脆弱性管理、診断|知る×学ぶ
被害事例から学ぶ!定期的な脆弱性診断のススメ
はじめに
サイバー攻撃の手法は日々高度化しており、新たな脆弱性も頻繁に発見され続けていますが、多くの企業ではリリース時に一度診断を実施しただけで、その後しばらく経過しても診断が行われないケースが少なくありません。
脆弱性診断は、システムやアプリケーションがセキュリティ上のリスクに晒されていないかを検査し、潜在的な脆弱性を特定するために必要なプロセスとして多くの企業で実施されています。しかし、定期的に脆弱性の確認を行っていなかったことで、サイバー攻撃による被害を受けてしまった事例も報告されています。
本記事では、サイバー攻撃から企業の資産を守るために、定期的な脆弱性診断がなぜ推奨され、重要と位置付けられているのかをご紹介します。
▼ 目次
1.2023年に報告されたサイバー攻撃の被害事例と定期的脆弱性診断の必要性
2.定期的な脆弱性診断のメリット
3.脆弱性診断の種別と推奨される頻度
4.まとめ
1.2023年に報告されたサイバー攻撃の被害事例と定期的脆弱性診断の必要性
定期的な脆弱性診断は企業にとって重要な取り組みです。サイバー攻撃による被害は増加傾向にあり、日本企業でも毎年サイバー攻撃によるインシデントが複数報道されています。
例えば、大手製造業では不正アクセスによりランサムウェアに感染し、データが暗号化される被害が発生しました。攻撃者は企業が導入していたVPN機器の既知の脆弱性を悪用して内部ネットワークに侵入し、パスワードの総当り攻撃によって管理者パスワードを取得、企業の資産にログインしてランサムウェアによる暗号化を行いました。
この結果、システムが約1か月間使用できなくなり、機会損失が発生しました。加えて、ランサムウェアによる機密情報の漏えい有無の調査対応にも追われました。
また、大手金融業では構築したサーバにセキュリティ上の不備があり、機密情報が漏えいする被害が発生しました。適切なセキュリティ対策を講じないままサーバをリリースしたため、攻撃者がセキュリティの不備を狙って不正アクセスを行い、サーバに保存されていた約70万件の機密情報が窃取され、ダークウェブサイトに掲載されました。
さらに、大手建設業では公開していたWebサイトにセキュリティの不備があり、機密情報が漏えいする被害が発生しました。攻撃者はWebサイトに内包されていたSQLインジェクションの脆弱性を悪用し、データベースに保存されていた約20万件の機密情報が漏えいしました。
これらの事例は、サイバー攻撃による被害の一部でしかなく、中にはサービス継続不可の状態まで追い込まれた企業もあります。
いずれもサーバやネットワーク機器、Webサイトの脆弱性を悪用した事例であり、定期的な脆弱性診断を実施することでこういったインシデントを未然に防ぐことができたかもしれません。
リリース時には強固な状態となっていても、新たな脆弱性は日々発見されます。
定期的な脆弱性診断は、日本の公的機関である情報処理推進機構(IPA)の指針でも推奨されているように、企業のセキュリティを確保する為の重要な施策となっています。
- IPA 「ECサイト構築・運用セキュリティガイドライン」
https://www.ipa.go.jp/security/guide/vuln/ps6vr7000000acvt-att/000109337.pdf
2.定期的な脆弱性診断のメリット
日々発見される脆弱性に迅速に対応するためには、定期的な脆弱性診断が不可欠です。
以下に、定期的な脆弱性診断の具体的なメリットをご紹介します。
- セキュリティレベルの維持
定期的な脆弱性診断を実施し、適切なセキュリティ対策を講じることで、システムやアプリケーションのセキュリティレベルを常に高い状態に保つことができます。 - 企業のセキュリティ意識向上
企業が脆弱性対応を定期的に実施することで、社内のセキュリティ対策に対する意識を向上させることが期待できます。 - インシデント対応コストの削減
脆弱性が悪用される前に発見し対策を講じることで、セキュリティインシデントによる被害を未然に防ぐことができます。
結果的に、インシデント対応や復旧にかかるコスト削減が期待できます。 - 企業イメージの向上
定期的に脆弱性診断を実施していることを公表することで、企業やサービスのイメージ向上が期待できます。
3.脆弱性診断の種別と推奨される頻度
「定期的」とは具体的にどれくらいの頻度で実施するべきでしょうか?
各公的機関でも推奨される診断頻度に違いがありますが、CTCでは業務スケジュールや評価期間を考慮したうえ以下頻度で脆弱性診断を実施することを推奨しています。
図 1. 脆弱性診断の種別と推奨される頻度
4.まとめ
「サイバー攻撃の手法は日々高度化しており、頻繁に脆弱性情報が公開されています。
脆弱性診断によって「今」システムが抱えているリスクを排除することはできますが、新たに生まれる脆弱性への対策は行うことができません。
本稿で紹介した定期的な診断頻度は一般的なWebアプリケーションやシステムで推奨しているものです。実際には企業が位置する業界やシステムの重要度に応じて、脆弱性診断の実施頻度を検討する必要があります。
CTCでは様々な業種・業態のお客様に関する多種多様なITシステムの知見があります。
単に脆弱性診断の実施だけでなく、企業が定期的な脆弱性診断をどのように計画・実施していくかについてもお気軽にご相談ください。
■セキュリティの弱点をあぶり出す|レジリエンスを評価する「TLPT」
■クラウド設定不備の防止|情報漏洩を防ぐ「ベストプラクティス」とは
■プラットフォーム脆弱性診断がサイバー攻撃の被害回避に重要な理由と課題とは
より詳細な情報を入手したいお客様はぜひ弊社にお問合せください。
