セキュリティの定期診断の必要性とは?種類・やり方・メリットを解説
なんとなくセキュリティ対策をしていませんか?
実は「セキュリティ診断」をすればどんなセキュリティ対策をすればいいか具体的にわかり、セキュリティ対策での迷いや不安がなくなります。
とはいっても、セキュリティ診断に関して以下のような疑問を持つ方も多くいます。
「セキュリティ診断ってそもそも本当に必要なの?」
「セキュリティ診断は具体的にどんなことを調べているのかわからない」
「本当にセキュリティ診断がセキュリティ対策になるの?」
そこで今回は、セキュリティ診断の必要性や種類、方法、メリットをわかりやすく説明します。
またセキュリティ診断サービスを利用する際の注意点もご紹介します。
5分程度でセキュリティ診断を理解できるので、自社に必要なセキュリティ対策が知りたい方は最後まで必見です。
セキュリティ診断(脆弱性診断)とは?
- セキュリティ診断ってそもそも何ですか?どういう目的で行うのでしょうか。
- セキュリティ診断とは、今のセキュリティに脆いところがないかを診断するものです。セキュリティは一度導入したからといってずっと安心というわけではないため、定期的にセキュリティ診断をすることが大切です。
とはいっても、セキュリティ診断がどのようにセキュリティ対策に役立つか、いまいちわからないという人もいるでしょう。
そこで、ここではセキュリティ診断(脆弱性診断)の基礎知識として「具体的に何をするのか」「なぜ定期的な診断が必要なのか」について詳しく解説します。
サーバやアプリの欠陥を検出して対策すること
セキュリティ診断とは、サーバやアプリの欠陥を検出することです。
「脆弱性診断」とも呼ばれ、セキュリティ上の脆弱性を見つけて対策することを目的とします。
- その「脆弱性」とは何ですか?
- 脆弱性とは、サーバ・アプリ・ネットワークなどに存在する、セキュリティ上の問題のことです。これらは人が設計したものであるゆえ、不具合や欠陥によるセキュリティの穴が生じる場合があります。
脆弱性やセキュリティの穴は、第三者による悪意ある攻撃の絶好の的です。
セキュリティ事故が発生する前にサーバやアプリの欠陥を検出し、必要な対策をすることで大きな被害を未然に防ぐことにつながります。
脆弱性の種類は700以上!?セキュリティ診断は必要不可欠
- では、セキュリティ診断で検出できる脆弱性はどのくらいありますか?
- ソフトウェアにおける脆弱性は、700種類以上あると言われています。これだけの数の脆弱性を検出して的確なセキュリティ対策を行うには、セキュリティ診断は必要不可欠です。
脆弱性の種類は、アメリカの非営利団体「MITRE」を中心に作成された「共通脆弱性タイプ一覧CWE(Common Weakness Enumeration)」に公開されています。
代表的な脆弱性には、以下のようなものがあります。
- SQLインジェクション(CWE-89)
WEBアプリケーションのデータベースを不正に操作されてしまう脆弱性のことです。
攻撃者は入力フォームなどに記入する文字列に不正なSQL文を意図的に注入(インジェクション)し、データの消去・改ざん・盗用を図ります。 - クロスサイトスクリプティング(CWE-79)
WEBサイトに不正なスクリプトを仕掛けられる脆弱性のことです。
アクセスしたユーザーはリンクなどで悪質なサイトへ誘導され、入力した情報やクッキーなどが攻撃者へ漏洩します。 - バッファオーバーフロー(CWE-119)
コンピューターが許容できる以上の情報を送りつけられてしまう脆弱性のことです。
コンピューターの誤作動・システム停止などの被害につながり、正常に動かない間に攻撃者に乗っ取られてしまうこともあります。
サイバー攻撃は日々進化する!定期的な診断が重要
- なぜ、定期的なセキュリティ診断が必要なんですか。一度だけではダメなのでしょうか。
- 確かに一度セキュリティ対策を実施しておくと安心ですが、サイバー攻撃の手法は日々進化しているため、定期的な診断による対策の見直しは必要不可欠です。
日本国内の情報セキュリティ対策活動の向上に取り組む「JPCERT/CC」は、WEBアプリケーションのセキュリティ診断を1年に1回程度、および機能追加など変更が行われたときに実施するようすすめています。
今までに一度も「セキュリティ診断をしたことがない」という場合は、まず「OFFICE110」の「セキュリティ調査」をご利用ください。
現地調査からセキュリティ対策のアドバイス・サポートまで、今なら10万円以上のサービスが無料で受けられます!
セキュリティ診断を怠ることのリスク
- セキュリティ診断を怠るとどのようなリスクがありますか?
- 主なリスクとして考えられるのは「機密情報・個人情報の漏洩」「WEBサイトやデータの改ざん」です。また近年では、「身代金を要求するランサムウェア」も増えています。
ここでは、セキュリティ診断を怠ることの3つのリスクを事例とともに解説します。
リスク①機密情報・個人情報の漏洩
セキュリティ診断を怠ることのリスクに、機密情報や個人情報の漏洩が挙げられます。
脆弱性を突いた不正アクセスにより情報漏洩が生じると、企業の技術情報や顧客の個人情報が売買される被害につながります。
事例①:
2021年6月22日~11月3日にかけて、パナソニックのファイルサーバは複数回にわたり不審者による不正アクセスを受けていたことが判明。これにより、従業員・取引先の情報や同社の技術情報など、サーバ内部に保存されていた一部データが外部に流出した可能性があり、緊急対応が求められる結果となった。
事例②:
オカ株式会社が運営する「マット&ラグファクトリー本店」への不正アクセスがあり、個人情報が漏洩したことが2022年2月21日に発表された。これにより、顧客のクレジットカード情報などが1,635件、および個人情報が最大7,086件漏洩した可能性があると判明した。
情報の漏洩は、情報の売買への被害につながるだけでなく、企業の信頼問題に関わる大きなリスクと言えるため、しっかりとした対策が求められます。
リスク②WEBサイトやデータの改ざん
セキュリティ診断を怠り脆弱性を放置していると、WEBサイトやデータの改ざんのリスクも高まります。
攻撃者はWEBサイトの改ざんにより個人の思想を掲載したり、閲覧者にウイルスを感染させたりして、WEBサイト運営者のみならず閲覧者にまで大きな被害を及ぼします。
WEBサイトの改ざんといえば、2000年に起きた官公庁関連のWEBサイトが連続で改ざんされた事例を思い浮かべる方も少なくないでしょう。
その後も脆弱性を突いた攻撃のひとつとして、以下のような事例が発生しています。
事例①:
2018年4月に、ストリーミングサイト「VEVO(ヴィーヴォ)」のYouTubeチャンネルが改ざんされ、有名アーティストの動画タイトルとサムネイル画像が差し替えられた。
被害を受けたビデオには、50億回以上も視聴されているプエルトリコの人気歌手ルイス・フォンシの「Despacito(デスパシート)」も含まれており、サムネイル画像にはスペインのテレビドラマ「La Casa de Papel(ラ・カサ・デ・パペル)」の覆面強盗団が使用された。その後、ハッカーのひとりがTwitterを通して単なる悪戯である旨を投稿したものの、WEBアプリケーションの脆弱性への対策が必要であることが明らかになった。
WEBサイトやデータの改ざんは、ときに業務の停止にもつながりかねません。こちらも大きな脅威となる可能性があります。
リスク③身代金を要求されることも
セキュリティ診断を怠ることは、データ復旧などと引き換えに身代金を要求する「ランサムウェア」への感染リスクにもつながります。
警視庁に報告のあったランサムウェアは、2021年上半期で61件、下半期で85件でした。
「IPA(情報処理推進機構)」が発表した「情報セキュリティ10大脅威2022」では、「ランサムウェアによる被害」は組織として警戒するべきセキュリティ脅威として、前年に引き続き第1位に選出されています。
実際、ランサムウェアまたはそれが疑われる以下のような事件が発生しており、セキュリティ診断の重要性は明らかです。
事例①:
2021年10月、徳島県つるぎ町立半田病院の電子カルテシステムがランサムウェアに感染し、「身代金を払わないと盗んだデータを公開する」と脅迫された。病院側は攻撃者と交渉は行わず、約2億円をかけてシステムの再構築を目指すことにしたが、新規や救急を中止したり治療費の請求を延期したりするなど、大きな被害を受けた。
事例②:
2022年3月1日、トヨタ自動車の主要取引先である「小島プレス工業株式会社」は、サーバがマルウェア感染によりシステム障害を起こしたと発表。これにより国内14のすべての工場が停止し、13,000台の生産に影響が出た。
サーバのウイルス感染とともに英文による強迫メッセージも確認され、ランサムウェアによる攻撃であると考えられている。
企業にとって情報は、安定した業務に必要不可欠なもの。
セキュリティ対策不足によって情報が持ち出された場合、時間やお金など復旧するための代償が大きくなる可能性があります。
セキュリティ診断の種類
- セキュリティ診断には、どのような種類が何あるのですか?
- セキュリティ診断は、「プラットフォーム診断」と「アプリケーション診断」の2つに分けられます。
ここではセキュリティ診断の2つの種類と、診断の一環として提供されることもある「ペネトレーションテスト」について解説します。
種類①プラットフォーム診断
プラットフォーム診断では、ネットワークの内外からセキュリティ診断をします。
主にサーバやネットワーク機器のコンディションをチェックし、OS・ミドルウェア・ソフトウェアに脆弱性がないかを調査します。
プラットフォーム診断は、さらに以下の2種類に分けられます。
- リモート診断
WEBアプリケーションのデータベースを不正に操作されてしまう脆弱性のことです。
攻撃者は入力フォームなどに記入する文字列に不正なSQL文を意図的に注入(インジェクション)し、データの消去・改ざん・盗用を図ります。 - オンサイト診断
オンサイト診断は、セキュリティの専門家が実際に企業を訪問して内部ネットワークから診断する方法です。
社内で使用するパソコンやデータベースなど、内部ネットワークに接続している機器の脆弱性を検査します。
依頼する業者や診断コースにより違いはありますが、プラットフォーム診断では主に以下の項目をチェックします。
- 不正ログイン
- 脆弱な設定
- 脆弱なバージョン
- Dos攻撃
- 不要なサービス
- 不要なアカウント
- 安易なパスワード
- 権限の奪取
種類②アプリケーション診断
アプリケーション診断では、WEBサイト・WEBアプリケーション・スマホアプリに存在するセキュリティ上の脆弱性を診断します。
診断対象には、「会員向けサイト」「ショッピングサイト」「予約システム」「オンラインバンキング」「SNS」などがあり、セキュリティ脅威の有無を網羅的に洗い出すのが目的です。
アプリケーション診断では、主に以下のような項目をチェックします。
- クロスサイトスクリプティング
- SQLインジェクション
- OSコマンドインジェクション
- 強制ブラウジング
- 情報漏洩対策
- 不適切な認証
- クリックジャッキング
- アクセス制御の不備
- アプリ内課金不正利用
ペネトレーションテストとは?
セキュリティ診断と類似した診断に、「ペネトレーションテスト」があります。
セキュリティ対策の一環として実施されることが多いですが、脆弱性診断とは目的が異なり、必要に応じて使い分けることが必要です。
セキュリティ診断ではシステムに潜む脆弱性を網羅的に検査するのに対し、ペネトレーションテストでは攻撃者の視点で一定期間内に目的が達成できるかを調査します。
具体的には、以下のような攻撃者の目的を明確に設定して、さまざまな技術を用いて疑似攻撃を行い調査していきます。
- クロスサイトスクリプティング
- 顧客・個人情報を奪取する
- 外部公開サーバを踏み台にして内部システムの情報を奪取する
- マルウェア感染したクライアント端末からActive Directoryの管理者権限を奪取する
- 特定サービスの本番データベースから情報を奪取する
- 内部犯行を想定して機密文書を外部へ持ち出す
セキュリティ診断のやり方
- セキュリティ診断はどのようなやり方で実施されるのですか?
- セキュリティ診断のやり方は、「ツール診断」と「手動診断」に分けられます。それぞれにメリット・デメリットがあるため、診断する対象に応じて使い分けたり、組み合わせたりする必要があります。
ここでは、セキュリティ診断の2つのやり方を、メリット・デメリットを含めて解説します。
ツール診断
ツール診断は、専用のツールを使って設定項目を自動で検査する方法です。
自動的に検査を行うため、特に専門的な知識を持っていない方でも診断することができます。
また、短時間かつ低コストでセキュリティ診断できるのもメリットです。
ただし柔軟な設定はできず、診断する対象が複雑なシステム構造の場合、対応できずに誤診断するケースもあるため注意が必要です。
ツール診断は、コーポレートサイトやキャンペーンサイトなどを、コストを抑えて素早く診断したい場合に向いています。
手動診断
手動診断は、対象となるWEBサイトをセキュリティの専門家が実際に操作して検査する方法です。
知識と経験豊富な専門家による精度の高い診断が期待でき、ツール診断では難しい複雑なシステム構造にも対応できます。
また、専門知識が豊富なスタッフにわからないことを質問しながら、じっくりと診断を進められるのもメリットです。
ただし、診断する専門家の技術力に応じてコストが高くなったり、診断結果が出るまでに時間がかかったりするデメリットもあります。
ECサイトなど個人情報を大量に取り扱うサイトは、セキュリティ事故がビジネスに大きな悪影響を及ぼすため、ツール診断に加えて手動診断の実施がすすめられています。
セキュリティ診断を実施することのメリット
- セキュリティ診断の定期的な実施には、どのようなメリットがありますか?
- セキュリティ診断にはコストや時間がかかりますが、定期的に実施することで「安全なサービス提供と社会的信用」「セキュリティ対策コストの削減」の2つのメリットが得られます。
ここでは、セキュリティ診断を定期的に実施することのメリットを具体的に解説します。
メリット①安全なサービス提供と社会的信用
セキュリティ診断を定期的に実施することで、顧客への安全なサービス提供と社会的信用が得られるメリットにつながります。
セキュリティ診断の実施により事前に脆弱性への対策ができ、顧客が安心して利用できるサービスを提供できます。
信頼できるサービスとして実績を積むことは、リピーターや新規顧客の獲得、さらには業績アップなど企業の成長に必要不可欠です。
近年では、個人情報の漏洩などが大々的に報道されることも増えており、セキュリティ事故は企業活動にとって大きなダメージになります。
セキュリティ診断を定期的に行い、万全の態勢でサービス提供を行う企業は、「健全な運営を行う企業」として社会的信用を得られるでしょう。
メリット②セキュリティ対策コストの削減
セキュリティ診断の実施により、セキュリティ対策コストを削減できるメリットもあります。
定期的な診断をすると診断費用がかさみ、コストが上がるのではと思う方もいるかもしれませんが、実は逆です。
セキュリティ診断では、システムの脆弱性やセキュリティの穴をピンポイントで発見できるため、対策として何を優先的するか迷うことはありません。
やるべきことが明確になると担当者の負担が軽減され、限られた予算内で無駄なくセキュリティ対策が実現します。
一方で、最新のセキュリティ対策ツールを闇雲に導入する方法では、どうしてもコストは高くなりがちです。
例えば、複数のセキュリティ対策ツールを導入している場合、不要または重複している機能が付いていて、無駄なコストがかかっているケースが多くあります。
定期的なセキュリティ診断を行うことこそが、適正な対策とコスト削減につながるのです。
セキュリティ診断サービスを利用する際のポイント
- セキュリティ診断サービスを利用する際は、何に注意したらよいですか?
- セキュリティ診断は種類に応じてある程度の時間を要するため、「スケジュールの調整」が必要です。また、「費用相場を知る」ことや、「アフターフォローの有無の確認」も大切なポイントです。
ここでは、セキュリティ診断サービスを利用する際の3つのポイントを具体的に解説します。
ポイント①スケジュールを調整する
セキュリティ診断サービスを利用する際は、診断の種類に応じて時間を要するためスケジュールの調整が必要です。
診断自体は1日~数日で終わる場合もありますが、事前調整から報告会まではトータルで1ヵ月程度かかると見ておいたほうがよいでしょう。
また、ツール提供により自社で診断するケースでは1週間程度で実施できる場合もありますが、専門家による手動診断を依頼する場合はスケジュールの調整に時間がかかることも考えられます。
手動診断やペネトレーションテストなどはツール診断よりも時間がかかるため、実施予定時期の1~2ヵ月前にはスケジュールの調整をはじめておくと安心です。
また、年度末など繁忙期には多くの企業がセキュリティ診断サービスを利用すると考えられるため、できるだけ早めにスケジュール調整を行いましょう。
ポイント②費用相場を知る
セキュリティ診断サービスは、内容や診断方法に応じて価格も異なるため、費用相場を知ることも大切なポイントです。
セキュリティ診断サービスの価格帯は、30万円以下のものから100万円を超えるものまでさまざまです。
診断項目そのものに大差はなくても、ツール診断と手動診断、診断する専門家の技術力によって値段は変わります。
しかしコストを優先した結果、脆弱性が見つけられなければ、診断の意味がなくなってしまいます。
WEBサイトやシステムの規模・性質に合わせて適切なサービスを利用しましょう。
「どのセキュリティ診断サービスを利用すればよいかわからない」「セキュリティ診断の費用がネックになっている」という場合は、「OFFICE110」の無料現地調査をご利用ください。
セキュリティ関連の資格を保有するスタッフが直接対応し、御社全体のシステム・ネットワークの脆弱性を徹底的にチェックいたします!
ポイント③アフターフォローの有無を確認する
セキュリティ診断サービスを利用する際は、アフターフォローの有無も確認しましょう。
セキュリティ診断ではシステムに存在する脆弱性やセキュリティの穴を発見することができますが、それだけでは不十分です。
「診断後のレポートはどのように受け取るのか」「報告会で質疑応答は可能か」「システム修正箇所の再診断は受けられるか」など、アフターフォローも含めて検討しましょう。
また、企業とホワイトハッカーをつなぐ比較的低価格のサービスもありますが、報告書やアフターフォローは日本語で対応していない場合もあり、事前に確認する必要があります。
「OFFICE110」では専門家によるセキュリティ診断だけでなく、最適なセキュリティ商品の提案・販売・アフターフォローまでワンストップで対応しています。
セキュリティ商品導入後の障害時のサポートをはじめ、「最新のサイバー攻撃の動向と解決策の共有」などにより、御社のセキュリティレベル向上のための総合的な支援もいたします。
セキュリティ対策にお悩みの方は、ぜひお気軽にご相談ください!
まとめ
セキュリティ診断とはサーバやアプリの欠陥を検出することです。
またこのサービスは、その後の対策もセットで提供していることもあります。
診断によってシステムの脆弱性やセキュリティの穴を発見し早めに対策することで、攻撃者による不正アクセスやマルウェアなどサイバー攻撃の防止が期待できます。
サイバー攻撃の手法は日々進化しており、情報漏洩や身代金を要求する「ランサムウェア」などの被害は増加傾向にあります。
不十分なセキュリティ対策によりサイバー攻撃を受けて多額の被害にあわないためにも、すべての企業において定期的なセキュリティ診断が必要不可欠です。
自社のセキュリティ環境をハイレベルに強化したいなら、セキュリティ診断からセキュリティ商品の提案・販売・アフターフォローまでワンストップで対応する「OFFICE110」にお任せください!