はじめに
近年、IT技術の発達に比例してセキュリティ被害のニュースも目にするようになってきました。システムにセキュリティ対策は必須だと理解はできているものの、対策方法の詳細や具体的な導入手順まではよく分からないという方も多いのではないでしょうか。
本記事では、有効な対策の一つであるセキュリティ診断の定義や重要性、診断の種類・選び方についてご紹介していきます。セキュリティ診断を実施したいけれどどのような診断が自社に適しているのか、どうやってサービスを選べば良いのか分からないという方はぜひ参考にしてください。
サイファー・テックではDRMやセキュリティ診断など、権利や資産を守るための製品・ソリューションを提供しています。
セキュリティ診断とは?
まずはセキュリティ診断とは何かを改めて確認しましょう。
セキュリティ診断とは、システムやネットワーク、アプリケーション、プラットフォームなどの脆弱性や、組織のセキュリティポリシー、人材、業務プロセスなど、さまざまな側面のセキュリティレベルを把握する診断の総称です。
日本では、「セキュリティ診断」を「脆弱性診断」と表現することも多いですが、脆弱性診断は主にシステムやアプリケーション内の技術的な欠陥を評価する診断であり、セキュリティ診断の一部です。
セキュリティ診断の目的と重要性
セキュリティ診断の目的は、サイバー攻撃や内部不正から組織のデータや資産を守り、堅牢なセキュリティ体制を確立することにあります。
具体的なメリットとして、まずは外部からの攻撃リスクを軽減することが可能です。たとえば、診断を通じてシステムの技術的な脆弱性が発見された場合、早期に修正を行うことでデータ損失や業務停止などのリスクを低減できます。また、内部からの不正行為に対してもセキュリティ診断は有効です。診断を通して組織体制や運用フローに不備が見つかれば、従業員による意図的な情報漏えいや不正を防止することが可能です。
IT技術の向上によりサイバー攻撃などのリスクが懸念される昨今、セキュリティ診断の実施は、安心して業務を継続するうえで重要です。
主なセキュリティ診断の種類
セキュリティ診断にはどのような種類があるのでしょうか?ここではセキュリティ診断の主な種類を2つ紹介します。
脆弱性診断
脆弱性診断とは情報の安全性を脅かす恐れのある技術的な欠陥やセキュリティリスクを特定するための診断です。その診断対象は、主に下記2つに分けられます。
アプリケーション診断
アプリケーション診断は、ECサイトやゲーム、SNSなどのWebアプリ、モバイルアプリやデスクトップアプリなど、あらゆるソフトウェアの脆弱性を診断するものです。システムの構築内容や環境に合わせて診断を行い、システム停止や情報漏えい、データ改ざん、不正アクセスや認証回避につながる脆弱性を洗い出します。具体的な診断対象としては認証機能、アクセス制御、セッション管理などがあります。
プラットフォーム診断
プラットフォーム診断は、Webアプリケーションを使用するためのネットワーク機器やOS、サーバー、ミドルウェアに対して行う脆弱性診断です。技術的な脆弱性に加え、設定の不備や不適切な箇所がないかどうかもあわせてネットワークの内外から評価します。
具体的な診断内容としては、ポートスキャン、バナーチェック、プロトコルの脆弱性、セキュリティホールチェック、不適切なソフトウェアの検出などが挙げられます。
脆弱性診断はセキュリティインシデント発生後に実施するのではなく、できるだけ早い時期に実施するようにしましょう。システムの導入前や大規模なアップデートを実施した後など、タイミングを見極めることが重要です。また、脆弱性診断は一度の実施で良いというわけではありません。日々、新しい脅威が生まれるため、定期的に診断を行うことで最新のセキュリティ状態を維持するようにしましょう。
サイファー・テックのセキュリティ診断サービス「Critical Hit」は、経済産業省が定めた「情報セキュリティサービス基準」に適合しているサービスとして認められています。
ペネトレーションテスト
ペネトレーションテスト(侵入テスト)は、情報システムやネットワークのセキュリティを評価するセキュリティ診断です。特に悪意のある攻撃者の視点から脆弱性を検出し、どのように悪用されるかを分析します。ペネトレーションテストでは、脆弱性診断のような既知の脆弱性を発見するだけでなく、新たな脆弱性の発見にも焦点を当てています。検知した脆弱性がどのように悪用されるのか、またどこまで影響が出るのかを評価します。脆弱性診断と似た診断であることからよく混同されますが、このように診断の目的が脆弱性診断とは大きく異なります。
さらにペネトレーションテストには、システムやネットワークの技術的な評価だけでなく、人や組織を対象とした「脅威ベースのペネトレーションテスト(TLPT)」という診断も存在します。
通常のペネトレーションテストはシステムの脆弱性を広範囲に調査しますが、脅威ベースのペネトレーションテストでは、実際に発生し得る脅威に焦点を当て、攻撃者が利用しそうな具体的な手口や攻撃経路を検証します。この手法により、組織のセキュリティ体制が現実の脅威に対してどれほど耐えられるかを評価し、効果的な対策を講じることが可能です。
強固な組織体制を確立する手段として、アメリカを中心に多くの国で注目を集めている診断です。
セキュリティ診断の精度を高める「ソースコード診断」
これまで、主なセキュリティ診断として脆弱性診断とペネトレーションテストを紹介しました。一般的な脆弱性診断はシステムやネットワークを広範囲に検証して、既知の脆弱性や誤設定を検出し、ペネトレーションテストは攻撃経路に焦点を絞るため、限られた範囲の脆弱性に特化しています。しかし、これらの手法では、内部のソースコードやそのロジック、実装ミスに関しての検証は行われません。より精度の高いセキュリティ対策を検討している場合、ソースコード診断の実施も検討すると良いでしょう。
ソースコード診断は、ソースコードを解析しプログラム内部に潜む脆弱性を発見する手法です。コードレベルでセキュリティを評価するため、一般的な診断では見つけにくい論理的なエラーや、設計上の欠陥を特定することが可能です。
なお、ソースコードを開示して行う診断を「ホワイトボックス診断(ホワイトボックステスト)」、コードを開示せずに行う診断を「ブラックボックス診断(ブラックボックステスト)」と呼びます。また、両者を組み合わせ出た「グレーボックス診断(グレーボックステスト)」というものも存在します。これはソースコードにはアクセスしないものの、内部構造に関する部分的な知識や設計を把握したうえで行う診断(テスト)です。
ソースコード診断は、OWASP(※1)が提供する「Web Security Testing Guide(WSTG)」や「Mobile Application Security Testing Guide(MASTG)」にも含まれており、Webアプリケーションやモバイルアプリケーションの重要なセキュリティ評価項目となっています。そのため、脆弱性診断やペネトレーションテストとあわせて実施することで、深刻なセキュリティリスクを事前に発見しシステムの安全性をさらに向上させることが可能です。
(※1)OWASP:テストツールやセキュリティ情報を提供する、アプリケーションのセキュリティ向上を目的としたコミュニティ。Open Web Application Security Projectの略称。
セキュリティ診断サービスの選び方
セキュリティ診断は、診断の種類や目的によって診断できる内容や範囲が異なります。ここではどのようにして診断サービスを選ぶべきなのか、選び方のポイントを3つご紹介します。
診断内容(範囲や深度)が十分かどうか
最初に確認するべきポイントは、診断範囲が自社の要件を満たしているかどうかです。一口にWebアプリケーションといっても、機微なデータを扱うのか、重要インフラで使われるのか、どちらにも該当しないのかによって検証すべき内容は異なります。モバイルアプリケーションの場合も、機密データを取り扱うかどうか、アプリケーションの解析・改ざんなどへの耐性が必要かどうかによって診断内容は変わってきます。自社が求めるレベルの診断内容をサポートしているかどうかを確認することが不可欠です。
また、安価なプランでは診断項目が限られているケースもあります。たとえばWebアプリケーションを対象とする場合、認証、セッション管理、アクセス制御、入力検証、コンテンツ公開設定など、検証すべき項目は多数存在します。確認したい脆弱性や、診断項目の詳細さをどの程度まで求めるのかを明確にしておきましょう。そうすることで、自社に適した診断サービスをより効果的に選定することができます。
手動・自動(ツール)を使い分けて診断しているか
次に重要なのは、診断手法です。
セキュリティ診断には、自動診断と手動診断の2種類があります。それぞれの違いを理解した上で、適切な手法を選定することが重要です。
自動診断は、ツールを利用して診断を行う手法です。大量のシステムやアプリケーションを素早く診断し、一般的な脆弱性を効率的に検出します。設定された項目を自動的にチェックするため、費用を抑えながらスピーディに診断を実施できるメリットがあります。しかし、複雑なシステムや独自の設定に対応することが難しく、手動診断に比べて精度が劣る場合があります。また、ツールの診断範囲外の脆弱性を見逃す可能性もあります。
これに対し、手動診断は専門家が高度な分析を行い、ツールでは見逃す可能性のある複雑な脆弱性を発見する手法です。要件にあわせて診断項目を決めるため、複雑なシステムや特有の要件に対しては、自動診断より手動診断が有効です。ただし、コストは自動診断よりも高く、費用は検証内容によって数十万から数百万円に及ぶこともあります。
どちらか一方を選ぶ方法もありますが、より効果的に行う場合は診断内容に応じて自動診断と手動診断を組み合わせるのが理想的です。コストと精度のバランスを考慮し、専門知識が必要な場合は、経験豊富な診断企業に相談するのも一つの方法です。
サイファー・テックでは、経験豊富な診断員がご要件に合った最適な診断をご提案いたします。
アフターサポートがしっかりしているか
最後に注目するべきポイントは、アフターサポートの充実度です。
セキュリティ診断は実施後の対応が重要であり、発見された脆弱性への対処が欠かせません。診断結果を理解できない、対応方法が不明確、またはサポートがない場合、セキュリティ診断の効果は十分に発揮されません。
企業を選定する際には、以下のサポートが提供されているか確認しましょう。
- 診断後の提案:発見されたリスクに対する具体的な対策案が提供されるか
- 対応フローの提供:脆弱性対策を実行するための手順が示されているか
- 専門家による支援:診断後に専門家からのサポートが受けられるか
- 再診断の実施:対策後の効果検証のために再診断が可能か
- 報告会の実施:レポートを提出するだけでなく、口頭での説明があるか、質疑応答の機会が得られるか
これらのアフターサポートがしっかり整備されているかどうかを基準にすることで、より効果的なセキュリティ対策が可能になります。信頼できるサービスを選ぶことで、システムの安全性を継続的に確保できるでしょう。
企業内のセキュリティ意識向上も不可欠!
強固なセキュリティ体制を構築するためには、脆弱性診断やペネトレーションテストなどのセキュリティ診断を行うだけでなく、従業員のセキュリティ意識を向上させることが不可欠です。実際、情報漏えいの多くはセキュリティ意識の低さが原因となっています。たとえば、従業員がデータを紛失したり、機密情報を不用意に話してしまうケースが多発しています。
対策の第一歩として、社内でセキュリティポリシーを策定し、従業員に定期的な教育を行うことが必要です。セキュリティポリシーは、セキュリティ対策のルールや手順を明文化したもので、全従業員がこれを理解し遵守することが求められます。
策定後は、ポリシーを浸透させるために定期的な研修やテストなどのの教育プログラムの策定と実施が効果的です。もし自社内に指導できる人材が不足していたり、教育プログラムを策定する時間が不足している場合は、外部の専門研修サービスを活用するのも良いかもしれません。
サイファー・テックでは、従業員の意識向上を図るセキュリティトレーニング「CypherGuardian」を提供しています。
まとめ
セキュリティ診断は、企業の重要な情報資産を守るために、多角的に実施される診断です。脆弱性診断のような技術的リスクの評価から、ペネトレーションテストを通じた組織全体のセキュリティ体制の評価まで、診断の内容は非常に幅広いものとなっています。
セキュリティに対する脅威が増大する現代では、適切なセキュリティ診断を定期的に実施することが、企業の信頼性を維持するための重要な義務となりつつあります。強固なセキュリティ体制を構築し、顧客からの信頼を守るためにも、定期的な診断の実施を心がけましょう。
専門知識が不足している、もしくは判断に不安がある場合には、専門企業に相談するのも有効な手段です。
サイファー・テックでは、セキュリティ診断やDRM対策を含む多様なソリューションをご提供しています。