脆弱性診断とは?脆弱性診断の種類・特長・比較、脆弱性の脅威や統計情報まで解説
脆弱性とは?
セキュリティリスクやセキュリティホールとも呼ばれます。
コンピュータやサーバで利用するOSやミドルウェア、アプリケーションの他、ネットワーク機器などのプログラミング上の不具合、設計時のミスなどを、悪意のある第三者が攻撃や情報取得、誤操作を引き起こします。
OSやミドルウェア、アプリケーションメーカーなどはソフトウェアのアップデートでこれらの脆弱性を防ぎます。しかし、アップデートを行わなかったり、アップデートが行われる前に発見された脆弱性を攻撃されたりすることがあります。
脆弱性によるリスク・脅威
脆弱性によって引き起こされるリスクや脅威には以下のようなものがあります。
個人情報漏洩
脆弱性をついて社内ネットワークやサーバに侵入し、個人情報などが取得され、インターネット上に晒される事件が多発しています。個人情報とは顧客や取引先などの住所、氏名、連絡先などのほか、オンラインショッピングサイトの場合クレジットカード番号などが漏洩した事例もあります。
機密情報漏洩
企業活動における重要な機密情報が漏洩した事例もあります。最近では海外からのハッキングによる機密情報漏洩のほか、退職者によるデータの持ち出し、ケアレスなヒューマンエラーによる情報漏洩などの事例が多くあります。
データの暗号化(ランサムウェア)
個人や企業の端末やサーバに侵入、または悪意のあるプログラムを送り込み、端末をロックしたり、データを暗号化して利用できないようにする被害が増えております。ロック解除や暗号化解除の引き換えに金品を要求されるトラブルです。
データの改竄
Webサイトを公開しているサーバに、何らかのツールを用いてアカウント情報を取得し、Webサイトを書き換えたり、個人情報を盗み出すための仕掛けを設置したり、フィッシングサイトと呼ばれる個人情報を盗むためのサイトへ誘導したりなど、データやWebサイトを改竄する手口です。
脆弱性に関する統計情報
脆弱性によるリスク・脅威については理解できますが、実際に攻撃されるのは稀なことで自社には関係ないと思われる方もいるかもしれません。
しかし、下記の統計情報を見ていただければセキュリティインシデントが他人事ではなく、脆弱性診断が必要であるということがお分かりいただけるでしょう。
2020年を含む過去5年のセキュリティインシデント数の統計
JPCERT/CCが発表している2020年度を含む過去5年間のセキュリティインシデントの報告・調整件数は、前年度と比較して133%も増加。セキュリティインシデントの増加が顕著となっています。
2021年の脆弱性種別統計
脆弱性に関連したセキュリティインシデントは、2021年のセキュリティインシデントの約8割以上に及んでいます。
IPAが発表した、情報セキュリティ10大脅威 2022年
脅威の5つがWebの脆弱性を狙った攻撃であり、WebやNWを狙う攻撃が情報セキュリティの脅威となっています。
個人情報保護法改正で重要度を増す脆弱性対策
脆弱性対策における事業者の責務追加
個人情報取扱事業者は個人情報漏洩発生時に、個人情報保護委員会に報告する義務が追加されました。同時に、個人情報取扱事業者は漏洩が発生した際に、本人に通知する義務も追加されます。
法令違反に対する罰則強化
今回の改正で措置命令・報告義務違反における罰則が強化されました。このことにより、違反を起こすと経営問題に発展するほどの罰金が課せられる可能性が高まりました。
内容 | 現在 | 改正後 |
措置命令(42条2項、3項)の違反の罰則 | 30万円以下の罰金 | 1億円以下の罰金 |
個人情報データベース等の不正流用 | 50万円以下の罰金 | 1億円以下の罰金 |
報告義務(40条)違反の罰則 | 30万円以下の罰金 | 50万円の罰金 |
脆弱性対策方法
代表的な脆弱性対策方法をご紹介いたします。
OSやソフトウェアのアップデートを行う
OSやアプリケーションメーカーから提供されるアップデートをこまめに反映することが、基本の脆弱性対策です。そのためには、アップデート情報などを収集できるよう、日々情報取得が重要になってきます。
セキュリティ関連情報を収集する習慣を持つ
セキュリティ関連情報にも目を配る必要があります。セキュリティ情報を配信しているサイトをこまめに巡回する、SNSのアカウントをフォローする、RSSリーダーで情報を収集するなど効率よく収集できるよう心がけましょう。また、脆弱性に関するセミナーやウェビナーに参加するのも手です。脆弱性情報が収集できるだけでなく、最新の脆弱性対策方法なども効率よく入手することができます。
情報システム部など専任担当者/部署の配置
経営者の方やサイト運営ご担当者の方が、1人で上記のアップデート対応や、セキュリティ関連情報を収集することには限界があると思います。事業規模などにもよりますが、専任の担当者や専任の部署を配置して、セキュリティ対策を担当させましょう。専任担当者や専任部署を配置することで、脆弱性対策だけでなく、社内のDX化など業務推進にも役立てていくことができます。
定期的な脆弱性診断を行う
専任担当者の設置や常時情報収集が難しい場合、効率よく脆弱性診断を行う方法として、定期的に脆弱性診断を行うという方法も考えられます。脆弱性診断によって顕在化した脆弱性を対処することで効率よく脆弱性対策を行うことも可能です。
ネットアシストではコストパフォーマンスの高い脆弱性診断サービスを誤用しております。
詳しくお知りになりたい方は、こちらよりご確認ください。
2種類の脆弱性診断、Webアプリケーション診断とネットワーク診断の違い
ネットワーク診断とは?
ネットワーク診断は、OS・ミドルウェア・ソフトウェアなどが危険な設定になっていないか、セキュリティパッチが適用されているかといった、不正侵入の要因となる脆弱性を診断することができます。
Webアプリケーション診断とは?
Webアプリケーション診断とは、WebサイトやWebサイトを制御・共に動作しているアプリケーションの脆弱性を診断する方法です。データ改竄を中心とした様々な脆弱性対策における危険性を診断いたします。
ネットワーク診断、Webアプリケーション診断の大きな違いは、診断する対象が異なる点です。よってどちらかだけを診断すれば良いということではなく、ネットワーク、Webアプリケーション共に診断を行うことで脆弱性対策を行うことが重要です。
手動と自動、2つの脆弱性診断方法
自動診断3つの特長
セキュリティサービス会社のサーバから自動で診断をかける方法です。以下のような特長があります。
- 診断日程を事前にセキュリティサービス会社と調整する必要がなく、行いたいタイミングで診断できる
- 診断からレポート出力まで、最短で即日に確認することができるため、リリース直前のタイミングでも行うことができる
- 手動診断と比較してコストが抑えられているので、複数回行うのに適している
このように手順的にもコスト的にも、手動診断と比較して手軽に行えるため、定期的な脆弱性診断に適していると言えます。
手動診断3つの特長
セキュリティ診断をセキュリティサービス会社の専門知識を持つエンジニアが、手動で診断する方法です。エンジニアの知見を駆使しながら行いますので、機械的には発見しにくい脆弱性も発見できるなど、検査精度はより高い傾向にあります。特長は以下のとおりです。
- 診断項目が豊富で、より精度の高い脆弱性診断が行える
- 診断後の報告会が行われ、詳細な説明と対処方法が明示される
- 診断会社によっては、検出された脆弱性に対処した後、再診断が行われる
手動診断はコストや時間がかかる反面、診断後のサポートが手厚いため、より確実に脆弱性に対処できるといえるでしょう。
その他の脆弱性診断方法
診断会社によっては、以下のような脆弱性診断もあります。
自動診断と手動診断を組み合わせたハイブリッド型
自動診断のレポートと特定の診断箇所のみを手動で行う方法です。
期間や回数を設けた診断
自動診断を期間や回数で契約する方法です。定期的に改修などが行われるWebサービスなどに適しています。
ネットアシストの脆弱性診断サービス
ネットアシストでは、脆弱性診断専門の事業者として、実績が豊富なM&K社の「SecurityBlanket」シリーズを取り扱っております。
お求めやすい自動診断と、より精度の高い手動診断のほか、自動と手動を組み合わせたハイブリッド型や、自動診断を定期的に行うことができる年間ライセンスなど幅広いラインナップをご用意しております。
脆弱性についてお悩みや不安を抱えている方はお気軽にお問い合わせください!
ネットアシストが取り扱う脆弱性診断について、まずは資料を確認したい方は以下よりご請求ください!
ネットアシストのセキュリティサービス導入事例
ネットアシストのセキュリティサービス導入事例をご覧いただけます。
セキュリティサービス導入の参考にご覧ください。
脆弱性関連用語
JPCERT/CC
インターネット上で発生するセキュリティインシ デントについて、日本国内の報告受付・対応 支援・状況の把握・手口の分析・再発防止 の検討や助言を行う組織です。
セキュリティインシデント
情報システムの運用における セキュリティ上の問題として捉えられる事象 コンピュータのセキュリティに関わる事件や出来事全般をさしています。
IPA(Information-technology Promotion Agency, Japan)
IPAの日本名は独立行政法人情報処理推進機構と言い、経済産業省所管の日本のIT国家戦略を技術面・人材面から支えるために設立された独立行政法人です。