脆弱性診断とは?
やり方や種類から、
失敗しない選び方までを解説

脆弱性診断は自社システムのセキュリティリスクを特定するための重要な施策です。脆弱性診断で検出した脆弱性に対して適切な対策を講じることで、サイバー攻撃による情報漏えいやデータの改ざんなどの被害から企業を守ることができます。

しかし、脆弱性診断サービスの種類が多い中、どのように自社に合うサービスを選定するといいかが多くの担当者にとって大きな課題となっています。

本記事では、脆弱性診断の基本から、脆弱性診断のやり方や種類、脆弱性診断サービスの適切な選び方までをわかりやすく解説します。

目次

脆弱性診断とは?

脆弱性診断(読み方:ぜいじゃくせいしんだん)とは、ネットワーク、オペレーティングシステム(OS)、ミドルウェア、アプリケーションなどに悪用可能な脆弱性が存在するかどうかを確認するプロセスです。

脆弱性とは、OSやソフトウェア、ハードウェアなどのプログラムの不具合や設計上のミスによるセキュリティ上の欠陥です。脆弱性を放置すると情報漏えいやデータの改ざんなどの重大なセキュリティインシデントにつながる恐れがあります。

脆弱性診断を行うことで、自社のシステムに存在する脆弱性を把握することができます。また発見した脆弱性に適切に対処することで、企業のセキュリティリスクを抑えることができます。

脆弱性診断とは?

脆弱性診断の目的

診断対象によって脆弱性診断の目的が異なります。
自社が提供するWebサイト、Webアプリケーションへの脆弱性診断の主な目的は、WebサイトやWebサービスなどを安全に保ち利用者や閲覧者が安心してアクセスできる環境を提供することです。そして社内で利用するITシステムやネットワークにおける脆弱性診断は、社内システムの安全性を保ち、情報流出を防ぐことが目的となります。

どちらにせよ、単に脆弱性診断の結果を知るだけでは不十分です。診断結果に基づき、発見した脆弱性の種類や危険性を「共通脆弱性評価システム(CVSS)」をはじめとする指標をもとに定量的に評価し、必要な対策を講じることまでが重要です。
CVSSはアメリカの国家インフラストラクチャ諮問委員会(NIAC)が提唱する脆弱性に対する汎用的な評価手法で、日本のIPAも参画しています。CVSSを利用することで脆弱性の深刻度を定量的に比較することができ、対処の優先順位付けに役立ちます。

脆弱性診断のやり方

脆弱性診断には主に2つのやり方があります。1つは手動診断、もう1つはツールを用いた診断です。それぞれの方法にはメリットとデメリットがあり、適切な診断方法の選択が重要です。

方法 メリット デメリット
手動診断
  • 複雑な構成にも対応できる
  • システムやアプリケーションにカスタマイズされた脆弱性診断を実施できる
  • 時間と労力がかかるので一度に診断できる量が限られる
  • 診断実施者の経験やスキルレベルによって診断の質が変わる
ツール診断
  • 効率的に広範囲を診断できる
  • Webブラウザから利用できるツールもあるので気軽に実施できる
  • 複雑な構成への対応は難しい
  • 誤検知が多い

手動診断

手動診断は、セキュリティに詳しい診断実施者が直接システムやアプリケーションを調査し、脆弱性を特定する診断方法です。

手動で診断を実施するため、システムやアプリケーションの特有の構成に合わせてカスタマイズした脆弱性診断を実施することができます。また、診断実施者の経験や知見による診断なので、ツール診断では見つかりにくい脆弱性も手動診断によって発見できます。
診断の精度が高いというメリットがある一方、手動診断は時間がかかります。一度に診断できる量が限られるので、大量の脆弱性診断を実施することが難しいです。

また、診断実施者の経験やスキルレベルによって脆弱性診断の品質が変わる可能性があります。そのため、経験や実績豊富な脆弱性診断サービスを選ぶことがおすすめです。

ツール診断

ツール診断は、ツールを使用してシステムやアプリケーションの脆弱性を検出する方法です。手動診断とは異なり、膨大な量でも短時間で効率的に脆弱性診断を実施できるのがツール診断のメリットです。
また、Webブラウザから使用できるツールもあるので、脆弱性診断を気軽に実施できるメリットもあります。

一方、複雑なシステムやアプリケーション構成では、ツール診断の実施が難しいというデメリットがあります。また誤検知が発生する可能性もあります。
たとえ最新の脅威パターンに対応したツールだとしても、誤検知や複雑な構成によって正確な診断を実施できず脆弱性の脅威が残り、結果的に低品質な診断となるリスクがあります。

ツール診断のデメリットを補うために、手動診断と併用する、つまりハイブリッド診断を受けることをおすすめします。ハイブリッド診断は、ツール診断と手動診断のそれぞれのメリットを活かして広範囲かつ深い脆弱性診断を実施できるので、自社のセキュリティリスクを正しく把握できます。

脆弱性診断の種類

脆弱性診断は、診断対象に応じて異なる種類に分けられます。主に、アプリケーション診断、プラットフォーム診断、そしてAPI診断があります。
それぞれの診断対象や目的が異なるので、自社の環境やニーズに応じて適切な脆弱性診断を選定することが大事です。

アプリケーション診断

アプリケーション診断は、開発したWebアプリケーション内の脆弱性を特定する診断手法です。アプリケーション診断を通して、SQLインジェクションやクロスサイトスクリプティング(XSS)など情報漏えいやデータ改ざんを引き起こすWebアプリケーション特有の脆弱性を検出できます。

Webアプリケーションは動的コンテンツを提供するため構造が複雑になりがちなので脆弱性が発生しやすいです。優先的に診断を行うことをおすすめします。
ECサイトを例として考えましょう。商品情報の管理はCMS(Contents Management System)で行うことが多いですが、在庫管理は別のデータベースで行うため連携する必要があります。誰が何を買ったのかを把握するために、会員情報のデータベースや会員情報の認証システムとの連携も必須です。さらに、クレジットカード決済のための決済アプリケーションとの連携も不可欠です。

このような複雑な構造によって、脆弱性が発生するリスクをが高まります。動的コンテンツを提供するWebアプリケーションの安全を維持するため、アプリケーション診断の実施がとても重要です。

プラットフォーム診断

プラットフォーム診断は、アプリケーションを実行するための基盤となるネットワーク機器、OS、サーバ、ミドルウェアの脆弱性を特定する診断方法です。インターネットを経由してハードウェアやソフトウェアに対して診断を実施し脆弱性の検出や各種機器の設定状況の確認を行います。

システム全体のセキュリティリスクを特定し把握することができるので、新規Webサービスをリリースする前に、もしくは脆弱性診断を受けてから1年以上経過している企業において、プラットフォーム診断を実施して、自社のセキュリティレベルを改めて把握することをおすすめします。

API診断

API診断は、外部に機能やデータを提供するWeb APIのセキュリティを評価する診断サービスです。実際の不正アクセスを模擬した攻撃をネットワーク経由で行い、API特有の脆弱性を特定します。

APIとは、Application Programming Interfaceの略称で、外部サービスのデータや機能を提供・利用するために使われるインターフェースのことです。APIの利用で同じ機能を持つサービスの開発をしなくて済むため、開発効率の向上や開発コストの削減などのメリットにつながります。
そのため、モバイルアプリをはじめ、APIを利用して自社システム・アプリケーションを開発する企業が多くなっています。

ただし、APIには特有の脆弱性が存在するので、対策しないとAPIでやり取りをするデータが漏えいするリスクがあります。例えば2021年に発生した決済システムの情報漏えい事件では、暗号化されたクレジットカード番号やセキュリティコードなどの情報を復号するための復号鍵が、APIの脆弱性によって窃取されたと専門家が分析しています。
APIのセキュリティ責任は提供者側にあると考えられがちですが、利用者側にも責任があります。そのため、APIにおける脆弱性を把握することが大事です。
API診断では、APIにおける脆弱性を検出することができます。検出した脆弱性に適切に対処することで、高いセキュリティレベルを実現できます。

脆弱性診断サービスの選び方
:費用対効果も着目

脆弱性診断サービスを選定する際は、料金だけでなく、その費用に見合う効果があるかどうかにも着目すべきです。
脆弱性診断サービスにはさまざまな価格帯、数十万円から数百万円までのサービスがあります。また、無料の脆弱性診断サービスも存在しますが、サービスごとの品質が異なるため、費用だけで選定して目的や効果を見落とすことは危険です。

先述の通り、脆弱性診断の根本的な目的は、自社が提供するシステムやアプリケーションの安全性を確保することです。無料の脆弱性診断を実施した場合、経費を安く抑えることはできますが、一方で目的を達成できなかったら意味のある脆弱性診断とは言えないでしょう。実際のところ安価な脆弱性診断を受けていたが多くの脆弱性が残ってしまい、結果的にサイバー攻撃の標的となり被害が発生するケースもあります。さらに、攻撃被害の対応や復旧にかかる費用が脆弱性診断サービスの費用より高くなってしまうケースも珍しくありません。

そのため、脆弱性診断サービスの費用だけで選定するのでなく、サービス提供ベンダーの経験や実績、実施する診断内容や項目、診断後のアフターケアなども含めて、しっかり情報収集をしてから判断することをおすすめします。

脆弱性診断の対象ページの選定の必要性

とはいえ、脆弱性診断に費やせる金額の制限があるのが現実なので、脆弱性診断にかかる費用を抑えることも重要です。
脆弱性診断にかかる費用を効率的に抑えるには、診断対象を適切に選定することがとても重要です。例えば、アプリケーション診断の場合は、静的ページのような脆弱性診断を受ける優先度が低いページが存在するので、Webサイト内すべてのページに脆弱性診断を実施する必要性はありません。

また、セキュリティリスクが高いと判断されるページには手動診断を実施し、その他のページにはコスト効率の高いツール診断を適用するような工夫をすることで、脆弱性診断の全体的な費用を効果的に抑えることが可能です。
ただし、セキュリティリスクの高いページの判断には情報セキュリティに詳しい知見が必要なため、簡単ではありません。自社での判断が難しい場合は、脆弱性診断を提供する専門会社のコンサルタントと相談することがおすすめです。専門家の知見を活用することで、より効果的な脆弱性診断が実現できます。

脆弱性診断サービスなら
「サイバーセキュリティクラウド脆弱性診断サービス」

「サイバーセキュリティクラウド 脆弱性診断サービス」は国産セキュリティメーカー、株式会社サイバーセキュリティクラウドが提供する脆弱性診断サービスです。
IPAに準拠した基準に従って診断を行ううえ、OWASP、WASC、SANSなどの代表的なセキュリティ団体が掲げるWebアプリケーションの脆弱性項目を漏れなくチェックするので、質の高い脆弱性診断を提供できます。

また、サイバーセキュリティクラウドの脆弱性診断サービスはWebアプリケーション、プラットフォーム、APIの3種類の脆弱性診断サービスを用意しています。そのためシステム環境やニーズに合わせた脆弱性診断サービスが提供可能です。
25年以上にわたる診断実績と、累計約2,000システムの診断経験があるため、サイバーセキュリティクラウドの脆弱性診断サービスは多くの企業に選ばれています。さらに、下記の4つの特徴があります。

特徴①:費用対効果の高い脆弱性診断を提案

サイバーセキュリティクラウドが提供する脆弱性診断サービスは費用対効果を重視します。

サーバやアプリケーションの特性に応じて脆弱性診断をすべき対象を専門家がしっかり選定し提案します。予算を無駄にすることなく効果の高い脆弱性診断を実施します。

診断対象だけでなく、診断方法のカスタマイズも可能です。システム環境を事前にヒアリングしたり、サイトに実際にアクセスしてアプリケーションの動作を把握したりして、診断方法のシミュレーションを行います。シミュレーションの結果に基づいて最適な診断方法を提案します。
診断対象や方法の詳細については事前に提示する診断実施計画書にまとめているので、安心した脆弱性診断を受けることが可能です。

特徴②:システム負荷を軽減した安全診断

システム負荷を軽減しつつ脆弱性診断を実施するのもサイバーセキュリティクラウド脆弱性診断サービスの特徴です。

システムの状況に応じて診断に使うツールの送信頻度を調整したりして、システムにかける負荷をできるだけ抑えます。さらに、運用中のシステムにおいては事前にアクセスが集中する時間帯をヒアリングして、アクセスが集中する時間帯を避けて診断を実施します。
システムへの影響を最小限に抑えながら安全な脆弱性診断を行います。

特徴③:迅速で丁寧な報告書で結果をわかりやすく把握

脆弱性診断の結果を迅速かつ丁寧に報告するのがサイバーセキュリティクラウド脆弱性診断サービスの特徴です。

上長や経営層へ説明する場合を想定しているので、診断報告書は概要から始まる形となり、セキュリティ状況やシステムに存在する脅威などが一目で把握できます。
また、正式な診断報告書のほかにも、深刻な影響を与える恐れがある脆弱性をまとめた簡易報告書も提供しています。そのため、診断で検出した脆弱性に対して速やかに対処策を検討・実施することができるので、セキュリティリスクを軽減できます。

特徴④:再診断で安全確認を徹底

サイバーセキュリティクラウド脆弱性診断サービスではアフターサポートが充実しています。

診断後においても診断報告書に関する疑問や質問は専門家が責任を持って回答します。
また、脆弱性診断で検出した脆弱性が正しく対処・修正されているかを確認するための再診断も無料で提供します。修正されていない箇所をまとめた報告書が提供されるので、追加対処の実施がしやすくなりセキュリティ対策のレベルを向上することができます。

サイバーセキュリティクラウド脆弱性診断サービスについて詳しくはこちら

サイバーセキュリティクラウドの
脆弱性診断サービスに関して
ご不明な点がございましたら
お気軽にお問い合わせください