【初心者向け】セキュリティ診断とは?
今すぐ知っておきたいWebサイトのセキュリティ
対象読者と活用シーン
この資料は、以下のような方々に特に有用です。
-
ウェブアプリリリース前に必読!IPA「安全なウェブサイトの作り方」と最新脆弱性対策を読了し、 実際のセキュリティ診断の種類や手法について知りたい方
-
ウェブサイト、ウェブアプリケーションの開発者
-
ウェブサーバやインフラの運用管理者
-
セキュリティ対策をこれから学びたい初学者
-
自社サイトの安全性を見直したい中小企業の担当者
資料の構成と内容
Webサイトの“健康診断”としての脆弱性診断を、初心者でも理解できるように解説した記事です。
ー 脆弱性診断=リスクを早期に発見し対策を講じるためのシステムの"健康診断"
脆弱性診断とは?
企業のWebサイトや業務システムは、年々高度化するサイバー攻撃の脅威にさらされています。不正アクセスや情報漏えいといったインシデントは、事業継続や企業価値に甚大な影響を及ぼす可能性があるため、事前のリスク把握と対策が不可欠です。
セキュリティ対策の一歩目として、もはや当たり前となりつつあるのが「脆弱性診断」です。本記事では、脆弱性診断をご検討されている方々へ導入のポイントを整理し、解説します。
大きく分けて診断は二種類
脆弱性診断は大きく分けて、インフラ(=ネットワーク診断)とアプリ(=Webアプリケーション診断)の2種類にわかれます。レイヤーが異なるため、診断個所や必要スキル等は異なりますが、公開されている情報に対しての脆弱性をついた攻撃のリスクを診断するという意味においては、共通です。
ネットワーク(プラットフォーム)脆弱性診断
自社のサーバーやネットワーク機器・OSにおけるセキュリティ上のリスクを診断するサービス
Webアプリケーション脆弱性診断
Webサイト、アプリケーションおけるセキュリティ上のリスクを診断するサービス
脆弱性診断=リスクを早期に発見し対策を講じるためのシステムの"健康診断"
脆弱性診断は、Web上に公開されているサイトやシステム、それを支えるネットワーク上に潜む脆弱性(セキュリティホール)を洗い出し、事前に対策を行うための、いわば“健康診断”のようなものです。
企業規模を問わず、新規にWebアプリケーションのリリース前に脆弱性診断を実施することは、もはや当たり前となりつつあります。
特に、個人情報や決済情報を扱うサイトは、リリース前に外部からの侵入経路など、侵入の可能性がある箇所を、アプリレベル、ネットワークレベルそれぞれで徹底的に洗い出すことがマストです。
インシデントが起きてからでは遅い!
「セキュリティインシデント」とは、情報漏洩・不正アクセス・サービス停止など、セキュリティ上の重大な問題が発生することを指します。
一度でもインシデントが起これば、
-
顧客からの信頼を失う
-
法的責任や損害賠償リスクが発生する
-
業務が停止し、売上に直接的なダメージが出る
といった深刻な影響を受けかねません。
こちらのサイトでは、実際のセキュリティ被害ニュースがまとめられています。毎日のようにセキュリティ被害が報告されている昨今、「自分たちには関係ない」は、通用しない状況であることがわかるかと思います。
❝ サイバーセキュリティ・情報漏洩ニュース ❞
https://cybersecurity-jp.com/news
脆弱性診断は定期的に行うことをお勧めします。
日々のアプリケーションのアップデートで新たな脆弱性を生む可能性もあるため、リリース前のスポット診断はもちろん、定期的な診断を受けることで、新たな被害を未然に防ぎます。
脆弱性診断の選び方
「脆弱性診断」と一口に言っても、その種類や深度はさまざまです。
予算とWebアプリの規模と内容に応じて、最適な診断方法を選ぶことが重要です。ここでは代表的な診断方法と、それぞれの特徴、選び方のポイントを解説します。
代表的な診断方法その1 【ツール診断】
自動スキャンツールを用いて、システムやWebアプリに存在する既知の脆弱性をスキャンする手法です。BurpSuiteが有名です。
コストが比較的低く、短時間で広範囲をカバーでき、Webブラウザ経由で使用できるツールもあることから、気軽に脆弱性診断を実施することができます。
メリット
-
自動化されており、短時間で完了
-
既知の脆弱性を発見しやすい
懸念点
-
ページ遷移があるなど複雑なサイトでの脆弱性は発見されにくい
-
本当に対応が必要な脆弱性なのか判断がしずらい
費用感
数万円~数十万円
※レポートやアドバイスなどのサービス部分で費用が前後します。
推奨企業
-
LPや紹介ページなど静的なページである
-
コストがかけられない
-
自社でセキュリティに強い人材がいる
代表的な診断方法その2 【手動診断】
手動診断は、診断実施者が直接システムやアプリケーションにログインをし調査を行い、脆弱性を特定する診断方法です。診断実施者の経験や知見による診断のため、ツール診断では見つかりにくい、ページ遷移が複雑なWebサイトの脆弱性も、手動診断によって発見することが可能です。
詳細も診断できるメリットがある一方で、手動診断は時間がかかり、結果的に費用が高額になるケースがあります。
実際には、ツール診断と組み合わせて、それぞれのデメリットを補完しながら、診断を進めるケースが一般的です。
メリット
-
ページの遷移によって結果が異なるような複雑なシステムにおいて、ツール診断で見つけられない脆弱性が発見できる
懸念点
-
時間がかかる
-
診断実施者のスキルに依存する
費用感
数十万円から数百万円
※対象となるページ数、機能数、API数に依存します。
推奨企業
-
個人情報を取り扱うアプリ・サイト
-
課金システムがあるなどビジネスに直結するアプリ・サイト
-
お金をかけてでも、しっかりと診断を行いたい
代表的な診断方法その3 【ペネトレーションテスト(侵入テスト)】
専門のセキュリティエンジニアが実際の攻撃者(ホワイトハッカー)になり、対象システムに侵入可能かをテストする手法です。 “実際に突破できるかどうか”を検証するため、非常に実践的で、診断だけでは見つからないシステム自体の問題も可視化することができます。
メリット
-
実際にハッカーに狙われた際のシミュレーションとなるため、経路や影響度まで詳細に可視化することができる
懸念点
-
時間とコストがかかる
-
実施には高度なスキルが必要
費用感
数百万~数千万円
※対象となるページ数、機能数、API数に加え、どういった攻撃シミュレーションを実施するかで大きく変わります。
推奨企業
-
クレジットカード・個人情報などの機密情報を扱っている
-
セキュリティ要件が厳しい業界(金融、医療など)
-
すでに対策済みのサイトの“抜け道”をチェックしたい
診断方法比較
脆弱性診断の実施前のチェックポイント
-
診断範囲はどこまで?
-
公開サイトのみ/管理画面/API含むかなど
-
診断後のレポートはどのくらい詳細?
-
再現手順・リスクレベル・対処法の記載有無など
-
診断後のサポートがあるか?
-
対策提案や再テスト対応など
-
ベンダーの信頼性と実績は?
-
セキュリティ資格・取引実績など
サイバーマトリックスが提供するMatrix Inspectは、IPA登録事業者
セキュリティ対策の一環である脆弱性診断について、ご理解いただけたでしょうか?セキュリティの「健康診断」を早期に行うことにより、重大インシデントが起きる前に予防することができ、事業の信頼性を守り、安心して本来の業務に取り組むことが可能となるでしょう。
ただ、最適な診断方法は会社や事業によって異なる為、専門家への相談がオススメです。サイバーマトリックスが提供するMatrix Inspectは、IPA(独立行政法人情報処理推進機構)登録事業者です。セキュリティ専門家が現状の課題を伺い、診断方法をご案内します。ぜひ一度、ご相談ください。
Matrix Inspectの特徴
-
Webアプリケーションの脆弱性診断
-
対象アプリのプラットフォーム診断が無料付帯
-
AWS等のクラウド環境のアプリケーションに強い
-
経済産業省主導の「情報セキュリティサービス基準」に登録済
-
OWASP Top 10などの国際基準を満たす診断品質
-
自社プロダクト[CyberNEO]を開発する、開発者側への理解
-
ペネトレーションテストが90万円~と明朗で良心的な価格設定
課題編 / ソリューション編 / サービス編 3部作で公開中!
