NECフィールディング
サイト内の現在位置
脆弱性診断(セキュリティ診断)って?
種類や方法を解説!
脆弱性診断(セキュリティ診断)とは、ネットワークやOSなどに脆弱性がないか診断することであり、システムを安全に運用するために定期的に行うプロセスです。主な脆弱性の種類とセキュリティ事故の例について確認しながら、脆弱性診断(セキュリティ診断)の重要性について確認しましょう。脆弱性診断(セキュリティ診断)の具体的な種類と方法、費用についても詳しく解説します。
近年、サイバー攻撃のターゲットは大企業だけではありません。
攻撃の対象範囲は中小企業に拡大しています。
サイバー攻撃から企業の情報資産を守るためには感染原因を確認し、多層防御を意識した対策が必要です。
ランサムウェア対策ならNECフィールディング
脆弱性診断(セキュリティ診断)って?
脆弱性診断(セキュリティ診断)は、ネットワークやOS、ミドルウェア、ウェブアプリケーションの脆弱性について診断することを言います。サイバー攻撃はそれらの脆弱性を狙って攻撃を仕掛けてくることが多いため、脆弱性を洗い出し、不正アクセスなどの悪意ある攻撃を未然に防ぐ目的で診断を実施します。
脆弱性について
そもそも「脆弱性(ぜいじゃくせい)」とは何を言うのでしょうか?
これは、パソコンのOSやソフトウェアなどにおいて、プログラムの不具合、設計ミスが原因で生じたセキュリティ上の欠陥のことを指します。OSやソフトウェアなどは、人間が設計したもので、どうしても不具合や欠陥が生まれてしまいます。そして悪意ある攻撃者は、そのような脆弱性を狙って攻撃を仕掛けてくるものなのです。
脆弱性診断(セキュリティ診断)の重要性
では、改めて脆弱性診断(セキュリティ診断)がなぜ大切なのか、考えてみましょう。
重要性1.サイバー攻撃が多様化している
あらゆる企業がビジネスでネットワークを利用し、スマートフォンが一般に広く普及するにともない、サイバー攻撃の件数は増加傾向にあります。大企業から中小企業、さらに官公庁まで、さまざまな企業・組織が標的となっており、警察庁でもサイバー攻撃に関する警告を広く呼びかけています。そのため、企業や個人のセキュリティに対する意識は上がってきているものの、攻撃者側はさまざまな手法で攻撃を仕掛けるようになってきています。単なるセキュリティ製品の導入だけではなく、適切な脆弱性診断(セキュリティ診断)が大切になっているのです。
重要性2.ネットワーク・アプリを改善できる
脆弱性診断(セキュリティ診断)は、普段から使っているネットワークやウェブアプリの脆弱性を見つけて診断するものです。日常的な運用には問題ないと思っていても、思わぬ改善点が見つかる可能性があります。さらに、その見つかった点について、すぐに改善できるところも脆弱性診断(セキュリティ診断)の良さ。診断を依頼した企業に、その改善点についても早急に対応するため相談をすると良いでしょう。
重要性3.社会的信用を高める
企業は長い時間をかけて、消費者や取引先企業から信頼を得てビジネスを行っているものです。しかし、一度個人情報の流出などの問題が起こると、社会的信用が崩れてしまうもの。失った信用を再び取り戻すためには、簡単なことではありません。それだけ、サイバー攻撃を受けることのリスクは大きいことを、企業は自覚しなければならないでしょう。
脆弱性診断(セキュリティ診断)などのセキュリティ対策にはコストがかかるものですが、それだけ必要なものであると認識することが大切ではないでしょうか。
重要性4.コストの削減
セキュリティ対策の必要性は理解していても、闇雲に対策を行っていたのでは、コストがかかりすぎたり、コストパフォーマンスが悪くなったりしかねません。逆に専門家による本格的な診断はコストが高く、確かに効率は良いかもしれませんが、コスト面を考えると最適とは言えない場合もあるでしょう。その点、脆弱性診断(セキュリティ診断)は、比較的簡単に効率的に脆弱性についてチェックできるシステムです。余計なコストや無駄な作業は省いて、効率的にセキュリティ対策を行えると言えます。
脆弱性診断(セキュリティ診断)が注目される背景
あらゆる分野で、企業にとってネットワークやパソコンの利用は必要不可欠です。しかしネットワークやWebアプリケーションを使う上で、サイバー攻撃を受けるリスクはつきもの。ウェブサイトが勝手に改ざんされたり、不正アクセスで個人情報や機密情報が流出したり、近年はそのような大規模な被害が後を絶ちません。万が一、そのようなサイバー攻撃を受けると、企業が受けるダメージは社会的信用問題にもつながるものです。そのため、脆弱性診断(セキュリティ診断)が注目されているのです。
主な脆弱性の種類
ソフトウェアによくある脆弱性には、どのようなものがあるか整理してみましょう。
種類1.SQLインジェクション
SQLは「Structured Query Language」の略で、データベースを操作するために必要な「データベース言語」のことです。そしてSQLインジェクションとは、そのデータベースを操作するための命令文の中に、不正に操作できるような細工を組み込んで悪意ある攻撃を仕掛けること。それにより、外部からデータベースを操作して、格納されている個人情報や機密情報などを盗み出します。場合によっては、盗み出された情報が流出することになります。
種類2.バッファオーバーフロー
バッファは、緩衝材のような役目を指し、パソコンの分野ではデータの保管領域のことを言います。バッファオーバーフローとは、バッファがあふれてしまう状態のこと。バッファオーバーフロー状態になると不定の動作などが起きて、不正にデータが上書きされることも考えられます。悪意ある攻撃者は、わざと許容量を超える大量のデータやコードを送りつけ、それによって実行中のプログラムの強制停止や、管理者権限の乗っ取りなどを行います。
種類3.クロスサイト・スクリプティング
クロスサイト・スクリプティングとは、掲示板、ウェブサイト上のアンケートなどに悪意ある命令を埋め込ませ、偽の不正ページを表示させること。例えば、入力フォームの偽ページを表示させ、そこに入力された個人情報や金融機関の情報を搾取したり、マルウェア感染させたりするのです。
種類4.CSRF(クロスサイト・リクエスト・フォージェリ)
CSRF(クロスサイト・リクエスト・フォージェリ)は、ユーザが悪意のあるURLにアクセスした場合、勝手に意図しないリクエストが送られてしまうもの。サイトを横断的に、リクエストを偽装する攻撃であることから、クロスサイト・リクエスト・フォージェリという名前が付けられています。
種類5.セッション管理の不備
ウェブアプリケーションの中には、利用者を識別するためのセッションIDを発行して、その管理を行っている場合があります。しかしこのセッションIDの発行や管理に脆弱性があると、悪意のある攻撃者がセッションIDを不正に取得して、その利用者になりすましてアクセスすることがあります。すると、利用者がログインしてからではないと利用できない、送金や商品購入などで、勝手にショッピングや送金するなどの不正行為が行われるリスクが生まれます。
種類6.HTTPヘッダインジェクション
WebブラウザがWebサーバに対して送信するHTTPリクエストに、不正な文字列を紛れ込ませる攻撃のこと。ブラウザ上で偽の情報が表示されたり、任意のスクリプトが埋め込まれたりする可能性があります。スクリプトが埋め込みはさまざまな攻撃の糸口となるリスクをはらんでいます。
種類7.OSコマンドインジェクション
WebサーバへのリクエストにOSへの命令文を紛れ込ませて、Webサーバ側で想定しないような不正な動きを実行させる攻撃の手法です。するとサーバ内に保存されたファイルやデータが不正に閲覧されたり、改ざん、削除されることが考えられます。また個人情報が流出するリスクや、サーバに不正なプログラムをダウンロード・実行させたり、他のシステムへの攻撃の踏み台にしたりすることも考えられます。
種類8.サービス運用妨害 (DoS)
DoSとは「Denial of Service」の略で、サービス運用妨害のこと。DoS攻撃は、Webサービスの運用や提供を妨げる攻撃を言います。悪意ある攻撃者はWebサイトに不正リクエストを送りつけます。すると、WebサーバのCPUやメモリがフル稼働され、処理速度が遅くなり、プログラムが異常終了してしまうのです。ECサイトなどでこの攻撃を受けると、ユーザの購入機会が失われることになり、企業は不利益を受けることになります。
種類9.メール不正中継
攻撃者によってサーバの電子メール配送プログラムが不正利用されると、受け取り先のサーバとは関係のないメールが第三者によって送り付けられてしまうことが発生します。スパムメールの踏み台(中継地)に利用されて、スパムメールを受け取った人から苦情や問い合わせを受けて、その対応に追われることになりかねません。また、スパムメールによってサーバの負荷が大きくなり、パフォーマンスが低下する影響も考えられるでしょう。
種類10.ディレクトリトラバーサル
ディレクトリトラバーサルとは、一般に利用を許可していないファイルを不正にアクセスする攻撃です。サーバ上のファイルを参照されて、個人情報や機密情報が閲覧されたり漏えいしたりする可能性があります。また、管理者のアカウントやIDが盗まれて、システム自体を乗っ取られて、なりすましの不正利用などが行われる危険性もあります。
セキュリティ事故の例
脆弱性や脆弱性診断(セキュリティ診断)の重要性について理解するために、実際にあったセキュリティ事故の例について見てみましょう。
事例1.Webサイトの書き換え
Webサイトが不正に改ざん・書き換えされる例は、インターネット上でよく発生する事故のひとつです。企業のWebサイトはもちろん、官公庁や自治体のWebサイト、教育機関が狙われて実際に改ざんされたこともあります。Webサイトの改ざんは高度な攻撃に思われるかもしれませんが、実際は脆弱性をついてくるような基本的な情報セキュリティ対策を怠ったことが原因であることが多いです。
事例2.顧客のメールアドレスの漏えい
さまざまなブランドやサービスがメールマガジンの配信を行っているでしょう。それらに登録したメールアドレスが漏れて、大量の不正アドレスが届くようになるケースも少なくありません。またある日から突然、見知らぬ企業やショップを名乗るメールが次々と届くようになったら、どこかで自分のメールアドレスが漏れてそれが使われていることが考えられるでしょう。
事例3.SNSアカウントの乗っ取り
企業は自社や自社ブランドそれぞれのSNSを持ち、ファン作りや顧客とのコミュニケーションに利用しています。しかしそのSNSアカウントが何者かに乗っ取られる事故も少なくありません。アカウントに関するユーザIDやパスワードがどこからか漏れてしまい、それによって悪意ある人物がなりすましてログインしていると考えられます。もしなりすましで、偽の情報や企業に不利益なことを発信したら、大きな被害につながりかねません。
脆弱性診断(セキュリティ診断)の種類
脆弱性診断(セキュリティ診断)は1種類ではなく、さまざまな種類のものがあります。
Webアプリケーション診断
Webアプリケーション(ソフトウェア)や、スマートフォンに入れているアプリケーションに関して、脆弱性を診断するものです。具体的には、パラメータの改ざん、クロスサイトスクリプション、OCコマンドインジェクションなどの項目が設けられ、疑似サイバー攻撃をしかけて脆弱性がないか確認します。
プラットフォーム診断
OS、ミドルウェア、ネットワーク機器の脆弱性について、調べるものです。Webサイト、メールサーバ、ファイル共有サーバなどの社内共有システムなどについて、実際に侵入を行って脆弱性がないか確認します。
ネイティブアプリ診断
ネイティブアプリとは、App StoreやGoogle Playなどのアプリケーションストア経由でインストールして使うアプリのことを言います。それらのアプリについて脆弱性がないか診断するのが「ネイティブアプリ診断」です。
脆弱性診断(セキュリティ診断)の方法
脆弱性診断(セキュリティ診断)は、具体的に手動やツールを使った診断方法、リモートやオンサイトで行う診断方法などの種類があります。
手動診断とツール診断の違い
手動診断とは、サイバーセキュリティに関する専門知識を持った診断員が、実際に手を使ってWebアプリケーションなどの検査を行って診断する方法。一方、自動検査ツールを用いて診断するのがツール診断です。
手動診断は診断ツールでは発見できないような精度の高い発見が可能であったり、診断後のレビューや改善策などの対応もきめ細かくしてもらえるといったメリットがありますが、診断は診断員のスキルに依存するものであり、費用が高いというデメリットがあります。 ツール診断はコストをかけずに、効率的に検査が可能でコストパフォーマンスがいいもの。ただし、このようなツールを使いこなすためには審査員のトレーニングが必要という面があります。
リモート診断とオンサイト診断の違い
脆弱性診断(セキュリティ診断)は、リモート診断とオンサイト診断の2つに大別できます。リモート診断は、インターネットを経由してクライアントのネットワークに接続して診断を行います。それに対して、オンサイト診断は、実際に診断員が企業のもとを訪れて、接続している機器について検査をしていきます。
リモート診断は気軽に依頼しやすく費用も安く抑えられますが、オンサイト診断の方がコストはかかりますが、より踏み込んだ診断が可能になるでしょう。
脆弱性診断(セキュリティ診断)の費用
脆弱性診断(セキュリティ診断)の費用は、少額のものから高額の場合まで、さまざまです。実施する診断の種類やリモート・オンサイトどちらで診断をするかなどで費用は大きく変わってきます。
企業へ相談する際は具体的ではなくても問題ありませんが、
- 予算
- 実施したい診断内容
- どういった脆弱性に不安があるか
などを決めたうえで連絡をすると良いでしょう。
WebセキュリティならNECフィールディング
脆弱性診断(セキュリティ診断)はさまざまな企業が行っていますが、その中でもおすすめしたいのが、NECフィールディングが提供するWebセキュリティ診断サービス。
専門知識を有するセキュリティエンジニアが、診断用パソコンと診断用携帯端末からインターネット経由でWebサイトの安全性をチェック。基本的に手作業で行うため、安全性と精度が高いことが特徴です。
診断結果は報告書にまとめ、脆弱性の説明やリスク、対処方法などの詳細について説明し、スコアでわかりやすく提示します。「スマートフォン向けコンテンツに対しても的確な診断を得られた」「診断結果に従って、すみやかに脆弱性を修正できた」など、利用した方からは高く評価する声が寄せられています。
▼Webセキュリティ診断サービス
https://www.fielding.co.jp/service/security/websecurity_check/
まとめ
ネットワークやOS、Webアプリケーションに脆弱性はつきものです。そしてその脆弱性をついて悪意ある攻撃を仕掛けてくる例は後を絶たず、サイバー攻撃とセキュリティ対策はいたちごっこと言わざるを得ません。しかしセキュリティ事故の例で紹介したように、ひとたびサイバー攻撃を受けると、その被害は大きく、一気に社会的信用を失うこともあり得ます。そのため、セキュリティ対策はそのような大きなリスクがあると理解して行うことが必要です。
脆弱性診断(セキュリティ診断)について、定期的に行うことを検討してはいかがでしょうか。
関連サービス
関連記事
職場に潜む危険性・有害性を特定し、リスクの高さを見積もって、低減するための対策を行っていくリスクアセスメント。労働安全衛生法によって、事業者の努力義務として定められています。この記事では、リスクアセスメントの基礎知識を確認、リスクとは何か、安全とはどんな常態化を確認したうえ、リスクアセスメントの必要性、労働安全衛生法に定められた項目を紹介、さらにリスクアセスメントの具体的な進め方を紹介します。
ネットワークを標的とするサイバー攻撃は日々巧妙化しており、被害件数も増えています。しかし、システムは複雑化し、そのセキュリティ対策も難しくなってきました。
対策が不十分でネットワーク上に脆弱性があれば、企業や組織にとって大きな不安要素となります。ネットワーク診断によって早期に脆弱性を発見し、セキュリティを強化してサイバー攻撃やデータの漏えいを防ぐことが重要です。 今回は、ネットワーク診断の必要性や診断の内容、サービスを選ぶポイントなどを紹介します。
SQLインジェクションとは、Webアプリケーションのデータベースを不正に攻撃するサイバー攻撃のひとつです。今回は、攻撃の仕組みや手口、SQLインジェクションの種類、攻撃を受けたときの被害・脅威について解説します。その上で、SQLインジェクションに有効な対策を考えていきます。
発行元:NECフィールディング
お客さま事業・業務にお役立ていただける情報をお届けします。
ご相談はお問い合わせフォームよりご連絡ください。
※当社は法人向けサービスを提供しているため、個人のお客さまに対してはサービス提供できません。あらかじめご了承ください。