脆弱性をそのままにしておくと、サイバー攻撃のキッカケとなってしまうため対策が必要です。しかし脆弱性がそもそもあるのか、どのようにチェックすれば良いのかなど分からない方も多いのではないでしょうか。
このように悩んでいる方に向けて、今回は
- 脆弱性チェック(脆弱性診断)の概要
- 脆弱性チェックの必要性とその対象
- 脆弱性チェックの方法と費用
を紹介します。
記事後半でおすすめの脆弱性チェックサービスを3つ紹介しているので、脆弱性のチェックをしようと思っている方にもおすすめです。
なお、脆弱性はあくまでもセキュリティ上の弱点のひとつなので、他の攻撃への対策も強化しておくことをおすすめします。以下で攻撃・対策の例を漫画でわかりやすく解説しているので、併せてご一読ください!
目次
脆弱性チェック(脆弱性診断)とは
脆弱性とは、コンピュータのOSやアプリケーションなどのソフトウェアにおいて
- プログラムの不具合
- 設計上のミスが原因
となって発生した情報セキュリティ上の欠陥・問題点のことを指します。
情報処理推進機構の「ソフトウェア等の脆弱性関連情報に関する届出状況 2022年第2四半期(4月~6月)」によれば、脆弱性の届出件数の累計は17,465件で、1営業日あたり約4件程度の脆弱性関連の届け出があることがわかります。
脆弱性チェックとは、日々増え続けている脆弱性のうち、自分が利用しているネットワークやOS・アプリケーションにおいて、該当するものがないかを診断することです。
安心・安全なサービスを提供するために、企業は常にこの脆弱性の対策を行うことが求められます。
脆弱性チェックの必要性
脆弱性チェックが必要な理由は、脆弱性への対策ができていないと以下のような危険があるからです。
・悪意のある第三者から攻撃を受けてしまう
・ウイルスの感染に利用されてしまう
最悪の場合、不正アクセスによる情報漏洩や金銭トラブルにつながってしまうことも考えられるため、必ず脆弱性チェックを行いましょう。
また、不正アクセスによる炎上や風評被害に備えて、事業者さまは以下からお役立ち資料をぜひダウンロードして参考にしてください。
【情報漏洩による炎上に備えよう】炎上対策についての無料資料DLはこちら
近年はゼロデイ攻撃と呼ばれる、脆弱性発見から更新プログラム配布前までの期間での悪質なハッキングも増えています。脆弱性があると公開されてから、可能な限り短い期間で対策を講じることが最善の自衛となります。
ゼロデイ攻撃をはじめとする、ハッキングの手口について、詳しく知りたい方はこちらの記事をご確認ください。
脆弱性チェックの対象3つ
プログラムの不具合や設計上のミスは、利用しているすべてのツール・サービスで起こりうる問題のため、脆弱性チェックの対象は単純にこれ1つだけやっておけばよいというものではありません。
ここでは
- Webアプリケーション
- プラットフォーム診断
- ネイティブアプリ診断
の3つの対象に分けて、それぞれの具体的な診断方法について解説します。
【対象1】Webアプリケーション診断
Webアプリケーション診断とは、その名の通り、サーバー上で稼働するWebアプリケーションを対象とした診断です。
具体的な診断内容としては、
- SQLインジェクションなどのデータベースや入力フォームで記載した内容が意図しない形で出力・漏洩しないかテストする
- 本来アクセスできないユーザーによる認証が行われないか確認する
- 悪意のあるファイルのアップロード及び公開が行われないか確認する
- 集中アクセスなどを行い、耐えられるサーバへの負荷の限界がどのくらいか調査する
など、多岐に渡ります。
そのため、診断する前にWebアプリケーションがどんな用途で作られているかをヒアリングし、どんなサイバー攻撃が行われそうかの想定をもとに診断内容を調整することが多いです。
脆弱性を狙ったサイバー攻撃の手口を知りたいを知りたい方は、下記の記事もご一読ください。
【対象2】プラットフォーム診断
プラットフォーム診断は、企業で使っているOSやサーバ、ネットワークなどを診断の対象とします。
具体的な診断内容としては、
- 各種機器の設定を確認する
- ポートスキャンをする
- ネットワークスキャンを用いて脆弱性を検出する
- ホスト情報の収集をする
などが含まれ、これらにより、既知の脆弱性への対応しているか、稼働しているサービス・ポートの安全性を確認します。
この診断を行う方法としてはリモート診断とオンサイト診断の2つがあり、診断の対象になるサーバやネットワークによって異なります。
| リモート診断 | 外部からインターネット経由サーバーの脆弱性やアクセス制限が適切かを診断する |
|---|---|
| オンサイト診断 | 内部のネットワークに接続されている機器の、社内での脅威に対する脆弱性を診断 |
【対象3】ネイティブアプリ診断
ネイティブアプリ診断とは、AndroidやiOS用のアプリを診断の対象とします。
具体的な診断内容としては、
- 端末内データの解析する
- アプリ本体のプログラムや設定などを記述したファイルへの不正アクセスや解読が行われないか
になります。
Webアプリケーション診断同様、ネイティブアプリがどんな用途で作られているかによって診断すべき内容に調整をかけることが多いです。
脆弱性チェックの方法2つ
脆弱性チェックの方法はツールによる自動診断、人による手動診断の2種類があります。
具体的にどのような特徴があるのか、見ていきましょう。
【方法1】自動診断(ツール診断)
1つ目の方法は、ツールを使った自動診断です。自動診断の最大のメリットは、検査過程において人の手がかかる部分が少ないことです。便利なものだとツール上の「検査開始」ボタンを押すだけで、システム全体を診断できます。
一方デメリットとして、検査前の準備が不十分だったり、Webサイトの構成が複雑な場合はツールが誤診断を行ってしまう可能性があります。
またツール自体の利用は問題なくとも、診断結果の解釈、対策の実施が可能かという点も事前に考慮が必要です。診断したいプログラムに関する知識に加え、セキュリティに関する知識を保有するエンジニアが自社内に十分にいない場合は不向きと言えるでしょう。
【方法2】手動診断
2つ目の方法は、人による手動診断です。手動診断とは、サイバーセキュリティの専門的な知識・スキルを持つ人によるマニュアルの診断を指します。
手動診断のメリットは、自動診断と比べ診断の柔軟性と精度が非常に高いことです。具体的な例としてはプログラム上は間違っていなくとも、仕様上そうすべきでない、という設計上のミスについても指摘が可能な点が挙げられます。
デメリットとしては、この方法では時間と費用がかかってしまう点です。一般的に手動診断は画面遷移数や機能数によって費用が設定されているため、複雑な動作を行うアプリケーションだと高額になりがちです。
予算に限りがある場合には、発注側で特定の機能などに限定して診断を依頼する必要があることを念頭にいれておく必要があります。
脆弱性チェックの費用
脆弱性チェックの費用の相場は、年間で約10万円から数百万円まで、とさまざまです。
相場料金の幅が大きい理由としては、
- 脆弱性チェックの対象がプラットフォーム、Webアプリケーション、ネイティブアプリのうち、どこになるか
- 脆弱性チェックの方法が自動か手動か
- 脆弱性チェックの対象となるリクエスト数やIP数がどのくらいか
- ホワイトハッカーの疑似攻撃による、検証があるかどうか
- 脆弱性チェックの診断後のサポート(報告会や対策の提示、対策実施後の脆弱性解消チェック)があるかないか
など、費用に影響する要素が数多く存在するためです。
したがって、脆弱性チェックの依頼前に自社内で情報を整理し、予算にあわせてこれらの内容を選択していく必要があります。
おすすめの脆弱性チェックサービス3選
脆弱性チェックサービスはさまざまありますが、
- CYBER RESCUE
- vex
- WEBセキュリティ診断くん
をご紹介します。
【サービス1】CYBER RESCUE
CYBER RESCUEは、株式会社シングラが提供する脆弱性診断サービスです。通常着手金など調査前に払い込むことが一般的ですが、CYBER RESCUEは完了後に支払う完全成果報酬型です。
また、日本国内の行政機関で国防に携わったホワイトハッカーとサイバーセキュリティ先進国イスラエルのホワイトハッカーの合同チームにより、アプリケーションやシステムを診断してもらえるという特徴があります。
毎月10社限定で無料簡易脆弱性診断も行っているため、自社サイトが今「本格的な診断を必要なのか」も含めて知りたい方におすすめです。
【サービス2】vex
Vulnerability Explorer(Vex)は、株式会社ユービーセキュアが提供する純国産のWebアプリケーション脆弱性検査ツールです。
特徴として、3ヶ月毎の定期的な脆弱性対応のためのアップデートを行うほか、危険度の高い脆弱性が発表された際には緊急アップデートも提供していることが挙げられます。
また『ITR Market View:サイバー・セキュリティ対策市場2021』Webアプリケーション脆弱性管理市場:ベンダー別売上金額で、シェアNo.1(2020年度予測)を占めており、NTTデータなど大企業の導入実績が多数ある点や日本語のサポートがある点も安心です。
【サービス3】WEBセキュリティ診断くん
WEBセキュリティ診断くんは、株式会社セキュアオンラインが提供する月1万円から毎日診断を実施できる脆弱性チェックサービスです。
セキュリティの専門家が従業員にいない中小企業でもリーズナブルな価格で情報漏洩対策に取り組めるよう、診断したいURLを登録するだけで毎日深夜にサイト診断を実施してくれる点が特徴です。
2022年4月のサービスリリース記念として1サイトに限り無料診断を実施中のため、すぐに高額な脆弱性対策費用を捻出できない場合にも安心して利用できそうです。
なお、他にも脆弱性診断サービスはいろいろあります。より比較検討してサービスを選定したい方は、以下記事を併せてご一読ください!
脆弱性チェックだけでなく不正アクセスへの対策も重要
脆弱性チェックによる対策を講じさえすれば、悪意のある第三者からの攻撃による情報漏洩などの被害はゼロになるのでしょうか。
残念ながら、それだけでは被害をゼロにすることは出来ません。ハッカーは脆弱性以外の他の方法で不正アクセスを試みています。例えば、ダークウェブなどで不正に手に入れたログインID・パスワードを用いて、他人になりすましてログインを行うなどです。
このように不正アクセスをされた場合は、ログイン後の画面から
- クレジットカード情報を抜き取られて悪用される
- 住所などの情報を元に詐欺のターゲットとして狙われてしまう
といったことも考えられ、大変危険です。
また、脆弱性チェックを実施した際に高リスクと判断した場合、
- どの部分がリスクありなのか
- 簡単に対応できるものなのか
- システムの構成をそもそも変えなければ対策ができないものなのか
などをきちんと判断し、後者の場合はシステム・サービス公開を後ろにリスケジュールするなどの判断をすることも視野に入れる必要があります。
サービス提供企業は、脆弱性チェックだけではなくこういった不正アクセスの脅威にもあわせて対応することが必要です。
とはいえ、正しいログイン情報の入力をしている場合は、アクセスログだけで攻撃者によるものと断定することは極めて難しいため不正ログイン検知ツールを導入すると良いでしょう。
たとえば不正検知サービス「O-PLUX」では、操作情報やIPアドレスなどの情報から、なりすましが疑われるアクセスにのみ2段階認証を求めることができます。より詳しくO-PLUXを知りたい方は、以下から資料をダウンロードしてください。
-8-1000x300.png)
1万円で2週間のトライアル利用も受付中!
O-PLUXのトライアルはこちら
※金融機関等には不正ログイン検知サービス「O-MOTION」として提供しております。
脆弱性チェックや不正アクセス対策をして安全なサービスを提供しよう
脆弱性を狙ったハッキングや不正アクセスの手口は日々進化しており、増え続ける脆弱性をチェックし、怪しい不正アクセスを人力だけで防ぎきることは困難です。
重要なことは、ユーザーが安心して利用できる製品・サービス提供のために
- ツールやサービスを利用して問題を早期に発見
- 原因をすぐに特定、更新プログラムなどの対策を実施
できる、効率的かつ網羅的なセキュリティ対策を日頃から行うことです。
企業として、安全なサービスを提供するために、改めて網羅しておくべきセキュリティについて知りたい方は、こちらの無料資料をご覧ください。
