脆弱性(ぜいじゃくせい)診断を行うことで、セキュリティの抜け穴を発見できるので、セキュリティ対策を行ううえで非常に重要です。
もし、脆弱性診断を怠ってしまうと情報漏えいやデータ改ざん、ウイルス感染などの危険性があります。
そのため、製品の導入時や決められた期間で定期的に脆弱性診断を行い、ウイルス感染や不正アクセスを受けないような対策が必要です。
本記事は、脆弱性診断について詳しくご紹介し、実際にどのような方法で診断を行うのかご紹介していきます。
こだまシステムでは、セキュリティ対策の代行を行っておりますので、セキュリティ管理の代行を探している方はぜひご相談ください。
>>こだまシステムの30分無料コンサルティングを依頼する<<
\ サービス内容・お悩み解決事例・料金について紹介 /
脆弱性診断とは
脆弱性診断は、アプリケーションやサーバー、各種プラットフォームにて、セキュリティの穴がないか確認を行うことを指します。
プログラムにはどうしてもセキュリティの欠陥ができやすく、抜け穴があるとウイルスや不正アクセスにつけこまれてしまいます。
いかに完璧にプログラムを作ったとしても、昨今のウイルスやサイバー攻撃は巧妙なため、定期的なセキュリティの見直しが必要です。
そのため、システムにウイルスが入り込まないか、不正アクセスの元になる箇所がないかを定期的にチェックしていきます。
そもそも 脆弱性とは?
脆弱性とは、作られたプログラムの欠陥となる箇所のことで、攻撃を受けやすいセキュリティホールとも呼ばれています。
脆弱性は、OS・アプリケーション・サーバー・各種プラットフォームなど、さまざまな箇所に存在しているのが特徴です。
セキュリティ対策を万全にプログラムを組んだとしても、サイバー攻撃は巧妙な技術ですり抜けてきます。
そのため、導入時やバージョンアップ時などは脆弱性診断を行い、修正プログラムの作成や、各種機器のアップデートが必要です。
脆弱性診断の必要性
社員の誤操作による情報漏えいや第三者からの攻撃を回避するには、弱点となる脆弱性を見つけ出し、事前に対策を取らなくてはいけません。
例えば、社内で使用しているシステムにセキュリティの穴があると、そこからウイルス感染や不正アクセスを受けてしまいます。
さらには、メールの誤送信といった社員のミスによる情報漏えいの危険性もあるので、設定内容に問題がないかのチェックも必要です。
情報漏えいは会社にとって大きな損害となるため、インシデントを起こさないためにも、定期的な脆弱性診断は行うようにしてください。
脆弱性を放置するとどうなる?
脆弱性を放置してしまうと、不正アクセスによる情報漏えいやウイルス感染、サーバーダウンの可能性があります。
度々ニュースで見かける、不正アクセスによる顧客情報の漏えいは、プログラムの脆弱性を突いた攻撃によって行われているのがほとんどです。
また、ランサムウェアといった身代金要求型のウイルスも存在しているので、感染してしまうと多額の金銭の支払いを求められることもあります。
脆弱性を悪用しプログラムをウイルスに感染させることで、サーバーをダウンさせる攻撃もあるので放置しないようにしましょう。
脆弱性診断の対象
脆弱性診断の対象は、Webサーバーやデータベース、OSやネットワーク機器など、さまざまです。
以下では、脆弱性診断を行う対象の一部について表でご紹介しています。
| 診断内容 | 診断対象 |
|---|---|
| Webサーバーに対する脆弱性検査 | Webサイトの顧客情報流出やデータ改ざんチェック |
| データベースサーバーに対する脆弱性検査 | データベース内の情報資産・改ざん・情報漏えいのチェック |
| メールサーバーに対する脆弱性検査 | 標的型攻撃・総当たり攻撃の対策・内部情報漏えいのチェック |
| OSに対する脆弱性検査 | 各種バージョンに応じた既知の脆弱性のチェック |
| ネットワーク機器に対する脆弱性検査 | 製品ごとの既知の脆弱性をチェック |
Webサーバーやデータベースの脆弱性診断では、顧客や社内情報の流出、データの改ざんがないかといった点を診断していきます。
さらに、メールサーバーの脆弱性診断では、標的型攻撃・総当たり攻撃・内部情報漏えいが起きないかをチェックします。
Webサーバーやデータベース、メールサーバーは、会社情報だけでなく顧客情報を管理する場所でもあるので、綿密な診断が必要です。
また、OSやネットワーク機器に関しては、既知の脆弱性や、未知の脆弱性が発生していないかも確認していきます。
アプリケーションやプラットフォームにより、脆弱性はさまざまなので、診断項目は上記に上げたものだけではありません。
そのため、診断を行う対象に応じて適切な診断方法を用い、既存・未知に関わらず脆弱性診断は行うようにしてください。
脆弱性診断の費用相場
脆弱性診断の費用は、会社によってさまざまですが、一般的には以下のように設定されています。
| 手動診断 | ツール診断 |
|
|---|---|---|
| Webアプリケーション | 10リクエスト(HTTP/HTTPS) 150,000円~ | 10リクエスト(HTTP/HTTPS) 150,000円~ |
| プラットフォーム | 対象IP数1~:50,000円~(1回あたり) | 対象IP数8~:500,000円~(年1回) |
脆弱性診断の費用相場は、リクエスト数や対象IP数、診断後のアフターケアによって変動があり、価格帯はピンきりです。
脆弱性診断を行う対象やプランによって価格は大きく変動するので、まずは見積り依頼を行うようにしてください。
さらに定期的な脆弱性診断を行うプランもあり、1回限りなのか継続して定期的に診断をかけるのかでも価格は変わります。
また、ツール診断や手動診断によっても価格は異なり、ツールと手動を組み合わせたプランとして比較的低価格で提供されていることもあります。
どの会社でも脆弱性診断の方法にあまり差異はありませんが、求めている診断のレベルによって価格は変動すると見たほうが良いでしょう。
脆弱性診断の方法
脆弱性診断を行う方法は、市販のツールを使用したものとセキュリティの専門家に依頼をして行う手動の診断があります。
ツール診断は、セキュリティに関する多くの知識は不要なので、比較的簡単に行えるのが特徴です。
また、セキュリティの専門家に依頼を行い、手動で診断してもらうとコストはかかるものの診断のクオリティは高くなります。
ここからは、「ツールを使った診断」と「手動での診断」について、詳しくご紹介していきます。
ツールを使った診断
ツールを使った診断は、比較的早く診断が完了し、セキュリティの知識が少ない方でも使えるのが特徴です。
ツールを使用して案内に沿って診断を行うだけなので、精度が高いとはいえませんが、ローコストで診断できます。
ただ、専門用語が多かったりツールを使いこなすのに時間がかかったりする場合があるので、ある程度の知識が無いと使いづらさがあります。
また、未発見の脆弱性については網羅できないといったデメリットもあるので、一時的な確認用といった使い所の見極めは必要です。
手動での診断
セキュリティに関する専門家による手動での診断なので、非常に高いクオリティの診断を行ってもらえるのが特徴です。
脆弱性が見つかった際には、対策についてもサポートしてもらうことができ、強固なセキュリティ対策を行えます。
さらに、ツールでは見つけにくい抜け穴や、未発見の脆弱性についても発見してもらいやすいのもメリットといえます。
ただ、セキュリティの専門家に依頼を行うため、時間と高いコストがかかってしまうので、人件費やスケジュールの確認が必要です。
まとめ
どんなに綿密にプログラムを組んだとしても、昨今のサイバー攻撃は巧妙な手口でセキュリティの欠陥をみつけて攻撃してきます。
そのため、脆弱性診断を行い、ウイルスや不正アクセスによる攻撃を受けないようなセキュリティ対策が必要です。
脆弱性診断には、ツールを使って簡易的に行うものや、手動診断といったセキュリティの専門家に依頼を行うものがあげられます。
ツールを使用すれば短時間かつローコストで利用できますが、診断の精度を上げたいのであれば専門家への依頼がおすすめです。
こだまシステムでは、脆弱性診断といったセキュリティ対策に関する業務の代行を承っております。
セキュリティマネジメントやセキュリティ監視の構築、ウイルス対策ソフトの管理などさまざまな業務のサポートが可能です。
セキュリティ対策についてお悩みの際は、まずは初回30分無料のITコンサルティングにてご相談ください。
>>こだまシステムの30分無料コンサルティングを依頼する<<
