脆弱性診断とは？目的・対象・手法・サービスの選び方を網羅的に解説

コンピューターのOSやソフトウェア、ネットワーク機器などに生じる情報セキュリティ上の欠陥を指します。たとえば、下記が該当します。

● プログラムのバグ
● 設計ミス
● 設定ミスによって生まれる抜け穴

こうした欠陥が放置されると、第三者による不正アクセスやデータの改ざんのほか、場合によっては情報漏洩につながる危険性も高まります。クラウドサービスでも、設定ミスによって上記のようなリスクを引き起こす場合がみられます。

目的は、以下のとおりです。

● インシデントの発生・被害を低減するため
● セキュリティ対策のコストを削減するため

それぞれの目的について詳しく紹介します。


■インシデントの発生・被害を低減するため

事前に診断を実施すると、攻撃の入口となる問題箇所を早期に見つけ、適切な対策を講じることが可能です。セキュリティインシデントが起きた場合でも、あらかじめ対応策が準備されていれば、影響範囲を狭められるでしょう。

万が一の際に備え、診断によってリスク評価を行い、深刻な被害を回避できるようにすることが目的のひとつです。こうした取り組みに力を入れれば、被害を最小限に抑えられるセキュリティ体制を構築できます。

■セキュリティ対策のコストを削減するため

セキュリティ対策には多くのコストがかかる場合がありますが、脆弱性診断を活用すれば、経済的な負担を軽減できます。診断によってリスクの高い箇所を特定し、優先的に対策を進めることで、不要なセキュリティ投資を抑えやすくなります。

たとえば、ソフトウェアのリリース前や重要なアップデートのタイミングで診断すれば、問題点の早期発見につながり、修正コストも低く抑えられるでしょう。リリース後に脆弱性が見つかっても、迅速に対応できる体制があれば、長期的なコスト削減に結びつきます。

脆弱性診断とペネトレーションテストは、どちらもセキュリティの不備を明らかにする方法です。しかし、目的とアプローチに違いがあります。

脆弱性診断は、システム全体に存在するリスクを検出するため、ツールや手作業を使って既知の問題点を広く洗い出します。一方、ペネトレーションテストは、攻撃者が実際に行う手口を模倣し、侵入できるかどうかを確かめる実践的なテストです。

たとえば、メールに添付されたファイルやURLを踏み台にして、どのような被害が出るかを検証します。攻撃経路や侵害の深さを確かめる点が特徴です。攻撃後の影響や、対応能力の検証に重点を置くため、実施には高い専門性が求められます。

システムの弱点を広く知りたい場合は脆弱性診断が有効ですが、実被害のリスクをシミュレーションしたい場面ではペネトレーションテストの活用が適しています。

※ こちらの記事では、ペネトレーションテストについて解説しています。
　実施のタイミングや頻度、手法も取り上げているため、ぜひあわせてご覧ください。

ASMと脆弱性診断は、いずれもシステムやサービスに存在するセキュリティリスクを見つけ出すことを目的としています。しかし、対象とする範囲や視点に違いがあります。

脆弱性診断は自社で把握している既知のシステムやネットワークに対して、ツールや専門家によって詳細にスキャンを行い、問題点を特定するものです。一方、ASMはインターネット上に公開されている情報をもとに、企業・組織が把握していない箇所まで探索します。

たとえば、放置されたサブドメインや誤って公開されているクラウドストレージなどです。攻撃者と同じ目線で、外部から見えるリスクを調査するため、予想すらしていなかった情報漏洩のきっかけを発見できることも珍しくありません。

自社が認識していない脆弱なポイントを把握するにはASMが効果を発揮しやすいですが、把握している問題に対する検査には脆弱性診断が適しています。

脆弱性を放置すると、攻撃者にとって絶好の侵入口となってしまいます。鍵の壊れた玄関のように、脆弱性を把握している第三者がいつでも不正に侵入できる状態を招くおそれがあります。

社内ネットワークやクラウド上の情報資産にアクセスされ、以下のような被害が発生するケースも珍しくありません。

● ファイルの改ざん
● データの破壊
● マルウェアの仕込み

上記に加えて、こうした侵入は気づかれないまま長期間続くこともあるため、被害が深刻化しやすいのが特徴です。システムの稼働状況が安定していても安心とは限らず、目に見えないリスクが潜んでいる可能性があるため、定期的な診断が欠かせません。

脆弱性が放置されていると、マルウェアの感染リスクが高まります。マルウェアとは、不正な動作や情報漏洩を引き起こす悪意のあるソフトウェアのことです。代表例としては、次のようなものがあります。

● トロイの木馬
● ランサムウェア
● Emotet

攻撃者は検出されにくい経路で侵入し、気づかれないうちにシステム内へマルウェアを拡散させることがあります。結果として、顧客情報の流出やサービスの停止など、企業にとって致命的な影響を及ぼすおそれがあります。

被害が発覚した後の対応には多大な労力とコストがかかる可能性があるため、事前に脆弱性を見つけて対策を講じておくことが大切です。

開発現場では、テストや診断が不十分であることが実際の業務に悪影響を及ぼしていると感じている人が少なくありません。

株式会社NEXERとポールトゥウィンが共同で行った「ソフトウェアテストに対する意識に関するアンケート」では、テスト不足による影響としてもっとも多かった回答が「不具合が多発し、ユーザーに不満を与える」で49.2％、1位でした。

その理由として、セキュリティ上の問題を挙げる声も目立ちます。「バグはハッカーにとってもっとも使いやすい入口」「セキュリティが何より重要」といった意見からは、現場でも脆弱性の放置が重大なリスクとして捉えられていることがわかります。

こうした声を受け、診断やテストの重要性が改めて認識されている状況です。開発を担当する立場であるからこそ、リスクへの意識を高めることが求められているといえるでしょう。

インターネット・社内ネットワーク上で動作するWebアプリケーションや、Webサイトのセキュリティを詳しく検査する診断方法です。パラメータ改ざんなどの悪用されやすいポイントを重点的に確認します。

たとえば、ECサイトの場合は次のような複数の仕組みが組み合わされているため、連携ミスや設定不備が原因で情報漏洩や乗っ取りといった深刻な被害に発展することがあります。

● 商品情報の管理
● 在庫管理
● 会員データベース
● 認証システム
● 決済アプリケーション

Webアプリケーションは動的な仕組みを持つことが多く、ECサイトのような複雑なシステムでは新たな脆弱性が生じやすい傾向があります。

アプリケーションを動作させる基盤となる下記のようなポイントを検査する診断です。

● OS
● ミドルウェア
● ネットワーク機器
● サーバーのセキュリティ状況

プラットフォーム診断では、システム全体の設定やアクセス権限の管理状況に加えて、不要な通信ポートの開放やサーバー設定の不備などを詳しく検証します。システム全体のリスクを把握できる点が特徴です。

こうした特徴から、新規サービスのリリース前や長期間セキュリティ診断を実施していない場合には、とくに向いているといえます。サイバー攻撃の被害拡大を防ぐ観点でも、有効な診断手段です。

Webサービスやアプリケーションが外部とやり取りするために設けたAPIに対して、セキュリティをチェックするのがAPI診断です。APIとは、ソフトウェア同士が機能やデータをやり取りするための“接続口”のようなもので、想定外のアクセスや不正リクエストによって情報漏洩が発生するリスクがあります。

API診断では、実際の攻撃を模擬してアクセス制御や認証処理、データ送受信の安全性などを検証します。実際、API経由で暗号化された重要情報が流出した事例もあるため、APIの安全性は無視できません。

APIの安全性は開発者だけでなく、利用者側にも責任が伴います。API診断の実施により、早期に問題を発見して重大な事故を未然に防ぐことが重要です。

AWSやGoogle Cloud、Microsoft Azureなどのクラウドサービスを利用したシステムやストレージのセキュリティ状況を確認する診断です。クラウド上では、設定ミスや公開範囲の誤りによって、本来非公開とすべきデータがインターネット上に流出するリスクがあります。

たとえば、社内限定で運用していたストレージが誤って外部公開となった場合、機密情報の漏洩につながります。クラウド診断では、データの公開設定や通信経路の暗号化など複数の観点からセキュリティ状態を総合的にチェックします。

また、クラウドサービスの特性として、新機能の追加や仕様変更が頻繁に行われるため、設定の見直しが追いつかず、セキュリティリスクが生じやすくなります。そのため、定期的な診断の実施が強く推奨されます。

iOSやAndroidといったスマートフォンやタブレット専用のアプリケーションについて、システム内部やサーバーとの通信部分に脆弱性がないかを確認する診断です。具体的には、下記のような機能をチェックします。

● 通信経路の安全性
● アプリケーション内部データの管理状態
● 逆コンパイルによる情報流出リスク

通信先サーバー上の処理についても検証を行い、設計ミスやプログラムの不備による情報漏洩やデータ改ざんを防ぎます。スマートフォンアプリケーションの普及とともに新たなリスクが増えているため、モバイルアプリケーションをリリースする際はネイティブアプリ診断を実施しましょう。

アプリケーションやシステムを構成するプログラムの内容を分析し、内部構造や処理ロジックの不備などをチェックする診断です。専用のツールを用いた自動解析のほか、セキュリティ専門家による目視レビューを通じて、設計・実装段階で潜む脆弱性を発見します。

ソースコード診断は、いわゆる「ホワイトボックステスト」と呼ばれ、コードを参照しない「ブラックボックステスト」では発見できない問題点まで掘り下げて検出できます。開発工程の早い段階で実施すれば、手戻りや修正の工数削減にもつながります。

ツール診断は、専用ソフトを活用してシステム全体を自動的にチェックする診断方法です。決められたパターンや既知の脆弱性を短時間で検査でき、費用も抑えやすい特徴があります。ここからは、ツール診断のメリット・デメリットについて詳しく解説します。

■ツール診断のメリット

ツール診断のメリットは、次のとおりです。

● 広い範囲を一度に診断できる
● 短時間で大量のパターン診断ができる
● コストを抑えて実施しやすい

自動化された診断ツールを使うため、効率的に広範囲のチェックが進みます。攻撃パターンや既知のリスクを網羅的に検査できるため、公開前のリスク把握に役立つでしょう。

■ツール診断のデメリット

一方、ツール診断には次のようなデメリットが存在します。

● 複雑なシステムには適用できない場合がある
● 診断結果を正しく理解するには知識が必要
● ビジネスロジックや特殊な脆弱性は検知が難しい

システムが複雑だと、ツールだけでは発見しきれない脆弱性が残ることもあります。細かい運用ルールや表示内容の違いには対応しきれないケースもあるでしょう。

手動診断は、経験を積んだセキュリティ専門家が攻撃者の視点から脆弱性を検出する方法です。人による柔軟な調査を通じて、ツール診断では見つかりにくい問題点まで詳細に把握できます。

とくに、複雑な業務システムや独自仕様のWebサービスなど、高度なセキュリティ評価が求められる場面で効果的です。攻撃シナリオを想定しながら個別にチェックを進めるため、質の高いセキュリティ対策が可能となります。

ここからは、手動診断のメリット・デメリットについて詳しく解説します。

■手動診断のメリット

手動診断のメリットは、以下のとおりです。

● ツール診断では検知できない脆弱性を発見できる
● 複雑なシステムや業務ロジックにも柔軟に対応できる
● より高度な防御策を構築しやすい

人の手による診断だからこそ、認証や認可の不備、ベストプラクティスとの比較など細かな調査が行えます。大量の個人情報を扱うWebサービスなどに最適です。

■手動診断のデメリット

手動診断には次のようなデメリットがあることも押さえておきましょう。

● 検査範囲が限定されやすい
● 実施までに時間がかかる
● 高度な専門スキルが必要なためコストが高い

人手による調査のため、実施にはどうしても時間と費用がかかってしまいます。広範囲を一度に診断したい場合には、向いていないケースもあるでしょう。

システムの性質や事業規模によって異なりますが、一般的には1年に1回、あるいは半年に1回のサイクルで定期的に行うとよいでしょう。しかし、ECサイトなどリスクが比較的高いサービスでは、四半期ごとの診断が推奨されるケースもあります。

アジャイル開発などリリース頻度が高い場合は、都度追加の診断を実施することが推奨されます。企業のセキュリティポリシーや運用体制に合わせて、最適な頻度を設定しましょう。

診断に入る前に、対象範囲や手法を定める作業が必要です。まずは対象となるシステムの構造や技術仕様のほか、使用中のソフトウェアやアクセス権限の管理状況といった情報を整理します。

整理した情報をもとに、診断対象の範囲や深度、対応すべき優先順位を検討します。作業期間や関係者の調整も計画段階で行い、後の工程で混乱を生まないようにしましょう。

定めたスケジュールにもとづいて、脆弱性の有無を検査します。専用ツールを用いる方法と、診断担当者が手作業で調べる方法とがあります。

前者は短時間で網羅的に確認でき、後者は実際の攻撃手法を模して深掘りできるため、より広範囲の検出が可能です。対象によっては、両者を組み合わせて実施する場合もあります。

業務に影響が出ないよう、あらかじめ影響範囲を周知して必要な対策を講じておくことも欠かせません。

診断後は、発見された問題点について優先度や緊急性を踏まえて評価し、依頼者にわかりやすく伝える必要があります。報告書では、以下のような内容を記載しましょう。

● 具体的な脆弱性の内容
● リスクレベル
● 推奨される対応策

必要に応じて、技術的な説明会や質疑の場を設けるケースも見受けられます。ツールを利用した場合は自動生成のレポートを確認し、手動診断であれば専門家による詳細なフィードバックを受けることが一般的です。

診断できる範囲が自社のニーズと合致しているかどうかを必ず確認しましょう。たとえば、Webアプリケーションの診断を重視したい場合、さまざまな項目に対応できるかをチェックすることが欠かせません。

● クロスサイトスクリプティング
● SQLインジェクションへの対応状況
● 認証・セッション管理
● アクセス制御

また、プラットフォームやAPIといった異なる対象ごとに専門性の高い診断が可能かも確認ポイントです。必要な診断範囲が明確であれば、その範囲にきちんと対応しているサービスかを基準に選ぶことで、不要なコストを抑えられます。

診断の深度もサービスを選ぶうえで見逃せないポイントです。ツールによる自動診断は広範囲かつ効率的に行える反面、一般的な脆弱性の発見が中心となります。

これに対して手動診断は、専門家がシステム構造や業務ロジックを踏まえて個別に診断します。そのため、複雑なシステムや特殊な要件にも柔軟に対応できるでしょう。

権限管理や設計ミスなど、ツールだけでは見落とされやすい項目をとくに重視したい場合は、手動診断の活用が適しています。診断の深度や診断手法をあらかじめ確認し、目的や課題に最適なサービスを選びましょう。

脆弱性診断の費用はツールやサービスごとに幅があります。無料で利用できる簡易診断ツールから、専門家による数十万〜数百万円規模のフルスコープ診断までさまざまです。また、1回ごとに費用が発生するケースや年間契約で定期診断を行うプランも存在します。

診断結果の報告や、指摘された脆弱性への具体的な対策提案といったアフターフォローも重視すべき要素です。診断後にわかりやすい報告書を納品してもらえるか、脆弱性ごとの改善策を提案してもらえるかは事前に確認しましょう。

さらに、修正後の再診断を実施してもらえるサービスもあります。アフターフォローの内容はサービスによって異なるため、どこまでサポートしてもらえるかを前もって把握しておきましょう。

株式会社NEXERとポールトゥウィンが共同で実施した、ソフトウェア開発経験者を対象としたアンケート調査によると、全体の84.1％が「ソフトウェアテストは非常に重要」と回答しました。

一方で、テスト体制やプロセスに満足していないと答えた開発者は38％にのぼり、現場には依然として多くの課題や不満が存在している実態が明らかとなりました。不満の理由としては、以下の声が寄せられています。

● テストに割く時間が足りない
● 体制や人員が十分でない
● うまくいかないことが多い

限られたリソースやスキル不足が課題となっていることがわかります。こうした現場が多いため、ツールや外部サービスをうまく活用し、自社の状況に合った脆弱性診断の体制を整えることは重要であるといえます。

リソースを有効活用するためにも、比較検討を怠らず、自社に最適な診断サービスを選びましょう。