脆弱性診断とは?

はじめに

セキュリティという言葉は現代においてものすごく重要なワードです。その中でも脆弱性診断とは何か?をフォーカスし、どのように行うのかを簡単に記載したいと思います。実際の脆弱性診断についてはこちらで執筆しているのでよかったら覗いてください。

目次

脆弱性診断とは

脆弱性診断とは、システムやアプリケーション、ネットワークなどに攻撃の恐れのある脆弱性があるかどうか診断する手法です。セキュリティ専門家がチェックすることにより、システム開発者では気づけなかった脆弱性を発見することができます。

必要性

なぜ脆弱性診断をする必要があるのでしょうか。
脆弱性診断を行うことにより、下記メリットがあると考えれます。
1. システムやアプリケーションの脆弱性セキュリティ向上
2. 最新脅威の対策
3. 信頼性の向上

  1. システムやアプリケーションのセキュリティ向上
    脆弱性診断を行うことで得られるセキュリティ向上例としては下記が挙げられます。
    ・インターネットからアクセス可能なポートの確認
    →本来使用しないポートを把握することで、使用しないポートからの攻撃を防ぐことができます。
    ・OSやミドルウェアなどのバージョンが低いため、既知の脆弱性を放置したままになっていないかの確認
    →最新のバージョンアップに脆弱性対策が含まれていた場合、バージョンが低いと対策ができていないことが分かってしまい脆弱性を突かれる恐れがあります。
    ・会員サイトであれば他ユーザーの情報を盗み見ることができるか、一般ユーザーでログインしたが、管理者の権限を持っているなどの確認。
    →認証認可の診断で、
    ・SQLインジェクションやXSSなどの被害の多い脆弱性を診断し、修正を行うことでセキュリティの向上が期待できます。
    →OWASPと呼ばれるWebアプリケーションに特化した最新サイバー攻撃の情報を発信している団体があります。その中でもTOP10に入っている攻撃は頻度が高いため脆弱性を発見し対策する必要があります。
  2.  最新脅威の対策
    定期的に診断を行うことで、最新の攻撃の対策を行うことができます。昨年脆弱性診断を行った時に脆弱性が発見されなくても、次回診断時に脆弱性が発見されることもあります。また手動診断の場合は、診断士の診断の仕方によっても脆弱性が発見されることがあります。
  3. 信頼性の向上
    脆弱性診断を行うことにより、システムやアプリケーションの信頼性の向上を図ることができます。現代においてはサービスリリース時セキュリティ診断が必要な場合がほとんどですので、リリースを行う前に前もって脆弱性診断と修正期間、再診断のスケジュールを確保することが望ましいです。

診断の仕方

    脆弱性診断の流れとしては事前調査→診断→報告書の順で行います。

  1. 事前調査
    脆弱性診断では対象のシステムやアプリケーションの機能を確認し、ユーザーがどのようにアクセスするのか、どのような構成をしているのかを確認します。診断には専用のツールを使用するので、事前に調べた情報を基にツールの設定をしていきます。会員サイトであれば専用のツールにIDやパスワードを入力します。

  2. 診断
    専用のツールによる診断を行います。BurpSuiteやOWASPZAPではプロキシサーバを経由し診断を行います。詳しくはこちらに診断の仕方を載せていますので確認してください。

  3. 報告書
    脆弱性が出た場合は、どのくらいの危険度なのか、どういった脆弱性なのかを報告書にまとめます。細かい報告書になると、脆弱性の対策、修正の仕方が記載されている場合があります。その結果を基に修正を行います。バージョンアップ時や修正を行うことでの不具合がある場合があるので、リリース後は検証環境で修正を行い、本番環境に適応するのが好ましいです。

まとめ

脆弱性診断については定期的に自動で行うタイプから、その都度手動で検査を行うタイプがあり、予算も大幅に違います。脆弱性診断は一度やればおしまいではなく、定期的に行う必要があるため、自社のセキュリティプランに合ったサービスを選択することをお勧めします。スカイアーチではどちらのタイプの脆弱性診断もございますので、お気軽にお声がけください。

投稿者プロフィール

sekoguchi