Introduction
企業のセキュリティ対策が十分か、脆弱性がないかを検証するためには、脆弱性診断やペネトレーションテストを実施するのが有効です。しかし、脆弱性診断とペネトレーションテストの違いがわからない、どちらを実施すればよいか知りたいという方も多いでしょう。この2つは、どちらもセキュリティの脅威や脆弱性の有無を調べるものですが、内容や目的が異なります。
この記事では、脆弱性診断とペネトレーションテストの違い、向いているケース、それぞれの流れ、サービスを選ぶ際のポイントについて解説します。
目次
脆弱性診断とペネトレーションテストの違いとは?
脆弱性診断とペネトレーションテストは、どちらもセキュリティ攻撃による脅威や脆弱性の有無を確認するためのものです。しかし、それぞれ目的や手法は異なるため、正しく理解してどちらを実施すべきかを検討する必要があります。
ここでは、脆弱性診断とペネトレーションテストの違いについて解説します。
脆弱性診断とは
脆弱性診断とは、サーバーやネットワーク機器などに対するセキュリティ攻撃の侵入口になる脆弱性を、網羅的に検出するための診断です。
OS、ミドルウェア、ネットワーク機器、アプリなどを網羅的に確認し、不正アクセスなどを許す脆弱性がないかを検出します。たとえば、ネットワーク機器のすべてのポートをチェックして、不要な通信ポートからネットワーク内に侵入できる脆弱性の存在を確認するなどです。
あらゆるハードウェア、ソフトウェアに対して網羅的に確認するため、ツールによる自動診断も行われます。
脆弱性診断についてはこちらの記事もご覧ください。
>>脆弱性診断(セキュリティ診断)とは?実施する目的や種類、ツールの選び方をわかりやすく解説のページへ
>>脆弱性診断の適切な頻度とは?項目ごとの違いやタイミングについて解説のページへ
>>セキュリティ診断サービスとは?比較・選定ポイントについて解説のページへ
>>脆弱性診断のよくある質問にお答えします。種類や必要性、外注先の選び方などのページへ
関連サービスについて
ペネトレーションテストとは
ペネトレーションテストは、想定される攻撃シナリオに沿って、セキュリティ対策が十分か、被害にあった場合のレベルはどれくらいかなどを調査するテストです。たとえば、メールの添付ファイルなどから侵入されることを想定したチェックなど、攻撃者による手口を想定して侵入経路がないかを確認します。
機械的に脆弱性を検出する脆弱性診断とは異なり、攻撃シナリオを想定する必要があります。高度なセキュリティに関する専門知識が必要なため、十分な経験をもった技術者が行うのが一般的です。
ペネトレーションテストについてはこちらの記事もご覧ください。
>>ペネトレーションテストとは?脆弱性診断との違いやメリット・注意点、手法について解説のページへ
脆弱性診断とペネトレーションテストどちらを行うのがおすすめ?
脆弱性診断とペネトレーションテストの違いを理解したところで、自社の場合はどちらを行うべきなのかを知っておきましょう。ここでは、それぞれの診断が向いているケースについて解説します。
脆弱性診断が向いているケース
上記でご説明したとおり、脆弱性診断はOSやミドルウェア、ソフトウェアなどに対して、網羅的に脆弱性を診断するテストです。その性質から、脆弱性診断が向いているケースは以下のとおりです。
<脆弱性診断が向いているケース>
・一度もセキュリティ診断を受けたことがない場合
・新規システムや新製品を導入した場合
・システムや製品の機能追加や更改が入った場合
・定期診断として行う場合
基本的には、新しいシステムや新製品を導入、機能追加、更改した際には、脆弱性診断を行うべきです。また、脆弱性は次々と新しいものが登場するので、定期的に行う必要もあります。
ペネトレーションテストが向いているケース
ペネトレーションテストは、脆弱性診断ではカバーしきれないサイバー攻撃に対応するために行います。標的型攻撃や内部犯罪による情報漏洩、不正アクセスなどは、脆弱性診断をクリアしていても起こり得ます。そのようなサイバー攻撃が仕かけられても問題ないかを確認したい場合などに、向いているテストです。
たとえば、2019年から現在にかけて猛威を振っているマルウェア「エモテット」は、何の変哲もない普通のメールに添付されたファイルやURLから感染します。「前回の請求書の件」「〇〇市納税課」など、思わず開いてしまいそうになる件名のメールから、マルウェアがインストールされてしまうのです。内部犯罪も同様で、システム的な問題は何もなくても被害にあうことがあります。
より堅牢で多層的な防御がなされているかを確認したい場合には、ペネトレーションテストが必要です。
脆弱性診断の流れ
ここでは、脆弱性診断の流れについてご説明します。
- 1.診断対象のシステムや導入している製品、機器などを把握する
- 診断の対象となるシステム、導入済みのOSやソフトウェア、ネットワーク機器などを洗い出して把握します。
- 2.必要な診断項目や診断方法を検討し、方針を決定する
- 診断項目はどれにするか、どこまでの範囲を診断するかなどを検討します。また、診断方法は診断ツールで行うのか、専門家による手動診断を行うのかなども検討し、方針を決定します。
- 3.脆弱性診断を行う
- 方針に沿って脆弱性診断を実施します。
- 4.結果を検証する
- 結果を検証し、問題点がないかを確認します。問題があれば対策を講じていきます。
ペネトレーションテストの流れ
ペネトレーションテストの流れは、以下のとおりです。
- 1.システム構成やセキュリティ対策の状況を検証する
- テストを行う対象のシステム構成やセキュリティ対策の状況を洗い出し、検証します。
- 2.攻撃者目線の攻撃シナリオを作成する
- 上記で検証した内容にあった攻撃者目線の攻撃シナリオを検証し、作成します。
- 3.作成したシナリオに沿って対象に攻撃を行う
- 作成した攻撃シナリオに沿って攻撃を行い、テストします。
- 4.結果を検証する
- テストした結果を検証します。問題があった場合には、対策を検討します。
脆弱性診断やペネトレーションテストを依頼する場合の選び方
脆弱性診断やペネトレーションテストを扱う専門会社は多く、さまざまなサービスが存在します。そのため、ポイントごとにサービス内容を比較し、もっとも信頼できるサービスを選ぶことが重要です。
ここでは、脆弱性診断やペネトレーションテストを選ぶ際に大事なポイントごとに、確認すべき内容についてご説明します。これから専門会社と利用するサービスを選ぶ際に、ぜひ参考にしてみてください。
対応している項目・範囲
脆弱性診断では、プラットフォーム診断、Webアプリ診断、スマートフォンアプリ診断などを行います。それぞれで診断できる項目は異なるので、どこまで診断したいのか、どの項目まで対応しているのかを比較、検討しましょう。
【プラットフォーム診断で診断できる項目】
・不要ポートの開放
・脆弱なソフトウェアの利用
・設定の不備
・プロトコル固有の脆弱性
ポートスキャンによって通信可能なポートを検出し、そこから既知の脆弱性を含むソフトウェアなどが検出されないかを診断します。対象のサーバーやネットワーク機器に対して疑似的な攻撃の通信を行い、脆弱性の有無を検出します。
【Webアプリ診断で診断できる項目】
・Webアプリの仕様に起因する脆弱性(固有のビジネスロジックに依存するもの、一般的な使用上の不具合)
・Webアプリの実装に起因する脆弱性(実装メカニズムに対する高度な理解が要求されるもの、一般的な実装の不備)
・利用するWebアプリミドルウェア固有の脆弱性
たとえば、SQLインジェクションやクロスサイトスクリプティングなどの脆弱性は、Webアプリの実装に起因する脆弱性の一般的な実装の不備に含まれます。Webアプリに対して疑似的な攻撃リクエストを送ることで、上記のような脆弱性がないかを検証します。
【スマートフォンアプリ診断で診断できる項目】
・アプリ本体の脆弱性
・通信路の脆弱性
・外部サービスに関する脆弱性
たとえば、ほかのアプリから情報を参照されるのはアプリ本体の脆弱性に、外部サービスからの不正アクセスは外部サービスに関する脆弱性に含まれます。Android、iOS/iPadOS端末で動作するアプリの脆弱性の有無を診断します。
【そのほかの脆弱性診断】
制御システム、IoT機器を対象とした診断、物理環境に対する診断、組織や従業員に対する診断なども行います。
ペネトレーションテストの項目や範囲は、対象のシステムや企業によって異なる攻撃シナリオに沿って行われます。守りたい対象のシステムやネットワーク環境について専門会社とすりあわせたうえで、考え得るさまざまな攻撃シナリオを検討するのです。どのような攻撃シナリオを提案してくるかは、専門会社の実績やノウハウによって変わってくるでしょう。
精度・信頼性
診断の精度や信頼性の高いサービスを選ぶことも重要です。
サービスの精度や信頼性の指標として役立つのが、IPAによる『情報セキュリティサービス基準適合サービスリスト』です。
経済産業省が策定した情報セキュリティサービス基準に適合しているかを審査し、合格したサービスのみが掲載されています。各審査登録機関が審査しており、各社がIPAに対して誓約書を提出しているので、精度や信頼性を確認したい場合には参考にしてみてください。
結果報告・アフターフォロー
脆弱性診断やペネトレーションテストを実施しただけで、結果報告やアフターフォローが十分でないサービスはおすすめできません。結果報告書だけを送られても、どう読みとればよいのかわからない場合もあるでしょう。また、診断やテスト後に専門家によるサポートを受けられなければ、結果を今後に活かせません。
専門家による結果報告が丁寧で必要な対策を提案してくれるなど、アフターフォローが充実しているサービスを選ぶのがよいでしょう。
同業種での導入実績
セキュリティ対策サービスを比較する際には、その専門会社の導入実績を調べてみてください。とくに、同業種の他社の導入実績が多いところをおすすめします。なぜなら、業種が同じだとシステム構成やセキュリティリスクが似ており、知識や経験が豊富だからです。
たとえば、医療機関の場合、ほかの医療機関の案件を数多く扱っている専門会社のほうが、医療業界のセキュリティ対策について詳しいはずです。医療業界に特化した医療システムや電子カルテなどの診断実績があれば、効率よく高品質な診断方法を知っているでしょう。
SHIFTのセキュリティ(脆弱性)診断について
SHIFTでは、以下のような検査対象に対応した脆弱性診断、ペネトレーションテストを実施しています。
<検査対象と対応する脆弱性診断>
・Webアプリケーション:Webアプリケーション脆弱性診断
・クラウド基盤:クラウド診断
・ネットワーク/サービス基盤:プラットフォーム診断/ペネトレーションテスト
・ソースコード:ソースコード診断
豊富な実績とノウハウで、高品質な脆弱性診断、ペネトレーションテストをご提供します。
関連サービスについて
セキュリティベンダー選定のための比較チェックシート
脆弱性診断サービスの導入にあたり、数あるセキュリティベンダーの中から最適なベンダーを選定するためには確認すべき観点が多くあり、それらを正しく判断するためには本来豊富な知見が必要です。
しかし、担当者の誰しもがそのような知見を持っている訳ではありません。そこで、SHIFTは、誰でも簡単に重要な観点を押さえながら、ベンダーの比較検討ができるチェックシートをご用意しました。お客様に合った最適なセキュリティベンダーを選んでいただくことにお役立ていただければ幸いです。
脆弱性診断サービスの導入にあたり、数あるセキュリティベンダーの中から最適なベンダーを選定するためには確認すべき観点が多くあり、それらを正しく判断するためには本来豊富な知見が必要です。
しかし、担当者の誰しもがそのような知見を持っている訳ではありません。そこで、SHIFTは、誰でも簡単に重要な観点を押さえながら、ベンダーの比較検討ができるチェックシートをご用意しました。お客様に合った最適なセキュリティベンダーを選んでいただくことにお役立ていただければ幸いです。
まとめ
この記事では、脆弱性診断とペネトレーションテストの違いと向いているケース、それぞれの流れ、サービスを選ぶ際のポイントについて解説しました。
脆弱性診断は新システムや新サービスを開始した際、機能追加や更改時、また何もなくても定期的に実施すべきものです。一方、ペネトレーションテストは、より堅牢なセキュリティ対策がなされているかを調べたいときに行います。
どちらも信頼できる専門会社のサービスをしっかりと比較して、選ぶのがおすすめです。SHIFTでは豊富な実績とノウハウで、企業様の状況に合った脆弱性診断とペネトレーションテストを実施いたします。セキュリティ対策に関するご相談ごとがあれば、お気軽にお問い合わせください。
>>SHIFTのセキュリティソリューションのページへ
>>お問い合わせページへ
>>料金についてページへ