対策にお困りの際は、ご相談ください。


脆弱性診断の必要性とは






5. 事例に学ぶ、脆弱性診断サービスの効果

 企業が外部の脆弱性診断サービスを利用するにあたっての動機(課題)とは何か、課題をどのように解決して、どのような効果を得ているのでしょうか?

 そこで、CTC脆弱性診断サービスの数多の実績から、代表的な事例を参考に脆弱性診断の効果をご紹介します。




 事例をご紹介する前に、簡単にCTC脆弱性診断サービスの概要をお伝えします。


 本サービスは、米国標準技術研究所(NIST)のセキュリティ診断ガイドライン「SP800-115」に準拠したプロセスにて、脆弱性診断ツールと専門知識を有する弊社技術者による手動診断を組合せ、お客様のシステムの特性に応じた診断を行います。

 また、報告会では診断結果の説明に加えて、今後の改修に関するディスカッションを実施いたします。


失敗しない脆弱性診断サービスの選び方
図 3. 「NIST SP800-115」に準拠したCTC脆弱性診断サービスの流れ




 CTC脆弱性診断サービスのメニューは以下になります。

    • Webアプリケーション脆弱性診断
      • 目的
        • SQLインジェクション、クロスサイトスクリプティング、パラメータの改ざん、セッション管理に関する欠陥、ディレクトリトラバーサル等のWebアプリケーションの開発や設計に起因する脆弱性の洗い出し
      • 診断対象
        • Java、PHP、Perl、Rubyなどで開発されたWebアプリケーションとWebアプリケーションが動作するApache、Tomcat、IIS、Web Logic等のWebサーバ
      • 診断の観点
        • Webアプリケーションの設計や実装、ロジック等に起因して、不正侵入や情報漏洩、サービス不能に悪用可能な脆弱性がないか、実際に不正な値の入力やリクエスト改ざん、不正コードの挿入等の擬似攻撃を行い、脆弱性を確認
      • 診断の効果
        • 診断により悪用可能な脆弱性や影響が明らかになり、必要な対策を講じていただくことで、攻撃による被害を未然に防ぐことが可能

    • プラットフォーム脆弱性診断
      • 目的
        • 不正ログイン、セキュリティパッチ未適用、ファイルの取得、設定不備によるシステム情報漏えいなどOSやミドルウェア、ネットワーク機器が提供するネットワークサービスの設定や設計に起因する脆弱性の洗い出し
      • 診断対象
        • DNSサーバ、メールサーバ、ディレクトリサーバなどのネットワークを経由してサービスを提供するサーバ、ルータ、ファイアウォール、VPN装置などのネットワーク機器
      • 診断の観点
        • OSやミドルウェアによるネットワークサービスの設計や設定、使用バージョンに起因する不正侵入や情報漏洩、サービス不能に悪用可能な脆弱性がないか、アクセスを行い診断
        • 弊社独自作成のスキャンツールも使用し、市販の脆弱性スキャナでは正確に検知できない脆弱性やシステム特性に起因する脆弱性も確認
      • 診断の効果
        • 診断により悪用可能な脆弱性の存在や影響が明らかになるため、必要な対策を講じていただくことで、攻撃による被害を未然に防ぐことが可能



失敗しない脆弱性診断サービスの選び方
図 4. CTC脆弱性診断サービスのメニュー




 診断対象システムの脆弱性と影響の洗い出しにあたっては、最新のセキュリティ脅威を想定したシナリオに基づいて診断します。


失敗しない脆弱性診断サービスの選び方
図 5. 脆弱性診断の実施シナリオ例




 脆弱性診断サービスの流れと大まかな期間は以下の通りです。

失敗しない脆弱性診断サービスの選び方
図 6. お問合せから見積提示まで




失敗しない脆弱性診断サービスの選び方
図 7. お申込みから報告会まで




 CTC脆弱性診断サービスの紹介資料は、以下よりダウンロードいただけます。


関連記事を読む




 CTC脆弱性診断サービスを基に、脆弱性診断を実施されたお客様が抱えられていた課題、CTCのアプローチ、効果についてご紹介します。



5-1. 大手小売業(14年連続リピート)

  • 診断対象のシステム
    • 大規模Eコマースサイト
  • 期間
    • 通年(12か月)
      お客様とともに脆弱性診断の実施計画の検討を行い、システム全体の脆弱性診断を年間を通して実施
  • お客様の課題
    • 経営に影響する、または顧客情報の漏えいにつながる脆弱性がないか確認したい
    • ほぼ毎日の頻度でWebページがリリースされるので、脆弱性の有無を速やかに確認したい
  • 解決策
    • 全Webアプリケーションを徹底的に診断
      • Eコマースサイトの全1,600ページに診断を実施
      • 保有している全IPアドレスに対する定期診断の実施
      • 新規/改修されたWebページのリリースの都度、当日の脆弱性診断を実施
      • 改ざんチェックやセキュリティアドバイザリ、スマホアプリ診断なども実施
    • 提供診断サービス
      • プラットフォーム脆弱性診断
      • Webアプリケーション脆弱性診断
      • スマートフォンアプリケーション脆弱性診断
  • 効果
    • 潜在化している脆弱性の洗い出しができ、リスク管理を強化できた



失敗しない脆弱性診断サービスの選び方
図 8. 外部公開システムの診断、内部不正や標的型攻撃の診断





5-2. 大手情報通信業(13年連続リピート)

  • 診断対象のシステム
    • 社外公開WEBシステム(50システム)
  • 期間
    • 3か月
  • お客様の課題
    • 多数のサービスを外部公開しているが、部門ごと、グループ会社ごとに管理・運用がバラバラでセキュリティ対策のレベルも統一されていない
  • 解決策
    • 全システムを同一の基準で脆弱性診断を実施
      • 全システムに対して同一の検査方法・項目で脆弱性診断を実施
      • システムごとに報告書を作成し、情報セキュリティ部門と連携して改修対応を支援
      • 全システムを横並びにした診断報告を作成し、管理状況をセキュリティ委員会で報告
      • 前年の結果と比較し、管理・運用状況の停滞を把握し、情報セキュリティ部門と連携し指導改善
    • 提供診断サービス
      • プラットフォーム脆弱性診断
      • Webアプリケーション脆弱性診断
  • 効果
    • 毎年の実施により、脆弱性を残したまま公開されるシステムの減少に貢献
    • 危険度の高い脆弱性の早期発見と改修を実現している




5-3. 大手製造業(6年連続リピート)

  • 診断対象のシステム
    • 社外公開 / 社内向けシステム
  • 期間
    • 12か月
  • お客様の課題
    • グループ内のシステム子会社に対して脆弱性診断の実施を支援してほしい
    • 脆弱性診断サービスにより継続実施の必要性を認識したが継続実施の自社内製化のノウハウがない
  • 解決策
    • 脆弱性診断業務サイクルを一括支援
      • 脆弱性診断のサイクル(診断対象の選定、診断実施、分析・影響度判定、報告実施、対策実施)を一貫して支援
    • 提供診断サービス
      • プラットフォーム脆弱性診断
      • Webアプリケーション脆弱性診断
  • 効果
    • 脆弱性スキャンツールによる検出と分析手法の理解と習得
    • お客様自身で危険度の高い脆弱性を検出でき、弊社支援のもと開発事業者との協議や迅速な対策実施までを実現





5-4. 中央省庁(5年連続リピート)

  • 診断対象のシステム
    • 省庁内、および関係機関の基幹システム、公開システム
  • 期間
    • 8か月
  • お客様の課題
    • 情報システムの高い信頼性および十分な情報セキュリティ対策がなされているか、第三者視点で確認してほしい
  • 解決策
    • 省庁内の基幹システム/関連機関のシステムに対する脆弱性診断の実施
      • 外部からの不正侵入や情報漏えい、サービス停止につながる脆弱性がないか確認
      • 内部でのマルウェア感染による基幹システムへの被害拡大や内部不正による情報漏えい等の被害につながる脆弱性が存在しないかを確認
    • 提供診断サービス
      • プラットフォーム脆弱性診断
      • Webアプリケーション脆弱性診断
      • ペネトレーションテスト
  • 効果
    • 横断的な脆弱性診断/ペネトレーションの実施により統一した基準でセキュリティリスクが洗い出され、システム改修や軽減策の必要性と基準が明確になり、効果的な対策実施につながった



6. 脆弱性診断に関するQ&A

 脆弱性診断に関して、お客様からお寄せいただくご質問を紹介します。



6-1. 脆弱性診断サービスの提供事業者を選ぶポイントは?

 いざ脆弱性診断サービスを受けようと思っても、提供業者をどのように選定したら正解なのかわからないと思います。

 脆弱性診断サービスの中には、市販のセキュリティツールによって脆弱性をスキャンしただけの結果をそのまま報告書として提出され、脆弱性の対策の提案すらないといったものもありますので、後で後悔しないように、提供事業者の選定ポイントを押さえておくことをお勧めします。


 脆弱性診断サービスの提供事業者の選定ポイントについては、以下にわかりやすくまとめていますのでご覧ください。





6-2. いつ診断を受けるべきか?

 脆弱性診断は以下のタイミングで実施することをお勧めします。

  • システム・サービスリリース時
  • システム・サービス更改時
  • 定期実施 (毎年、半期に一度など)






さいごに

 サイバー攻撃の起点の拡大や烈度が増す昨今、単一のセキュリティだけでは未知の脅威に対応できなくなっています。

 企業に求められていることは、複数からなるセキュリティ対策を施し、サイバー攻撃の脅威からビジネスを守ることです。


 脆弱性診断についても例外ではありません。

 WEBアプリケーションを公開、或いはサーバ、ルータ、ファイアウォール、VPN装置などのネットワーク機器を導入した後、これらの脆弱性を確認されていない場合は、脆弱性診断サービスを受けて問題点を洗い出す必要があります。


 事例と交えてご紹介したCTC脆弱性診断サービスは、診断ツールと専門家による手作業を組み合わせて脆弱性を発見する特長があり、ご利用されたお客様からは下記の評価をいただくとともに、数年にわたってリピートいただくほどの信頼をいただいています。

  • 他の診断事業者に依頼した際は見つからなかった脆弱性を見つけてくれた
  • 原因とその対策がわかりやすく、まとまった報告書が良い 



 脅威からビジネスを守るために、CTC脆弱性診断サービスをご利用いただき脆弱性対策をご検討いただくことを強くお勧めします。

 CTC脆弱性診断サービスの紹介資料は、以下よりダウンロードいただけます。



お問合せ