近年、世界的に大きな被害を与えているサイバー攻撃。個人情報漏えいの多くは、システム(OS、ミドルウェア、Webアプリケーション等)の脆弱性を狙って実行されます。
システムは人が設計して構築するものであり、少なからずプログラムに間違いが発生します。
プログラムの間違いを「バグ」といい、情報漏えいを起こしたり、データの不正な書き換えなど悪用可能なバグのことを「脆弱性」と呼びます。別名、セキュリティホールとも呼ばれます。
脆弱性について詳しく知りたい方は、以下の記事をご覧ください。
セキュリティ診断では、SQLインジェクションやクロスサイトスクリプティングなどの脆弱性の有無を診断し、セキュリティリスクを明確にします。
ここでは、セキュリティ診断の概要や受診するメリット、サービスの種類について解説していきます。
セキュリティ診断とは?
セキュリティ診断とは前述のように、システム(OS、ミドルウェア、Webアプリケーション等)に、サイバー攻撃のリスクがある脆弱性の有無、セキュリティ機能の不足を調査するものです。脆弱性診断、脆弱性検査とも呼ばれます。
具体的には、対象にさまざまな種類の擬似的なサイバー攻撃を実施し、どの攻撃に弱いかを調べます。これにより、どの部分をどう対策すればよいかが分かるのです。
セキュリティ診断の種類
セキュリティ診断には、いくつか種類があります。そのうち3つについて見ていきましょう。
Webアプリケーション診断
Webアプリケーションにセキュリティの問題がないかを調査する診断です。対象としては会員制サイトやインターネット通販のECサイトなどが挙げられます。
表示が望ましくないページが隠されているか、不正な文字列や命令を送信しても問題が発生しないか、などを調査します。
ネットワーク診断
ネットワークに接続しているネットワーク機器、サーバー、ミドルウェアなどにセキュリティの問題がないかを調査するものです。
対象は会社として管理・運用している各種サーバー、クラウド上で自社のミドルウェアを導入しているなどの環境です。設定に問題がないか、アップデートが適切に実施されているか、などを調査します。
スマートフォンアプリ診断
社内で開発した業務用のスマートフォンアプリや、サービスとして提供しているものに、セキュリティの問題がないかを調査するものです。
診断内容としてはWebアプリケーション診断と近い部分があり、設定に不備がないか、通信が適切に暗号化されているか、などの部分を調査します。
セキュリティ診断の方法
診断は手動とツール、それぞれ特徴の異なる2種類の手法があります。どのように違うのでしょうか。
手動診断
知識を保有する人物が手動(目視)でおこなう診断をいいます。セキュリティエンジニアなどに依頼する必要がありますが、人がチェックするので高精度の結果が出せる、という部分がメリットです。
ツールは決められた一定の項目のみを機械的に調べます。その点、手動はツールだと検出できない複雑な診断も実施できますし、怪しい箇所を判断して重点的に診る、など臨機応変な対応も可能です。
ひとつひとつの脆弱性は大した問題ではなくても、組み合わせ次第ではキケン、などツールでは出せないようなセキュリティの問題をあぶり出すことが可能です。
ツール診断
一定の簡易的なチェック項目を、自動で診断できるスキャンツールでの診断をいいます。自動なので面倒がなく、短時間で誰でもカンタンに網羅的な診断を実施できるのがメリットです。
しかし、ツールなのであくまで決まった項目だけを調べるのみ。比較的単純な脆弱性しか検出できず、前述のように脆弱性の組み合わせによる、複雑な危険度の判定などはできません。
このように、手動診断とツール診断はそれぞれ一長一短です。そのため両方を実施することで、正確な診断を下すことができます。
代表的な診断ツール
- OWASP ZAP
開発元:OW ASP
- Burp Suite
開発元:PortSwigger
- Nessus
開発元:Tenable Network Security
- IBM Security AppScan
開発元:IBM
- VEX
開発元:UBsecure
- Fiddler
開発元:Telerik
簡易に実施できるWebアプリケーション診断
いきなり本格的な診断をするのではなく、簡易な診断を希望する場合は、以下の記事を参考にご覧ください。
セキュリティ診断のメリット3つ
では、診断を受けるとどのようなメリットがあるのでしょうか。
どう対策すればよいか分かる
セキュリティ診断は擬似的なサイバー攻撃をおこなうことで、どの部分にセキュリティの問題があるかを調べるものです。これにより、どの部分をどう設定すれば攻撃を防げるかが分かります。
「セキュリティ対策をしようにも、どうしたらよいか分からない」「現在のセキュリティ対策が十分かどうか知りたい」というときの、手引きとして
サイバー攻撃を未然に防げる
攻撃者はセキュリティの甘いサイトやサーバーをツールで自動検索し、無差別に攻撃します。そのため、正しいセキュリティ対策をしているだけで、狙われる可能性がかなり低くなります。
サイバー攻撃を受けて情報漏えいなどしてしまえば、顧客や取引先からの信用が失墜、事故対応などで大きな損失になりかねません。こういった被害を防ぐのに効果があります。
早期解決できる可能性がある
サイト改ざんなどのサイバー攻撃は、サイトを構成する文字列を不正に書きかえておこないます。見た目では分かりません。そのため、改ざんに気づかず何ヶ月も放置してしまうケースは多いです。
こういった改ざんも診断で検知できるため、実際に事故が起きた場合の早期発見・解決にも効果があるといえるでしょう。
セキュリティ診断の必要性
メリットは理解できるものの、具体的に診断を受ける必要性について説明していきます。
自社や顧客を守るために
攻撃者がサイバー攻撃を仕掛けるのは、たいてい業務妨害や金銭を得る目的です。情報を盗んで他者に売り渡したり、ランサムウェアを感染させて身代金を要求したり、などが考えられるでしょう。
しかし、このような攻撃は適切なセキュリティ対策によって防ぐ、もしくは被害を最小限に抑えられます。その対策方法を知る手段として、まず診断で脆弱性を見つけることが先決です。
事故の被害は計り知れない
JNSA(日本ネットワークセキュリティ協会)の2016年版データによれば、サイバー事故1件あたりの平均損害賠償額は6億7,439円。信用失墜による大幅な売上減を考えれば、影響の大きさがよく分かります。
事前にセキュリティ対策するのと、サイバー攻撃を受けてから事故対応するのとでは、かかる費用がケタ違いです。社会的な信用を失うことも考えれば、前もって対策したほうが絶対的によいでしょう。
セキュリティ診断の市場規模
近年、セキュリティ診断サービスをスタートする大手企業も増加しています。では、市場規模はどうなっているのでしょうか?
セキュリティ診断市場は需要増
市場調査会社であるITRの調査によれば、2015年度における国内の脆弱性診断市場は11億円。まだ少なくはありますが、前年度比19.6%増となりました。
同社の予測によれば、市場規模は今後もますます拡大していき、2020年には24億円程度に達するのではないか、といわれています。
診断サービスは比較検討も重要
市場規模が拡大しているため、診断サービスを実施する企業は今後もますます増加していくことでしょう。しかし、提供している会社によって診断やサービスの質はそれぞれ異なります。
大手だから優れている、金額が高ければ質が高い、とはいえません。診断を検討する際は何社か比較して、診断の質は世界基準か、レポートは分かりやすいか、などを確認することをおすすめします。
まとめ
セキュリティ診断とはどういうものか、そのメリットや必要性などを解説しました。
単にセキュリティの問題を発見するだけでなく、今後の対応を決める材料にもなるので、セキュリティ対策には必要不可欠であることがお分かりいただけたことでしょう。
これまで自社で診断を受けたことがない、セキュリティ対策が不十分に感じている、という場合は一度受診することで、現状を把握してみてはいかがでしょうか。