脆弱性診断（セキュリティ診断）とは？必要性ややり方、サービスの選び方をわかりやすく解説

近年はサイバー攻撃によるセキュリティ事故の件数が増加しており、企業として徹底したセキュリティ対策が以前にも増して求められるようになってきました。
脆弱性を放置しておくとサイバー攻撃を受けやすくなるため、脆弱性診断を実施していち早く脆弱性を見つけ対策することが非常に重要です。
ここでは、脆弱性診断の必要性ややり方、サービスの選び方などを解説します。

＞＞　脆弱性診断に関するご相談はこちら

脆弱性診断（セキュリティ診断）とは？

脆弱性診断は、OSやソフトウェア、アプリケーションなどの脆弱性を発見するためにおこなう診断です。セキュリティ診断とも呼ばれます。
システムの脆弱性を残したままにしておくと、不正アクセスやマルウェア感染による情報漏洩・データ改ざんなどのリスクが発生します。脆弱性診断を実施してリスクを特定し、事前に対策をおこなうことは非常に重要です。

そもそも「脆弱性」とは

脆弱性とは、OSやミドルウェアなどにおけるセキュリティ上の欠陥で、セキュリティホールとも呼ばれます。プログラムの不具合やシステム設計時のミスが原因となって発生します。
セキュリティ上の穴となるためサイバー攻撃を受けやすく、脆弱性を残したままシステムを利用していると、不正アクセスやマルウェア感染などのリスクが高まり危険です。
脆弱性はできる限り早く対策したいところですが、完全な対策は難しく、一度脆弱性を塞いでもまた新たな脆弱性が発見されてしまう可能性があります。
多くのシステムは、発見した脆弱性を塞ぐためのプログラムを更新プログラムで提供するため、ユーザーはシステムの更新情報を随時確認し、できる限り迅速な更新プログラムの適用を心がける必要があります。

ペネトレーションテストとの違い

脆弱性診断と似ているサービスとしてペネトレーションテストがあります。
脆弱性の発見を目的とした診断が脆弱性診断、実際に攻撃を試みて現在の対策が有用なものかを判断する診断がペネトレーションテストです。役割は異なりますが、どちらもセキュリティの観点では大切な診断です。

目的に応じてどちらの診断を実施するかを判断し、セキュリティ対策をより強固にしたい場合は両方の診断を実施するとよいでしょう。

エヌアイデイでは脆弱性診断からペネトレーションテストまで、お客様のセキュリティ対策をトータルサポートいたします。

＞＞　脅威ベースのペネトレーションテストはエヌアイデイへご相談ください

脆弱性診断（セキュリティ診断）が必要な理由

脆弱性診断（セキュリティ診断）が必要な理由は主に以下のとおりです。

• 情報セキュリティ事故のリスクを回避するため
• ユーザーや取引先の安全のため
• 情報セキュリティ対策のコスト削減のため

それぞれ詳しく解説します。

情報セキュリティ事故のリスクを回避するため

一つ目の理由は、情報セキュリティ事故のリスクを回避するためです。脆弱性を放置してサイバー攻撃を受けてしまった際のリスクは大きく、特にお客様情報の漏洩は企業にとって大きな損害となりえます。
IPAが選出した「情報セキュリティ10大脅威 2023」でも「ランサムウェアによる被害」や「標的型攻撃による機密情報の窃取」、「内部不正による情報漏洩」などが上位に位置しており、データの流出による脅威を重く見ていることがわかります。
脆弱性診断をおこない脆弱性の有無をあらかじめ把握すれば、適切な対策を講じることができ、セキュリティ事故を未然に防ぐことにつながります。

参考：IPA「情報セキュリティ10大脅威 2023」

ユーザーや取引先の安全のため

サイバー攻撃の被害を受けるのは攻撃された企業だけではありません。場合によってはユーザーや取引先にも被害がおよぶ可能性があります。
例えば「サプライチェーン攻撃」の場合、セキュリティが甘い中小企業を踏み台にして本命の大手企業を攻撃するため、取引先へ被害が拡大してしまうケースが多くあります。また、不正アクセスでWebサイトが改ざんされてしまうと、Webサイトを利用するユーザーにも被害がおよんでしまうでしょう。
このような事態が万が一起きてしまうと、ユーザーや取引先へ多大な迷惑をかけてしまうと同時に企業の社会的信頼が大きく低下するため、脆弱性診断をはじめとするセキュリティ対策は非常に重要です。

情報セキュリティ対策のコスト削減のため

脆弱性診断を実施せずシステムリリース後に脆弱性が見つかった場合、あとから修正しようとするとかなりのコストが必要になります。実際にサイバー攻撃を受けてしまった場合には、対応するための人員や費用がさらにかかります。
あらかじめ脆弱性診断を実施し事前に対策しておくことは、結果的に情報セキュリティ対策のコスト削減にもつながるのです。

脆弱性を放置した場合に起こりえるリスク

システムの脆弱性を放置すると以下のようなリスクがあるため注意が必要です。

• マルウェア感染によって情報漏洩・データが改ざんされる
• 不正アクセスによって情報漏洩・データが改ざんされる
• ウイルスの発信源として悪用される
• 金銭目的の犯罪に巻き込まれる

それぞれ詳しく解説します。

マルウェア感染によって情報漏洩・データが改ざんされる

まず考えられるのはマルウェア感染による被害です。
マルウェアは悪意のあるソフトウェアの総称で、ウイルスも含まれます。無害なプログラムを装って侵入するトロイの木馬や、強い感染力を持つワームもマルウェアの一種であり、マルウェア感染による被害はサイバー攻撃の中でも上位に位置するため対策は必須です。

サイバー攻撃被害の事例として、総務省は以下のような事例を紹介しています。

ある組織が所有している機密情報が、電子メールで外部に送信されていることが判明しました。
発端は、ある職員の電子メールアドレスに、知人を装ったウイルス付きのメールが送られたことからでした。職員はこのメールを不審なメールであるとまったく疑わずに業務用のパソコンで開封し、ウイルスに感染してしまいました。このメールは実際には知人から送られたメールではなく、送信元を偽った標的型攻撃のメールだったのです。

引用元：総務省「事例9：標的型攻撃で、企業の重要情報が…」

マルウェアにはさまざまな種類があり、事例のように感染に気付けない場合もあるため、早めの対策を心掛けましょう。

不正アクセスによって情報漏洩・データが改ざんされる

脆弱性を放置した場合、マルウェア感染だけでなく不正アクセスによる被害にも注意が必要です。不正アクセスによって企業のシステムに侵入されてしまうと、情報漏洩やWebサイト・データの改ざんなどのリスクが発生します。

不正アクセス被害の事例として、総務省は以下のような事例を紹介しています。

Wさんの会社は、自社製品を販売するためにショッピングサイトを構築することになりました。直販サイトなので価格も安く、ここでしか販売しない商品を取り揃えたのが良かったのでしょうか。運用開始直後から少しずつ売りあげも伸びてきました。
 そんなある日のことです。このサイトが繁盛していることを知った悪意のある人間がいました。彼はログインページのユーザーID入力欄に、コマンドを含む特殊な文字列を入力する「SQLインジェクション」という手法を試みました。すると、なんとパスワードを知らなくても、会員ページにログインできてしまうことがわかりました。このような方法で、Wさんの会社のショッピングサイトから会員の個人情報が大量に漏洩してしまったのです。

引用元：総務省「事例8：SQLインジェクションでサーバの情報が…」

実際にSQLインジェクションによる被害は多発しているため、特に大量の個人情報を扱う企業は、脆弱性対策を徹底する必要があるでしょう。

ウイルスの発信源として悪用される

マルウェアに感染した結果、自社がウイルスの発信源として悪用されてしまう場合があります。代表的なものがサプライチェーン攻撃です。自社を足掛かりに、取引先への標的型メールの送付や、取引先が利用しているソフトウェアにウイルスを組み込むことによって感染が拡大してしまいます。
このような事態に陥った場合、自社は被害者であると同時に加害者です。取引先の損害も負担しなければならなくなるため、金銭的な負担は大きなものとなるでしょう。

金銭目的の犯罪に巻き込まれる

脆弱性の放置による不正アクセスは情報漏洩やデータ改ざんが主な目的ですが、近年では金銭目的の犯罪も増加しています。不正に入手した個人情報やクレジットカード情報を悪用し、身代金の要求や個人情報の売買などに使われる悪質なケースがあとを絶ちません。
金銭目的の犯罪に巻き込まれることで甚大な被害が発生する可能性は十分に考えられます。セキュリティを定期的に見直し、対策を講じておきましょう。

脆弱性診断（セキュリティ診断）の種類

脆弱性診断にはいくつかの種類がありますが、ここでは一般的な診断である以下の3つについて解説します。

• Webアプリケーション診断
• プラットフォーム診断（ネットワーク診断）
• スマートフォンアプリケーション診断

それぞれ主な診断対象は以下のとおりです。

これら3つ以外にもIoT機器やソースコード等を対象にしたさまざまな診断があるため、自社の診断対象に適したサービスを選択するようにしましょう。

＞＞　アプリケーションからIoTデバイスまで、セキュリティ対策はまとめてエヌアイデイにお任せください

Webアプリケーション診断

Webアプリケーション診断は、Webアプリケーションの脆弱性を発見するための診断方法です。基本的に、Web上に存在するすべてのアプリケーションが対象です。
Webアプリケーションは種類が豊富で機能もそれぞれ異なるため、脆弱性が見つかりやすい箇所もさまざまです。そのため、自社のWebアプリケーションに応じた適切な診断をおこなう必要があります。
診断する際は、主にSQLインジェクションや、不正スクリプトを埋め込んでユーザー環境で実行させる「クロスサイトスクリプティング」などの手法を想定して疑似的な攻撃をおこない、脆弱性の有無を確認します。情報漏洩やデータ改ざんの原因となるような脆弱性を発見できれば、影響レベルを評価したうえで事前に対策を講じることができます。

プラットフォーム診断（ネットワーク診断）

プラットフォーム診断は、サーバやネットワーク機器で稼働しているOSやミドルウェア、サーバソフトなどの脆弱性を発見するための診断方法です。あわせて、設定自体に問題がないかも確認します。脆弱性だけでなく、設定の問題もサイバー攻撃を受ける要因となってしまうためです。
サイバー攻撃は次々と新たな攻撃手法が発見されているため、新規でWebサービスを立ちあげる場合や、前回の診断から1年以上間が空いている場合にもあらためて診断を実施することをおすすめします。

スマートフォンアプリケーション診断

スマートフォンアプリケーション診断は、スマートフォンで動作するアプリケーションを対象にした脆弱性診断です。サービスによってはアプリケーションだけでなくアプリケーションとサーバ間の通信も診断対象に含まれる場合があります。
診断は診断は静的解析と動的解析、ツールと手動を組み合わせたやり方など、サービスによってメニューはさまざまです。疑似的な攻撃をおこない攻撃者と同じ目線から脆弱性を診断します。

脆弱性診断（セキュリティ診断）のやり方

脆弱性診断には「手動診断」と「ツール診断」の2種類があります。それぞれのメリット・デメリットと、診断の対象となるサイトは以下のとおりです。

2つの診断を組み合わせればセキュリティ体制をより強化できるため、セキュリティを万全にしたい場合は両方の診断を実施しましょう。
診断のやり方に関してそれぞれ詳しく解説します。

手動診断

手動診断は、専門エンジニアが直接脆弱性を診断します。診断精度が高く、ツールでは認識しづらい脆弱性も発見できます。診断後のフォローアップもあるため、どのような対策をおこなうべきか明確に把握できる点も大きなメリットです。一方で、ツール診断よりも費用が高く、結果報告までの日数は長くなりがちです。
診断の正確性を重視する場合は手動診断を実施するのがおすすめです。
手動診断は、対象となるサイトを調査し、診断方法を検討したあとに診断が開始されます。診断後は報告書が提出されるほか、報告会や問い合わせ対応が可能なサービスもあるため、気になる部分はぜひ専門家の意見を聞いてみましょう。

ツール診断

ツール診断とは、診断ツールを用いて脆弱性を発見する診断方法です。提供されているツールを使うことで素早く脆弱性を診断できます。手動診断と比較すると診断にかかる費用も安価です。
一方で、診断の精度では手動診断に及ばないため、複雑なサイト構成にはあまり対応していません。ECサイトや個人情報を取り扱っているサイトなど、情報漏洩のリスクが高いサイトにも不向きです。
個人情報を取り扱っておらず脆弱性リスクが高くない場合に、簡易診断として実施するのがおすすめです。

脆弱性診断（セキュリティ診断）を実施する流れ 

脆弱性診断を実施する際は、まず診断対象を決めましょう。企業にとって重要度が高いシステムや、個人情報を取り扱うシステムがある場合は優先的に実施すべきです。
次に診断方法の選定をおこないます。メリット・デメリットを踏まえたうえで、手動診断かツール診断かを決めて診断を実施します。セキュリティを万全にしたい場合は両方の診断を組み合わせて実施するのがおすすめです。診断を専門業者に委託する場合は、診断メニューから提案してもらうことも可能なので上手く活用しましょう。
診断実施後は、診断結果や報告書をもとに脆弱性を改善します。改善したあとは、同じ脆弱性が残っていないかを確認するために再診断も実施してください。
脆弱性診断は新たにWebサービスを立ちあげる場合はもちろん、既存サービスにおいても新たなリスクが生じていないか確認するため、1年ごとの定期的な実施を推奨します。

脆弱性診断（セキュリティ診断）の費用

脆弱性診断の費用は、診断方法や診断内容によって大きく異なります。無料で使えるツールもあれば、診断対象や項目によっては数百万円かかるケースもあり、価格帯はさまざまです。また、診断内容が同じでもサービスによって価格は異なります。
診断費用をできる限りおさえたい場合もあるかと思いますが、費用が安い診断はその分診断内容も簡素な場合が多いです。診断で発見できなかった脆弱性により、のちに大きな損害へとつながるリスクは十分に考えられるため、診断内容が自社サービスに必要なレベルを満たしているかどうかをまずは重視することを推奨します。

脆弱性診断（セキュリティ診断）サービスを選ぶときのポイント

脆弱性診断サービスを選ぶ際は、以下のポイントを重視しましょう。

• 診断の手法
• 診断の範囲
• 診断の精度
• 診断後のサポート

それぞれ詳しく解説します。

診断の手法

診断方法によってメリット・デメリットが異なるため、診断の手法は診断サービスを選ぶ際に無視できないポイントです。手軽さを重視する場合はツール診断、診断精度やアフターフォローを重視する場合は手動診断を選ぶとよいでしょう。
静的コンテンツにはツール診断を実施し、動的コンテンツには手動診断を実施するなど、２つの診断を組み合わせることも可能です。

診断の範囲

診断対象のアクセス制御などによってアクセスできる範囲は決まるため、「どの程度の範囲の脆弱性を調べたいのか」を明確にし、調査したい範囲にズレが生じないようにしましょう。
あわせて、「診断項目が足りているか」の確認も重要です。

診断の精度

診断の範囲や診断項目が同じであっても、診断サービスやツールによって精度はさまざまです。基本的には手動診断のほうがツールよりも精度が優れているため、信頼性の高い診断を受けたい場合には手動診断を選択するのが良いでしょう。
なお、同じ診断方法でも精度が高いほど費用が膨らみやすい傾向があります。診断項目や診断範囲から診断の精度を考慮し、費用とのバランスも踏まえながらサービスを選ぶことをおすすめします。

診断後のサポート

診断後のサポートが充実しているかどうかも、診断サービスを選ぶ際の重要なポイントです。診断によって脆弱性が見つかっても、対策方法を教えてもらわなければ改善は難しいでしょう。
診断後のサポート内容はサービスによってさまざまですが、報告書の提出や報告会の開催、問い合わせ対応などに対応しているサービスは安心感がありおすすめです。
サービスによって脆弱性改善後の再診断を実施してくれる場合もあるため、サポート内容は依頼前にきちんと確認することが大切です。

＞＞　報告会・再診断・診断後のサポートまで、高品質な脆弱性診断ならエヌアイデイ

サイバーリスク保険の有無

診断サービスによっては「サイバーリスク保険」が付帯している場合があります。
サイバーリスク保険は、システムの機能停止や情報漏洩事故などサイバー攻撃で損害が発生した際に保証してくれる保険です。保険会社も提供していますが、診断サービスに付帯されていれば契約手続きが不要になります。
必須ではありませんが、自社のサービス内容によってはあると安心です。
サイバーリスク保険が必要な場合はあらかじめ付帯の有無を確認しておきましょう。補償対象や補償額はサービスによって異なるため、一緒に確認することをおすすめします。

脆弱性診断（セキュリティ診断）のほかに取り組める脆弱性対策

脆弱性対策は脆弱性診断だけではありません。セキュリティの観点から見ても、脆弱性診断とあわせて以下の対策を実施することが大切です。

• 脆弱性を考慮した設計をあらかじめおこなう
• 使用中のハードウェア・ソフトウェアを適切に管理する
• 脆弱性情報を収集する
• WAFを導入する

それぞれ詳しく解説します。

脆弱性を考慮した設計をあらかじめおこなう

脆弱性対策は開発時から十分に考慮しておく必要があります。システム設計の段階ですでに脆弱性が発生しやすい状態になってしまっている場合も少なくないためです。
サイバー攻撃の被害をできる限りおさえるために、設計時点からセキュリティを意識しておきましょう。ただし、開発時から十分なセキュリティ対策を考慮するには専門知識が必要不可欠です。社内リソースで対応が難しい場合は、プロの有識者に相談することをおすすめします。

＞＞　セキュリティ対策を考慮した開発・設計はエヌアイデイへご相談ください

使用中のハードウェア・ソフトウェアを適切に管理する

多くのソフトウェアは、脆弱性が見つかった場合更新プログラムを適用して対策します。更新プログラムが適用されていない状態はセキュリティリスクがあるため、常に最新版に保つよう意識が必要です。
ハードウェアの場合はサポート切れに注意が必要です。サポートが切れたハードウェアはメーカーのサポートを受けられません。更新プログラムを適用できず、最新の保護を受けていない状態になるため、セキュリティリスクが増大してしまいます。
使用中のハードウェア・ソフトウェアは状態を常に確認し、適切に管理することが大切です。

脆弱性情報を収集する

脆弱性情報を収集し、事前にリスクを把握することは自社のシステムを安全に保つために非常に重要です。ソフトウェアベンダーのサイトやインターネット上の情報を個別に収集しようとすると手間がかかりますが、IPAやJVNなどの「脆弱性情報データベース」を活用すると効率良く情報を集めることができます。脆弱性データベースは一般公開されており、さまざまなメーカー・開発元の脆弱性情報を確認できます。
脆弱性情報データベースでは更新情報も発信しているため、定期的に確認することでより速く脆弱性情報を得ることが可能です。収集した情報から想定される影響や対策方法を知れれば、効果的な対策を早くからおこなうことができます。

WAFを導入する

WAF（Web Application Firewall）は、システムの脆弱性を狙ったサイバー攻撃を防ぐためのセキュリティ製品です。
脆弱性診断は脆弱性そのものに対する対策、WAFは脆弱性を狙ったサイバー攻撃を防ぐための対策と、それぞれ役割が異なります。両方の対策を導入すればより強固なセキュリティを実現できます。
WAFには「アプライアンス型（ゲートウェイ型）」、「ソフトウェア型（ホスト型）」、「クラウド型（サービス型）」の3種類があるため、自社に適したタイプを導入するとよいでしょう。一つのWAFで複数のサーバに対応させたいならアプライアンス型、初期費用をおさえつつシンプルな構成のWAFを希望するならソフトウェア型、導入と管理が簡単なWAFを希望するならクラウド型がおすすめです。

まとめ

脆弱性を放置しておくとサイバー攻撃を受けやすくなり、場合によっては企業に甚大な被害が及ぶ可能性があります。自社がウイルスの発生源となってしまった場合、ユーザーや取引先にも被害が広がるとともに、加害者として損相賠償請求される可能性もありえるため注意しなくてはいけません。このような事態を回避するためにも、企業には脆弱性診断の実施が求められます。適切な診断を実施すれば、サイバー攻撃を受けるリスクをかなり軽減できるでしょう。

株式会社エヌアイデイでは脆弱性診断サービスを提供しています。
診断実施に留まらずその後の対応の実施まで、確かな実績に基づくIT知見でお客様のセキュリティ対策をサポートいたします。経験豊富なエンジニアが診断後の課題や対策方法を丁寧にご説明しますので、脆弱性診断をご希望の際はお気軽にお問い合わせください。

＞＞　経験豊富なエンジニアによる高品質な脆弱性診断ならエヌアイデイ