脆弱性診断（セキュリティ診断）とは？ 必要性や具体的な方法を解説

脆弱性診断とは、ネットワークなどに悪用される脆弱性がないか確認すること

コンピューターのOSやソフトウェア、システムなどにプログラムの不具合や設計ミスが原因で発生するセキュリティ上の欠陥（セキュリティホール）を脆弱性と呼びます。情報の安全性を脅かす恐れのある脆弱性があると、サイバー攻撃によってネットワークに侵入され、機密情報の漏洩や企業の信用失墜などにつながる危険性があります。脆弱性診断とは、そのようなリスクを防ぐため、ネットワーク内に脆弱性が潜んでいないかどうかを確認するセキュリティ診断です。企業が現状抱えているセキュリティ上の課題に応じた対策を講じることが重要です。

脆弱性診断とペネトレーションテストとの違い

脆弱性を把握する手段には、脆弱性診断のほかに「ペネトレーションテスト」があります。ペネトレーションテストとは、実際に攻撃を受けた場合を想定したシナリオを用いて、システムやネットワークがどこまで被害を受けるかを確認し、問題点を発見・改善するためのテストです。これに対して脆弱性診断は、システム全体の網羅的な検査を通して、マルウェアの感染や不正アクセスなどのサイバー攻撃のきっかけとなる脆弱性を発見する点がペネトレーションテストとの違いです。

脆弱性診断の目的

脆弱性診断は、情報の安全性を脅かす欠陥がどこにあるのかを見つけるために行うものです。自社が現状抱えている課題のすべてを診断するのではなく、優先的にクリアしておきたい課題を決めて、明確な目的を持って実施する必要があります。ここでは、脆弱性診断の主な目的を見ていきます。

セキュリティインシデントの発生・被害を減らすため

マルウェアの感染や不正アクセスなど、セキュリティ上の脅威となるセキュリティインシデントのリスクを低減させるためには、脆弱性診断の実施が不可欠です。システムやネットワークにセキュリティインシデントが発生した場合、企業にとって重大な被害や損失が発生します。機密情報の漏洩や金銭的な損失だけでなく、顧客や取引先からの信頼を失うなど、企業の信用失墜にもつながりかねません。

しかし、自社のシステムやネットワークに潜む脆弱性を事前に見つけておけば、脆弱性の実態を理解して適切な対策が講じやすくなるはずです。脆弱性診断を行うと、セキュリティインシデントの発生を未然に防ぎやすくなるほか、万が一セキュリティインシデントが発生した際にも、被害を軽減できる可能性が高まります。

セキュリティ対策のコスト削減のため

脆弱性を特定した上でそれらのリスクにランクづけをすると、自社が講じるべきセキュリティ対策の優先度や緊急性が判断しやすくなり、セキュリティ対策のコスト削減にもつながります。セキュリティ対策を講じておくことはあらゆる企業にとって重要課題ではあるものの、それらの対策のためにはコストがかかるのも事実です。また、多くのコストをかけさえすれば、万全のセキュリティ対策を講じられるとも限りません。脆弱性診断は、セキュリティ対策の費用対効果を最適化する上でも重要な施策といえます。

脆弱性を放置することで生まれる具体的リスク

システムやネットワークに脆弱性が潜んでいるものの、発見されないまま放置した場合、どのようなリスクが生じるのでしょうか。想定されるリスクは下記のとおりです。

攻撃者にサイバー攻撃の機会を与える

脆弱性を放置すると、攻撃者にネットワークへの侵入の機会を与えます。攻撃者から見れば「ここからネットワークに入ってきてよい」という目印を与えられているようなものともいえます。例えば、自宅の玄関の鍵が壊れて施錠できなくなってしまったとしたら、大半の人は急いで修理をするはずです。脆弱性をそのままにしていることは、玄関の鍵が壊れていて誰でも容易に自宅に出入りできる状況を放置していることと同様です。確実に施錠できる状態になっているか、外部から容易に侵入できる鍵ではないかといったことを確認し、攻撃者がネットワークに侵入するリスクをなくすためにも脆弱性診断の実施は重要です。

マルウェア感染の危険性が広まる

脆弱性が放置されていると、マルウェア感染の危険性も高まります。例えば、脆弱性が潜んでいるWebサイトやWebアプリケーションを放置したままにすると、そのWebサイトやWebアプリケーションのサービスを利用する顧客や取引先のシステム・ネットワークがマルウェアに感染したり、サイバー犯罪に巻き込まれたりする危険性が高くなります。

近年はサプライチェーン攻撃の事例も増加しています。サプライチェーンに位置する企業のうち、1社でも脆弱性を放置していれば、サイバー攻撃の標的となりかねません。攻撃者は脆弱性を放置していたその1社を足掛かりにして、サプライチェーン上の取引先企業にもネットワークを通じて侵入が可能です。マルウェア感染の危険性は自社だけの問題ではないことを理解しておく必要があります。

金銭目的のサイバー犯罪に巻き込まれる可能性がある

昨今のサイバー攻撃は、ビットコインをはじめとする暗号資産の広まりとも密接にかかわりながら、ブラックマーケットを形成しています。攻撃対象の情報資産を無断で暗号化し、復号と引き換えに身代金を要求するランサムウェア攻撃にも注意が必要です。企業規模を問わず増加しているサイバー犯罪の被害に遭わないようにするためにも、脆弱性を調査して把握し、適宜修正するといった対策は不可欠です。脆弱性診断の実施は、こうした金銭目的の犯罪に巻き込まれるのを防ぐ意味においても重要となります。

脆弱性診断の対象

脆弱性診断は、診断する対象ごとに分類されています。それぞれどのような診断があるのか具体例を紹介します。

Webアプリケーション診断

Webアプリケーション診断とは、インターネットを介してWebブラウザ上で動作するアプリケーションを対象とした情報漏洩や改ざんなどにつながる脆弱性の有無をチェックする脆弱性診断のことです。独立行政法人情報処理推進機構（IPA）の公表データによれば、アプリケーションなどの脆弱性に関する届出のうち、Webサイトが全体の72％（※1）を占めています。このデータにも表れているとおり、Webアプリケーションのセキュリティ対策が十分に講じられているかは重要なポイントです。Webアプリケーション診断におけるチェック項目の例としては、下記のようなものが挙げられます。

スマートフォンアプリ診断

スマートフォンアプリ診断とは、スマートフォン上で動作するアプリについて、脆弱性の有無をチェックする脆弱性診断のことです。アプリとサーバー間の通信もスマートフォンアプリ診断に含まれます。スマートフォンアプリ診断におけるチェック項目の例としては、下記のようなものが挙げられます。

プラットフォーム診断

プラットフォーム診断とは、サーバーやネットワーク機器の脆弱性の有無をチェックする脆弱性診断のことを指します。プラットフォーム診断におけるチェック項目の例としては、下記のようなものが挙げられます。

プラットフォーム診断では、上記のような診断対象に対して、ネットワークスキャンの実施や各機器の設定の確認などを通じて脆弱性を洗い出します。また、Japan Vulnerability Notes（JVN）の「脆弱性レポート一覧」（※2）などに公開されるプラットフォームの脆弱性に関する最新情報を収集し、脆弱性診断に役立てるのも重要なポイントです。

そのほかの診断対象

ここまでに挙げたもの以外にも、脆弱性診断の対象は多岐にわたります。下記は、脆弱性診断の対象となり得るものの一例です。

基本的な考え方として、例えばIoT機器などの新たな機器を導入すれば、脆弱性が生じるリスクも高まることになります。脆弱性診断の対象はシステムやネットワークそのものをはじめ、オフィス環境やIoT機器を扱う従業員も含まれます。

脆弱性診断の方法

脆弱性診断の実施方法には、大きく分けてツールで診断を行う方法と、手動で診断を行う方法の2種類があります。それぞれの特徴やメリット・デメリットをご紹介します。

ツールで診断を行う

自動検知ツールなどの脆弱性診断ツールを活用すれば、システム全体の脆弱性をチェックできます。膨大な量の診断対象を短時間で診断できる点は大きなメリットですが、細部においては診断に漏れが生じる可能性もゼロとはいえない点がデメリットです。デジタル庁が公開しているガイドラインにおいても、ツールによる診断は下記のように説明されています。

手動で診断を行う

手動による診断とは、セキュリティ専門家などが手動操作によって脆弱性を1つずつチェックしていく手法のことです。ツールによる診断ではカバーしきれない細部にわたる診断が可能な点がメリットですが、ツール診断よりも作業時間やコストがかかる点はデメリットです。ツールによる診断でシステム全体の脆弱性をチェックしたのち、より重点的にチェック診断すべき箇所を手動で診断する方法もあります。手動による診断は、「リモート診断」と「オンサイト診断」の2種類に大別できます。

リモート診断

リモート診断とは、遠隔地からインターネット回線を通じて診断を実施する方法のことです。インターネット上に公開されているアプリケーションや、公開セグメント上のサーバーなどに関する脆弱性を診断したり、通信制限が適切に行われているかを診断したりする際に活用されます。

オンサイト診断

オンサイト診断とは、システムやネットワークが設置されている現地へエンジニアが出向き、脆弱性を直接診断する方法のことです。インターネット上に公開されていないアプリケーションや、スタンドアロン環境で使用している機器なども含めた診断が可能となります。なお、エンジニアを現地に派遣する必要があるため、リモート診断と比べてコストが高くなりやすい点には注意が必要です。

脆弱性診断サービスを選ぶ際のポイント

脆弱性診断を実施する際には、診断を専門的に扱っているサービスを活用するケースが多く見られます。ここでは、脆弱性診断サービスを選ぶ際のポイントをご紹介します。

診断する範囲で選ぶ

脆弱性診断サービスによって、診断可能な範囲や対象には違いがあります。各サービスが対応している診断項目を確認した上で、自社に必要な脆弱性診断が可能かどうかを判断基準とするのは1つの考え方です。脆弱性診断が必要な範囲がすでに明確になっているようなら、この考え方で脆弱性診断サービスを選ぶことができます。なお、自社がまだ把握しきれていない脆弱性が潜んでいる可能性があることには注意が必要です。

診断の深度で選ぶ

前述の「診断する範囲」と併せて確認しておきたいポイントとして、「診断の深度」があります。ツールによる診断か、手動による診断かによって診断の深度に差が生じることは十分に考えられます。そのため、具体的な診断方法を確認した上で、それらが必要としている診断の深度を満たしているかどうかを判断することも大切です。なお、ツールによるシステム全体の脆弱性診断に加えて、重点的にチェックしておくべき箇所に関しては、手動による診断を依頼するという方法もあります。

診断費用で選ぶ

脆弱性診断にかかる費用や診断の実施頻度を参考に、サービスを選ぶ方法もあります。無料で利用可能なツールから数百万円単位の診断料が必要なものまで、脆弱性診断サービスは千差万別です。1回の支払いのみで数回にわたって診断が可能なケースもあります。想定している脆弱性の規模や診断項目、実施頻度などを総合的に判断し、費用対効果のバランスを考慮して選ぶことが大切です。

アフターフォローで選ぶ

脆弱性診断の実施だけでなく、発見された脆弱性に対して、どのような対策を講じるべきかを、示してもらえるか否かを判断基準とする方法もあります。診断後に報告書の作成・納品に対応してくれるか、講じるべき対策方法の提案および改善後の再診断が可能かどうかなど、アフターフォローの内容は脆弱性診断サービスによってさまざまです。具体的なアフターフォローの内容については、事前に確認しておくことをお勧めします。

脆弱性診断の実施頻度

脆弱性診断の実施頻度に関しては、一律の基準や目安は存在しません。しかし、セキュリティを強固な状態に維持するためにも、定期的な実施をお勧めします。近年のサイバー攻撃の手口は巧妙化・複雑化に拍車がかかっており、あらゆる組織は常に外部からの脅威にさらされている状況です。常に脅威に備えるという意味においても脆弱性診断を定期的に実施し、情報漏洩事故などのリスクを未然に回避することが大切です。

脆弱性対策の着実な実施に「SKYSEA Client View」の導入をご検討ください

システムやネットワークに潜む脆弱性の発生源や深刻度は常に変化しています。脆弱性診断は一度実施すれば終わりというものではなく、定期的な実施でセキュリティを強固な状態に保つことが重要です。

クライアント運用管理ソフトウェア「SKYSEA Client View」では、脆弱性対策情報ポータルサイト「JVN」が提供する脆弱性情報を効率的に取得することができ、更新プログラム適用などの対応をサポートする機能をご用意。「SKYSEA Client View」で管理しているソフトウェア資産と、それにひもづく最新の脆弱性情報をまとめて確認できるほか、一定の危険性を超える脆弱性を検知した際に管理者へアラートで知らせることが可能です。脆弱性対策を着実に実施していきたい事業者様は、「SKYSEA Client View」の導入を検討されてはいかがでしょうか。