最終更新日:2024-07-18
脆弱性診断に興味がある、もしくは脆弱性対策の強化を検討している開発部門の方へ。脆弱性診断の仕組みや特徴をふまえて、自動診断と手動診断の違いやおすすめのサービスについて解説します。
脆弱性診断とは、コンピューターシステムやソフトウェアに存在する脆弱性を特定・評価し、その脆弱性を悪用した外部からの攻撃を防ぐためのシステムやサービスを指します。
脆弱性(Vulnerability:バルネラビリティ)とは、コンピューターシステムやソフトウェアにおいて、セキュリティを低下させる要因となる欠陥や弱点のこと。脆弱性はシステムの設計、開発、運用のあらゆる段階で発生する可能性があり、主に以下のようなものが挙げられます。
| 設計上の脆弱性 | システムの設計に欠陥があるために発生する脆弱性 |
|---|---|
| 開発上の脆弱性 | システムの開発プロセスに欠陥があるために発生する脆弱性 |
| 運用上の脆弱性 | システムの運用プロセスに欠陥があるために発生する脆弱性 |
脆弱性を放置していると、システムへの不正アクセス、システムの改竄、データの盗難といった攻撃を受ける可能性が。そのため定期的な脆弱性診断によって、システムに潜在するリスクを早期に発見し、適切な対策を講じる必要があります。
どれだけ入念にチェックしたとしても、システム設計や開発段階ですべての脆弱性を検出することは不可能です。新しい攻撃方法が開発されるペースも早いため、システム運用中に予想外の脆弱性が発見されるケースもあります。
脆弱性診断を行なうタイミングは、機能開発するたびに脆弱性診断を実施するというのが理想的です。しかし、コストなどの関係から、徹底してタイムリーな脆弱性診断を実施している企業は限られています。
「1年に1回」「半年に1回」といったスパンで診断を行なうのが現実的な解決策といえるでしょう。社内のセキュリティ・ポリシーで、脆弱性診断を年に1回は実施することを定めている企業も多くあります。また、開発とリリースのサイクルが早いアジャイル開発では、脆弱性が増えていく可能性も高まるため、より短いサイクルで脆弱性診断を行なう必要があるでしょう。
脆弱性診断のサービスやツールについては、「脆弱性診断サービス・ツール比較15選!選び方や無料ツールも」でもご紹介しています。
脆弱性診断のサービスやツールをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
“脆弱性診断ツール”の 一括資料ダウンロードする(無料)
脆弱性診断サービスやツールのさらに詳しい選び方は、こちらの選び方ガイドをご覧ください。
脆弱性診断サービスの選び方ガイド
脆弱性診断の対象範囲は、システムの構成や目的によって異なります。一般的には「アプリケーション診断」と、ハードウェア機器も含めた「プラットフォーム診断」のレイヤーに分けられます。具体的な対象範囲は以下のとおりです。
| アプリケーション診断 | Webアプリケーション、Webサービス、データベース、ミドルウェア など |
|---|---|
| プラットフォーム診断 | 各種サーバーにおけるOS・ミドルウェア・サーバー用ソフトウェア、ネットワーク機器 など |
また、iOSやAndroid OS上で動作するスマホアプリに特化したスマホアプリ専用の脆弱性診断も存在します。
脆弱性診断の診断項目は、システムやアプリケーションの種類によって異なりますが、一般的には、以下の項目が診断されます。
様々な診断項目の中から、自社のシステムに合ったものが含まれるサービスを選択する必要があります。
脆弱性の診断方法には、大きく分けてツールによる自動診断と専門家による手動診断があります。また、両者を組み合わせたサービスも提供されています。
脆弱性診断ツールは、「事前設定」⇒「診断の実施」⇒「診断結果の確認」の流れで、システムに潜在する脆弱性を自動的に検出します。ツールの自動診断の強みは、手動診断の脆弱性診断よりも短時間で多くの脆弱性を検出できること。また、基本的に無料で利用できるオープンソースのツールや、リーズナブルな価格のツールを選べばコスト削減にもつながります。
反対に注意が必要なのは、システムに潜在するすべての脆弱性を検出できるとは限らないという点です。自動診断で検出された脆弱性を修正した後も、引き続きシステムに脆弱性が残っていないか確認する必要があります。また、安価なツール診断には「誤検知に紛れて本当のリスクを判断できない」「対象となるシステム環境特有の構成上の問題にカスタマイズされた対応ができない」といった懸念点も。
<事前設定と診断の実施>
事前設定や診断の実施方法が容易であることも、自動診断ツールの導入メリット。最も簡単なパターンであれば、「診断対象のドメインを確認」して、「診断対象を設定(対象URLの登録など)」するだけで診断開始できます。また、ツールによってはシナリオ作成機能を搭載。たとえば「Vex」では、画面遷移図をもとにした検査シナリオを作成して、診断を実施する方式にも対応しています。
加えて、以下のようなシステム環境に対応したサービスもあります。
あらかじめ認証情報を設定しておけば、その認証情報を使ってアプリケーションにログインし、診断を実施するサービスがあります。たとえば、「Security Scan」では認証情報をアップロードすることで、ログイン認証が必要なWebアプリケーションの診断にも対応できます。
フォームへの入力が必要なシステムの場合は、自動でフォーム入力を行うサービスもあります。たとえば「Securify」では、フォームの項目を判定して、AIが適切な数値を自動で入力してくれます。
このように、専門知識がなくても使いやすく、簡単な手続きのみで脆弱性診断が開始できるように各サービスで工夫が施されています。
<診断結果の確認>
以下は診断結果の確認画面の一例です。「Securify」では、様々な攻撃に対するセキュリティレベルがスコアとして表示されます。この例では、「パストラバーサル」や「コマンドインジェクション」といった攻撃に対する診断結果をスコアで確認できることがわかります。
(出所:Securify公式Webサイト)
また、下図のように、「どこを脆弱性と判断したのか」「どんな脆弱性なのか」といった解説や、具体的な修正方法の提案までカバーしたサービスがあります。更に、検出された脆弱性に関する修正対応の有無といったステータス管理ができるサービスも。
(出所:Securify公式Webサイト)
手動診断では、まず、専門家が診断対象となるシステムの概要を把握したうえで、システムのソースコードや構成ファイルについて調査します。この際、システムの動作をテストして脆弱性を探るといった手法も用いられます。
まず、ツールを使った自動診断では発見が難しい脆弱性も、専門家なら見落としにくいという強みがあります。ツールを使った自動診断よりもコストがかかりますが、Webアプリケーションやプラットフォームの特性に合わせて、診断すべき脆弱性を提案してくれたり、診断結果を報告書にまとめて報告してくれたりと、手厚いフォローも魅力です。更に、オプションで改善後の再診断に対応してくれるサービスも。
たとえば、以下のような診断内容を提供。専門家が多角的な視点でリスクを可視化し、潜在的な脆弱性を検出していきます。
このように、手動診断ではシステムに合わせたきめ細やかな診断が可能なので、一般的には自動診断ツールより精度が高いと考えられます。ただし、手動診断では検出できなかった脆弱性が、ツールによる自動診断で検出されることがあるなど、すべての面で手動診断が優れている訳ではありません。
脆弱性診断の費用は、診断対象の規模や診断方法によって大きく異なります。
ツールであれば月額50,000円くらいからが相場です。コストを抑えたい場合は、「OWASP ZAP」のような無料のオープンソースのソフトウェアを使う手もあります。ただし、環境構築や診断対象の設定、診断結果の読み取り方など、手間や習熟が必要になるため、スキルや経験がない場合は不向きです。
1回あたり40万円くらいからが相場で、大規模な診断になると100万円以上かかるケースも多くあります。
高額に感じる方もおられるかもしれませんが、脆弱性診断を実施することでリスクを低減し、サイバー攻撃による被害を防げるため、セキュリティ対策の重要性を考えると決して高い金額ではありません。
より詳しく知りたい方は、「セキュリティ診断サービスの比較14選。価格帯別で選び方を解説」をご参照ください。
主な脆弱性診断ツールを紹介します。
“脆弱性診断ツール”の 一括資料ダウンロードする(無料)
(出所:Securify公式Webサイト)
開発時のセキュリティ対策としておすすめの脆弱性診断ツール。複雑な事前設定は不要で、最短3ステップで診断を開始できる。セキュリティの専門知識がなくても使いやすい、シンプルで直感的な操作性のインターフェイスに定評あり。ダッシュボードからは最新の診断結果や診断の状況、発見された脆弱性の推移などを一目で確認可能。現在のステータスを簡単に把握できる。
加えて、認証情報をアップロードすれば、認証が必要なWebアプリケーションの診断もでき、Selenium認証とJavaScript認証の2つの認証方法に対応している。更に、定期的に診断を実行する「定期実行機能」を搭載。継続的なセキュリティ品質の維持をサポートする。また、オプションで手動診断を追加できるのも魅力的。
(出所:vex公式Webサイト)
経済産業省が推奨する、純国産のWebアプリケーション脆弱性検査ツール。「自動」「手動」「自動・手動」の3つの検査方法が用意されており、目的に応じた最適な方法を選べる。脆弱性診断経験豊富なエンジニアの手動診断ノウハウを活かした、独自のアルゴリズムを採用。高い脆弱性検出率を実現している。また、対象のWebアプリケーションを巡回し、自動的にテストシナリオを作成することも可能だ。
多彩なWebアプリケーションに対応できる柔軟性も特徴の一つで、多様なリクエストフォーマットや複数サイト経由での認証、OpenID対応など、変化し続ける最新の技術トレンドに適応している。事前の知識や経験がなくても安心して導入できる支援サービスが用意されているなど、きめ細かいサポート体制も魅力。その他、サーバー検査の実施機能を搭載している。
(出所:VAddy公式Webサイト)
セキュリティ診断の経験がなくても手軽に検査ができる、高速な脆弱性診断ツール。充実したオンラインマニュアルと直感的なUIで、特別なトレーニングなしで診断を実施できる。1つの契約で3つのFQDN(ドメイン)を検査対象に登録できるほか、それらのサーバーに検査を実行するユーザーを無料で紐つけられる。クラウドサービスで専用環境へのインストールも不要なので、テレワーク環境や複数拠点間での利用に最適なサービスだ。自動診断を行なう基本プランのほかに、手動診断が追加されたプランを提供。
更に、国内で人気の高いクラウド型WAF「Scutum」の開発・運用ノウハウが活かされているのも本ツールの強み。VAddyと Scutumのセットプランも提供されている。
(出所:Shisho Cloud公式Webサイト)
AWS等のクラウド・Webアプリの利用状況や設定を一覧化してリスク管理できる脆弱性診断ツール。インストール不要で、API情報やURLを登録するだけで最短10分で脆弱性診断が可能。一度設定すれば24時間自動診断できるため、運用の手間もかからない。更に、同社の脆弱性診断事業や脆弱性リサーチプロジェクトの知見を活かした独自レポートを提供。「なぜ修正が必要か」「どのように修正すべきか」といった解説や、リスクがあるクラウドリソースやWebアプリの可視化で、専門知識がなくても診断結果がわかりやすいのが強みだ。
柔軟な権限設定にも対応し、診断結果やレポートを社内外の関係者にスムーズに共有可能。修正・改善までのアクションを最短化できる。
(出所:GMOサイバー攻撃ネットde診断ASM公式Webサイト)
GMOインターネットグループ発のはじめてでも分かりやすいASMツール。外部公開中のIT資産の棚卸し作業依頼に加えて、ツールでは脆弱性情報の自動収集、リスク評価、対策提案までをワンクリックで完結できる。組織全体の脆弱性管理・対策を手間なく簡単に実現可能だ。
ホワイトハッカーの知見を取り入れていることも特徴で、設定したタイミングで実行する「定期スキャン」や重大な見逃しを防ぐ「アラート通知」など、充実した診断機能を搭載。検知パターンは毎月500~1,000件ほど追加し、新たな脅威にも迅速に対応できる。様々な領域の専門家からアドバイス等のサポート制度もあり、脆弱性対策の運用改善や業務効率化にも有用だ。
(出所:イージスEW公式Webサイト)
ASM、ペネトレーションテストを提供し、幅広い診断項目に強みを持つ脆弱性診断ツール。メールサーバー、Webサーバー・アプリケーション、ポートスキャン、クラウドアプリ環境などに対して、外部からのデータ侵害、情報漏えい、メールのなりすましなどが起きていないかを診断可能。メインドメイン1つから担当者の認識外にあるサブドメイン・野良端末も検出でき、放置サーバーやドメインの乗っ取りを起点とした隠れたリスクまで顕在化できるのも心強い。
診断結果は、色分けやグラフでわかりやすく可視化できる。分野ごとに脆弱性の深刻度を一目で判断できるため、要改修項目の抽出・共有もスムーズ。インターネット・イントラネット・納品前ネットワークと、すべてのプラットフォームの脆弱性診断を共通のインターフェースで一元管理できるのも便利だ。
その他、無料のASM脆弱性診断や、有料サービスのセミナー・研修も提供し、ニーズに合わせて利用できる。
(出所:Macnica Attack Surface Management公式Webサイト)
精度向上のため専門家による手動調査も取り入れているASMツール。インターネット上のIT資産の洗い出しから脆弱性評価、継続的な監視までを一貫して支援。OSINT手法と独自のナレッジを活用し、本社や海外拠点が把握していない野良サーバーやクラウドサービスまで網羅的に調査する。マクニカのエキスパート集団が、実際の攻撃事例や最新の脅威動向など知見に基づいて脆弱性の選別を実施することで、自動検知でありがちな誤検知や見落としを防止。調査結果のノイズが少なく、緊急度と優先度を付けた分かりやすい情報を提供する。
また、ダッシュボードで新規システムの発見やアラート情報をリアルタイムに確認でき、効率的なセキュリティ管理を実現する。
「脆弱性診断サービス・ツール比較15選!選び方や無料ツールも」でも、その他のサービスも含めて詳しくおすすめツールを紹介していますので、ご参照ください。
脆弱性診断は、システムのセキュリティを向上させるための重要な手段です。システムのセキュリティを維持するためにも、定期的な脆弱性診断の実施がかかせません。そのためには、自社のシステム構成や目的を考慮して、適切な診断方法やサービスを選択する必要があるでしょう。
脆弱性診断には、「ツールによる自動診断」と「専門家による手動診断」があり、それぞれ以下のようなメリットとデメリットがあります。
<メリット>
<デメリット>
<メリット>
<デメリット>
本記事を参考に、改めて脆弱性診断では何をすべきか、実施するとしたらどんな方法があるのかを確認してみてください。そして、自社システムにあったサービスを導入して、セキュリティを強化しましょう。
脆弱性診断のサービスやツールをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
“脆弱性診断ツール”の 一括資料ダウンロードする(無料)
脆弱性診断サービスやツールのさらに詳しい選び方は、こちらの選び方ガイドをご覧ください。
脆弱性診断サービスの選び方ガイド
株式会社スリーシェイク
導入0円、ワンストップでセキュリティ対策を実現。Webアプリケーションの脆弱性診断からSaaS診断、WordPress診断までのセキュリティ診断を網羅的かつ継続...
株式会社ビットフォレスト
セキュリティ担当者がいない現場でも「今日から使える」クラウド型Web脆弱性診断ツール。固定料金だから、何度も・簡単に・高性能の脆弱性診断を実施できます。...
株式会社Flatt Security
専門知識がなくてもWeb・クラウドのリスク管理ができる脆弱性診断ツール。24時間の自動診断やレポート自動作成が可能。リスク判断~修正のアクションを最短化します。...
GMOサイバーセキュリティbyイエラエ株式会社
世界No.1(※)ホワイトハッカーの知見を詰め込んだASMツールです。全社的な脆弱性管理の効率化におすすめ。外部からの攻撃面になる未把握のIT資産を発見し、組織...
Macnica Attack Surface Management
株式会社マクニカ
OSINT手法と独自ナレッジによる調査が強みのASMツール。専門家の手動調査と目視確認も行い、ノイズが少ない調査結果で効率的なセキュリティ対策をサポートします。...
記事をシェア
<重要なお知らせ> サイトリニューアルに伴い、初回ログインにはパスワードの再設定が必要です。
アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。
パスワード再設定依頼の自動メールを送信しました。
メール文のURLより、パスワード再登録のお手続きをお願いします。
ご入力いただいたメールアドレスに誤りがあった場合がございます。
お手数おかけしますが、再度ご入力をお試しください。
ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。
サービスの導入検討状況を教えて下さい。
本資料に含まれる企業(社)よりご案内を差し上げる場合があります。
