2022.1.27 /

脆弱性診断とは

脆弱性診断とは、OSやネットワーク、Webアプリケーションなど各種ソフトウェアに対して、セキュリティ上の弱点や欠陥、問題点、またはそれになりうる点がないか診断することです。

ネットワークに接続された各種アプリケーション(ソフトウェア)は、当然欠陥や不具合のないように作られるべきものですが、人間が設計・開発するものである以上、完全になくすことは非常に困難と言えます。

また、「セキュリティホール」という言葉もよく聞きますがこれも脆弱性の一種で、ソフトウェアの仕様として本来できないはずの操作ができてしまう、見えてはいけない情報が外部から見えてしまう、などの想定外の不具合のことを指します。

こういった不具合への対処として、WindowsなどのOSでも定期的なアップデート時に対応するパッチプログラムが適用されますが自動アップデートにしていない場合、これらのパッチが当てられず問題がそのままになる可能性があります。そのような不具合がセキュリティ的に非常に危険なものである場合、知らないうちにPCや環境が危険に晒されてしまうことがあります。

脆弱性診断は、こういったセキュリティ上の問題点を洗い出して、被害の芽を事前に摘むことになります。

 

脆弱性診断の目的

脆弱性診断の目的は、脆弱性を悪用された場合にシステムが意図的または偶発的な侵害を受ける可能性のある、既知の脆弱性の特定やランク付けをし、結果を報告することです。

診断を実施して発見された脆弱性を、その種類(カテゴリ)や危険性(重要度)によって評価することで、講じるべき対策方法を導くことができます。

利用者にとって安全なWebサイトやWebアプリケーションを提供するために、そして情報セキュリティ対策コストの低減、情報セキュリティに関するインシデントを防止する為に脆弱性診断は必要とされています。

 

 

脆弱性を放置することによるリスク -攻撃者の侵入のチャンスが増大する

攻撃者からしてみれば脆弱性の放置されている環境は鍵をかけ忘れている家と同じです。

しかも家主は鍵をかけ忘れていることにすら気がついていないので、いつでも盗み放題、家主は盗まれていることにも気がつかないという最悪の状況となります。

気が付かない時間が長ければ長いほど、被害が増大しさらなる被害を広げる準備をされてしまいます。

家のドアで鍵をかけ忘れていないか確認するのと同じように、定期的に脆弱性がないか知らないうちに脆弱性が発生していないか注意しなくてはいけません。

 

さらなる被害の可能性を広げる

一度侵入された環境では攻撃者はさらなる攻撃をしやすいように、様々な罠をしかけます。

泥棒は一度盗みに成功し守りの甘い家だと判断すると、あえて1回で多くを盗まず痕跡を残さないようにすることで何度も侵入し盗みをおこなうといいます。

スパイウェアやトロイの木馬、キーロガー、バックドアなども同じように仮に今の侵入に気づかれても、別の方法での再侵入や攻撃が可能になるように様々な準備をされてしまいます。

また、自社への直接の被害はなくても、サイトやWebアプリケーションにアクセスすることにより感染するウイルスを設置されることで、利用ユーザーや取引先に被害が広がり、迷惑をかける可能性もあります。

一度しっかりとした脆弱性診断をおこない対策を施した上で、定期的な検査も怠らないようにしましょう。

 

社会的信用も打撃を受け、事業継続困難になるケースも

仮に自社のサービスの脆弱性が原因で、利用ユーザーや取引先に被害が発生した場合、それによる社会的信用の低下は長期に渡り事業活動に影響を与えます。最近のランサムウェアによる被害では、大企業や公的機関が攻撃され自社にも金銭的被害が出ただけでなく、機密情報が漏洩したことが全世界に知れ渡ることで社会的信用は壊滅的な被害を受けます。

一度低下した社会的信用は簡単には回復せず、事業の継続そのものが困難になるケースもあります。これだけ多くの企業が被害を受けたニュースが多く報道される中、まさか自社がそんなことになるとは思わなかった、では済まされません。

 

脆弱性診断の実施頻度

サイバー攻撃は、時々刻々高度かつ複雑な手法が生み出され、攻撃対象も大企業に限らず範囲も広がっています。攻撃者たちは、よりシンプルなツールやOSなどの基本的技術の裏をかくことで普通の処理をしているように見せかけ、重大な脆弱性を悪用して攻撃することで、被害が急増しています。

またそれらのツールは毎日のように新しく作り出され、闇サイトで容易に入手できるようになっており、素人でも簡単にサイバー攻撃ができてしまう状況になっているため数年前と比べて攻撃の数も爆発的に増加しています。Webサービスのセキュリティを守るためには、様々な外部からの脅威に備え続ける必要があります。

脆弱性診断は情報漏えい事故など、いつ発生するかわからないセキュリティインシデントのリスクを未然に回避するためにも、定期的に実施するように心がけるべきです。 

脆弱性診断は、ウイルス対策ソフトのインストールやOSやアプリケーションを常に最新版にアップデートするなどの基本的対策とともに必要とされる対策です。

また、比較的安価で実施できる割に、短期間で効果が期待できる費用対効果の高いセキュリティ対策です。

どんな企業でもセキュリティへの攻撃を受ける可能性のある現在、ぜひ検討してみてはいかがでしょうか。

 

SHARE

COLUMN LIST

CONTACT

お問い合わせはこちらから