必要性やリスク、サービスの選び方
脆弱性診断とは?
1.脆弱性とは
脆弱性とは、Webアプリケーション、Webサイト、スマホアプリ、クラウドプラットフォーム(AWS、Azure、Google Cloudなど)、ソフトウェア、ミドルウェア、OS、ネットワーク機器等、情報システムの安全性を脅かす恐れのある欠陥のことです。脆弱性はソフトウェアのバグ、設計上の欠陥、セキュリティポリシーの不備、不正な操作など、さまざまな原因によって発生する可能性があります。攻撃者は「脆弱性」を狙って、システムへ不正アクセスやデータ改ざん、システムダウンなどの攻撃を仕掛けてきます。脆弱性診断は、診断サービスによってこの「脆弱性」を発見し、お客様が適切な対処をすることで、お客様の情報システムのセキュリティリスクを回避します。
2.脆弱性診断(セキュリティ診断)とは
脆弱性診断とは、お客様の情報システムを構成するOSやミドルウェア、Webアプリケーションなどの脆弱性を検出し、そのリスクや影響を評価するプロセスです。脆弱性診断は、セキュリティ上の問題を検出することから「セキュリティ診断」とも呼ばれます。脆弱性診断は、ウイルス対策の実施や情報システムのバージョンアップといった基本的な対策の次に重要な対応策と位置付けられています。サイバー攻撃が巧妙化する昨今では、必要不可欠なセキュリティ対策となっています。
3.脆弱性診断の必要性
脆弱性診断は、情報漏えいや情報システムの使用不能につながる可能性のある脆弱性を特定し報告を行います。お客様に安全な情報システムを提供し、情報セキュリティインシデントの発生防止の為に、脆弱性診断は必要とされています。脆弱性診断を行うことで、システム上の潜在的な脆弱性を発見し、サイバー攻撃による被害を未然に阻止対策することが可能です。発見された脆弱性は「共通脆弱性評価システム(CVSS)」を用いて脆弱性の深刻度を定量的に評価することで、お客様の対策を支援します。現在、経済産業省において、ECサイトに対する脆弱性診断の義務化も検討されています。
4.脆弱性を放置するリスク
近年、サイバー攻撃は多様化・複雑化し、攻撃の頻度が急激に高まっています。また、IT技術の進化によりシステムの複雑化が進んだことで、脆弱性の種類も増加の一途をたどっています。そのため、情報システムが攻撃されるパターンが増加し、攻撃が加速しています。脆弱性を放置することによるWebサイトの改ざん、重要情報の漏えいやシステムを停止させるなどのリスクはますます高まっています。このような脆弱性の悪用を未然に防ぐために、四半期~1年ごとにシステムに対する脆弱性診断を行うことが望まれます。
脆弱性を放置すると以下のようなリスクがあります。
4.1 ウイルス感染の危険性がある
ウイルス感染している情報システムにアクセスした場合、コンピューターもウイルス感染し、被害が拡大していきます。つまり、脆弱性を含む情報システムを管理・運営している企業だけではなく、そこにアクセスしたコンピューターや、利用するお客様にも被害が拡大します。まず脆弱性の有無を確認して、解消しておくことが第一歩になります。
4.2 金銭目的の犯罪発生の可能性がある
近年は金銭を目的にしたサイバー犯罪が多くなっています。不正アクセスによって漏えいした個人情報が売買される被害や、クレジットカード情報が盗まれて不正利用される被害が増えています。サイバー犯罪は金銭を奪う目的で行われるケースが多く報告されているため、このような被害にあわないためにも、脆弱性診断は重要となっています。
4.3 企業のイメージダウンにつながる
機密情報の漏えいや情報システムの改ざんなどの被害が発生した場合は、業務を停止し、事態の収拾のために対応を余儀なくされます。また、直接的な損害以上に、企業の社会的信用が失墜してしまう恐れがあります。企業に悪いイメージがついてしまい、顧客離れや従業員離れにつながるかもしれません。
5.診断サービスの選び方
脆弱性診断サービスの選定には、診断対象の情報システムを考慮したうえで、脆弱性診断サービスの特性を理解することが重要です。診断費用、同業他社への導入実績、診断後のアフターフォロー、そして経済産業省が定めた基準に適合しているかどうかという観点から、最適な脆弱性診断サービスを選ぶための具体的な方法を紹介します。
5.1 診断費用で選ぶ
診断を受ける企業の情報システムの規模、診断範囲、手段、サポート内容などによって診断の費用は変動します。診断頻度や診断内容、診断対象を明確にし、脆弱性診断サービスを提供している数社から相見積もりを行い、診断対象の情報システムの要件に合った脆弱性診断を選びましょう。
5.2 同業他社への導入実績で選ぶ
情報システムの診断を行う際には業種による特性を考慮する必要があるため、同業他社を数多く扱った実績がある企業は信頼性が高いです。脆弱性診断サービスを選定する際に、導入実績をみることも重要となります。
5.3 診断後のアフターフォローで選ぶ
脆弱性診断が終わった後のアフターフォローも重要です。脆弱性が見つかった場合は、その脆弱性の説明や検出方法、対策方法が診断後に提出される結果報告書に記載されているかなどを事前にチェックしておくことが望ましいです。また、診断実施日ごとの速報の提出や、改善後の再診断などのサービスを実施している企業も存在します。脆弱性診断サービスによってアフターフォローの内容が異なるため、診断依頼前に確認しておくことが重要です。
5.4 経済産業省が定めた基準に適合している企業を選ぶ
経済産業省は、脆弱性診断サービスといった情報セキュリティサービスを安心して利用できるよう、「情報セキュリティサービス基準」を設けています。「情報セキュリティサービス基準」は経済産業省が策定しており、この基準をもとに情報セキュリティサービス基準審査登録委員会が情報セキュリティサービスの審査を行います。情報セキュリティサービス台帳には、情報セキュリティサービス基準審査登録委員会が審査し、適合と判定された企業とサービスを掲載しているため、情報セキュリティサービス台帳を確認しておくことが重要です。
脆弱性診断サービス | 情報セキュリティサービス基準審査登録制度 (sss-erc.org)