Introduction
脆弱性診断を行う際にかかせないのが、機械的な診断項目を自動で行う脆弱性診断ツールです。ツールで診断作業を自動化することで、作業効率がアップするなど多くのメリットがあります。その一方で、診断ツールでは複雑な要件を診断できない場合もあるため、導入時には十分な検討が必要です。
この記事では、脆弱性診断ツールとは何か、診断ツールの種類、メリット・デメリット、選び方などについて解説します。これから脆弱性診断ツールの導入を検討している場合は、ぜひ参考にしてみてください。
目次
脆弱性診断ツールとは?
脆弱性診断を行う際には、あらゆる種類の機器に対して、さまざまな観点から診断を行う必要があります。具体的には、サーバーやネットワーク機器などの脆弱性を診断するプラットフォーム診断、Webアプリの情報漏洩やサイト改ざんにつながる脆弱性を診断するWebアプリ診断などです。考えられる侵入経路や侵入の方法、マルウェア、大量データ攻撃、悪意あるWebページからの攻撃など、多くの攻撃方法について診断します。
しかし、このような多くの侵入経路や攻撃手段を、すべて人の手で一つずつ検証するのは現実的ではありません。そこで役に立つのが脆弱性診断ツールです。脆弱性診断の要件を決めて、ツールで自動的にスキャンや模擬攻撃などを行うことで、システムや機器にセキュリティ上の欠陥がないかを診断できます。ツールで診断を自動化できるため、診断項目の漏れなどもなく、多くの項目を短時間で消化できるというメリットがあります。
脆弱性診断についてはこちらの記事もご覧ください。
>>脆弱性診断(セキュリティ診断)とは?実施する目的や種類、ツールの選び方をわかりやすく解説のページへ
>>脆弱性診断のよくある質問にお答えします。種類や必要性、外注先の選び方などのページへ
脆弱性診断ツールの種類
脆弱性診断ツールには、いくつかの種類があります。ここでは、クラウド型とソフトウェア型の2種類の脆弱性診断ツールについてご説明します。
クラウド型
クラウド型は、自社のパソコンやサーバーなどにインストールしなくても、インターネット経由でクラウドサービスの診断ツールを利用できるタイプです。
このタイプならツールをインストールする必要がないため、手軽に利用できます。セキュリティ診断を外部の企業に任せることも可能です。ツールのバージョン管理は運営会社が行うため、つねに最新バージョンの診断ツールを利用できます。ただし、ネットワーク経由でクラウド上の診断ツールを使うという性質上、ネットワーク負荷がかかるというデメリットもあります。
ソフトウェア型
ソフトウェア型は、自社のパソコンやサーバーにインストールして利用するタイプです。このタイプの場合、オフライン環境でも診断ツールを利用できる、ネットワークを経由する負荷がかからないというメリットがあります。一方で、ツールのバージョン管理は自分で行う必要がある、インストールの手間がかかるというデメリットもあります。
それぞれのタイプにはメリットとデメリットがあるので、自社のセキュリティ対策の運用方法にあったタイプを選ぶとよいでしょう。
無料版・有料版の違い
脆弱性診断ツールには、無料版と有料版の2種類が存在します。
無料版の場合は診断できる項目が限られており、最低限の項目しか診断できません。また、利用期間が限られていることも多く、お試し版として利用することがほとんどです。
有料版のプランにはランクが設定されていることも多く、料金が安く項目が限られているプランから、最高レベルの診断を受けられる高額プランもあります。診断したいシステムやサーバーなどの規模、求めるセキュリティレベル、予算などにあったプランを選ぶことをおすすめします。
関連サービスについて
脆弱性診断ツールを導入するメリット
脆弱性診断ツールを導入すると、どのようなメリットがあるかをご説明します。
効率よく診断できる
診断ツールを導入すると、脆弱性診断を自動化できるため、診断作業を効率よく行えるというメリットがあります。診断を行う対象や日時をスケジューリングしておけば、定期診断を自動化することも可能です。
セキュリティリスクは多様化しており、多くの脆弱性が毎日のように発見されています。膨大な数のリスクや脆弱性に対応するためには、ツールによる自動化が必要不可欠です。脆弱性診断ツールをうまく活用し、効率よく脆弱性診断を行える体制を整えておけば、最低限の労力で最大の効果を得られるでしょう。
情報セキュリティの専門知識がなくても運用は可能
脆弱性診断ツールには、診断項目や診断対象があらかじめ設定されています。そのため、担当者に情報セキュリティに関する専門知識がなくても、運用は可能です。診断ツールの操作マニュアル、エラー発生時の連絡体制などが整っていれば、特別な知識がなくても操作できます。
ただし結果が正常でなかった場合や、予期せぬエラーが発生した場合などには、専門家による対応が必要です。結果が正常ではなかった場合に備えて、専門家が対応できる体制を整えておく必要があります。
コストを削減できる
脆弱性診断ツールを導入すれば、情報セキュリティ担当者が手動や目視で、セキュリティ診断を行う手間を減らせます。その結果、情報セキュリティ担当の人件費を削減でき、セキュリティ対策のコスト削減につながります。
多くのサーバーやネットワーク機器、アプリなどに対して、膨大なチェック項目を人がチェックするのは現実的ではありません。品質の高いチェックを行うためには、さらに多くの人員が必要です。
そこで、脆弱性診断ツールを導入すれば、多くの作業を自動化できます。ツールで十分診断ができる箇所を自動化すれば、人の目による確認や判断が必要な箇所を重点的に診断できるでしょう。その結果、コストの削減と診断品質の向上を目指せます。
ただし、自動化する箇所を選定する作業は、慎重に行わなければなりません。診断ツールで自動化するのは無理がある箇所を自動化してしまうと、重大な脆弱性を見逃してしまう可能性もあります。
脆弱性診断ツールの選び方
脆弱性診断ツールは、多くのセキュリティ対策専門会社が扱っており、さまざまな種類の製品が存在します。そのため、どの製品を選べばよいのか、プランや製品の種類はどれを選ぶのが妥当なのか悩む人も多いでしょう。
ここでは、脆弱性診断ツールを選ぶ際のポイントをご説明しますので、自社が扱っている製品や求める診断のレベルにあった脆弱性ツールを選んでみてください。
診断できる項目・範囲で選ぶ
脆弱性診断ツールで対応できる診断には、プラットフォーム診断、Webアプリ診断、スマートフォンアプリ診断などがあります。診断できる主な項目や範囲は、以下のとおりです。
【プラットフォーム診断で診断できる主な項目】
・ポートスキャンによる通信可能なポートの確認
・上記で確認されたポートから接続できるソフトウェアの検出
・設定の不備の検出
・プロトコル固有の脆弱性の検出
【Webアプリ診断で診断できる主な項目】
・サーバ証明書や暗号化方式などの脆弱性
・一般的な実装の不備による、SQLインジェクションやクロスサイトスクリプティングなどの脆弱性
・Webアプリミドルウェア固有の脆弱性
【スマートフォンアプリ診断で診断できる主な項目】
・ほかのアプリから情報を参照できるなど、アプリ本体の脆弱性
・サーバー証明書の検証不備など、通信路に関する脆弱性
・外部サービスから不正アクセスされるなど、外部サービスに関する脆弱性
そのほかにも、情報システム以外の制御システム、IoT機器を対象とした診断や物理環境、従業員を対象にした診断もあります。これらの項目を慎重に選定し、自社のシステムや使用している製品、運用方法などにあった診断項目を選定しましょう。
精度・信頼性で選ぶ
脆弱性診断ツールを扱う専門会社は数多く存在しますが、診断の精度や信頼性の高い製品を選ぶべきです。そのためには、セキュリティ対策の実績がある、脆弱性に関する情報を長年扱っているなど、信頼度の高い専門会社を選ぶ必要があります。
その一つの指標として、IPAによる『情報セキュリティサービス基準適合サービスリスト』を利用するのもよい方法です。これは、経済産業省が策定した情報セキュリティサービス基準に適合しているかを審査したサービスのリストです。各審査登録機関が審査したうえで、各社がIPAに対して誓約書を提出しているため、一定の精度と信頼性を保っています。
サポート・保証で選ぶ
脆弱性診断サービスのサポート対象やサポート期間、保証内容を確認して、十分なサポートを得られるサービスを選ぶことも重要です。診断ツールの更新は随時行われるのか、不具合発生時のサポートや拡張サポートがあるかなどを確認しましょう。サポート体制が不十分だと、診断のレベルが下がってしまう可能性もあります。
導入実績で選ぶ
脆弱性診断サービスを扱う専門会社における、過去の導入実績を確認することも大事です。多くの企業が採用している、リピート率が高い、大手企業や金融機関なども採用しているなどの場合は、信頼度が高いでしょう。また、同じIT業界の企業の案件を数多く扱っていることも重要です。
企業サイトなどに導入実績が記載されているので、内容を比較してみてください。
価格で選ぶ
十分な品質の診断を受けられるサービスだとしても、価格が高すぎるのは問題です。多くのノウハウをもち、実績がある会社なら、高品質な診断サービスを効率よく提供できます。そのため、同じサービスレベルでも価格が安い場合があります。
もちろん、価格が安ければよいわけではありません。あまりに価格が安すぎる場合は、診断品質がよくない可能性も高いです。ここまでご説明した診断項目や信頼度、導入実績を検討したうえで、価格も比較するとよいでしょう。
脆弱性診断ツールのデメリット・注意点
脆弱性診断ツールを導入する際のデメリットや注意点について、ご説明します。
見落としが発生しやすい
脆弱性診断ツールは、機械的な診断項目を自動的に消化してくれるので、効率がよいです。その一方で、見落としが発生しやすいというデメリットもあります。たとえば仕様どおりの動きをしているため、脆弱性が潜んでいても、脆弱性として診断されないケースなどです。
自動化により見落としが発生することもあるため、専門家によるチェックも必要です。
かえってコストが増大する可能性もある
自社のシステムや製品、運用方法などによっては、脆弱性診断ツールを使用すると、かえってコストが増大する可能性もあります。たとえば、使用している製品が、高度な知識や専門性を求められる特殊なものである場合などです。診断ツールが特殊なケースに対応していないため、結局は人による診断が必要になってしまいます。
そのため、自社のケースは診断ツールの使用が適しているか、導入時に検証する必要があるでしょう。
安全性を確保するには、専門家による脆弱性診断が必要となる
診断ツールは、あくまで自動化されたツールによる診断しか行えないため、安全性を確保するためには専門家による脆弱性診断が必要です。診断ツールの種類や診断項目は妥当か、脆弱性の検出方法や検出時の対応に問題はないかなどを判断する際には、専門家の意見を仰ぎましょう。
SHIFTのセキュリティ(脆弱性)診断について
SHIFTでは、以下のような検査対象に対して、それぞれの脆弱性診断に対応しています。
<検査対象と対応する脆弱性診断>
・Webアプリケーション:Webアプリケーション脆弱性診断
・クラウド基盤:クラウド診断
・ネットワーク/サービス基盤:プラットフォーム診断/ペネトレーションテスト
・ソースコード:ソースコード診断
ツール診断と手動診断の両方に対応しており、豊富な実績があるセキュリティ診断のプロが状況に応じて使い分けていきます。SHIFTのセキュリティ診断なら、ツール診断と手動診断を的確に使い分け、品質の高い診断を実現します。
関連サービスについて
セキュリティベンダー選定のための比較チェックシート
脆弱性診断サービスの導入にあたり、数あるセキュリティベンダーの中から最適なベンダーを選定するためには確認すべき観点が多くあり、それらを正しく判断するためには本来豊富な知見が必要です。
しかし、担当者の誰しもがそのような知見を持っている訳ではありません。そこで、SHIFTは、誰でも簡単に重要な観点を押さえながら、ベンダーの比較検討ができるチェックシートをご用意しました。お客様に合った最適なセキュリティベンダーを選んでいただくことにお役立ていただければ幸いです。
脆弱性診断サービスの導入にあたり、数あるセキュリティベンダーの中から最適なベンダーを選定するためには確認すべき観点が多くあり、それらを正しく判断するためには本来豊富な知見が必要です。
しかし、担当者の誰しもがそのような知見を持っている訳ではありません。そこで、SHIFTは、誰でも簡単に重要な観点を押さえながら、ベンダーの比較検討ができるチェックシートをご用意しました。お客様に合った最適なセキュリティベンダーを選んでいただくことにお役立ていただければ幸いです。
まとめ
この記事では、脆弱性診断ツールとは何か、診断ツールの種類、メリット・デメリット、選び方などについて解説しました。
脆弱性診断ツールを導入することで、機械的な診断項目を自動で効率よく診断することが可能です。しかし、診断対象のシステムが複雑な場合などは、正確に診断できないこともあります。導入時に、診断ツールによる診断が適しているか検討する必要があります。
脆弱性診断や脆弱性診断ツールに関しては、まずSHIFTにご相談ください。脆弱性診断のプロが、導入から診断、アフターフォローまで対応させていただきます。
>>SHIFTのセキュリティソリューションのページへ
>>お問い合わせページへ
>>料金についてページへ