Written by Aimee
システムやネットワーク・Webアプリケーションに存在する脆弱性を特定し、修正やリスク評価を行う脆弱性診断には、「手動診断」と「ツール診断」の2つの方法が存在します。
それぞれのメリット・デメリットは以下の通りです。
▼手動診断とツール診断のメリット・デメリット
| 手動診断 | ツール診断 | |
|---|---|---|
| 診断方法 | セキュリティ専門家が、「手作業」で脆弱性を検査する方法 | 専用のソフトウェアツールを使用して、自動的に脆弱性を検査する方法 |
| メリット | ・ツールでは見つけにくい「複雑な脆弱性」や「ビジネスロジックの問題を突いた攻撃」を発見しやすい ・特定のニーズや状況に応じて診断方法を柔軟に変更できる ・誤検知が少ない |
・短時間で広範囲のチェックができる ・手軽に利用でき、診断のコストが低い ・検査手法が確立している一般に認知されている脆弱性の検出精度が高い |
| デメリット | ・診断する担当者のスキルに依存する ・実施に時間がかかり、コストが高くなる場合がある |
・複雑な脆弱性、ビジネスロジックの問題を突いた攻撃等を見逃しやすい ・誤検知の可能性がある ・ツールによっては、大量の指摘事項が検知され、対応の優先度決めや脆弱性管理工数にコストがかかる ・ツールの設定に不備があり、適切な診断ができない可能性がある ・新しい脆弱性に対応できない場合がある |
診断精度・費用・実施期間などそれぞれに強みがあるため、目的や予算に応じて、最適な手段を選択すると良いでしょう。
この記事では、「脆弱性診断のやり方」について、費用相場や一般的な流れなどを含め解説します。
▼この記事のポイント
- 脆弱性診断には「手動診断」と「ツール診断」の2つのやり方がある。両者に得意分野があり、目的に応じた使い分けや併用が効果的
- 手動診断は複雑なロジックや設計ミスの検出などに強く診断精度が高い。ツール診断はスピーディかつ広範囲、低コストが強み
- 診断の対象範囲と種類(Webアプリ、ネットワーク、スマホアプリなど)を明確にすることで、診断の精度と実効性が高まる
脆弱性診断とは
脆弱性診断とは、システム、ネットワーク、アプリケーション、デバイスなどに潜む脆弱性(セキュリティ上の弱点)を見つけ出し、それらを評価して対策を講じるためのプロセスです。
脆弱性診断の目的は、大きく以下の2点に集約できます。
1.セキュリティリスクの特定と評価
システムやネットワークが持つ潜在的なリスクを特定し、それらが悪用される可能性の有無を評価。重要度の高いリスクから、優先的に対処可能です。
2.セキュリティ対策の強化およびインシデント予防
発見された脆弱性に対する修正や改善策を講じることで、攻撃者に悪用されるリスクを減らし、組織全体のセキュリティ体制を強化します。また、インシデント発生前に脆弱性を解消することで、実際の攻撃や情報漏洩、サービス停止などの重大なインシデントを防げます。
また、コンプライアンスの遵守という観点からも重要です。多くの業界には、セキュリティに関する法的要件や規制が存在し、脆弱性診断を通じて規制を遵守することで、情報の安全性を確保することが求められています。
脆弱性診断の種類
診断対象や目的に応じて、脆弱性診断にも複数の種類があります。
以下の表は、代表的な脆弱性診断の種類をまとめたものです。
| 種類 | 概要 |
|---|---|
| Webアプリケーション診断 | Webアプリケーションに特化した脆弱性診断。 Webアプリケーションの設計や開発における不備によって発生する脆弱性が対象。 |
| ソースコード診断 | ソフトウェアやアプリケーションのソースコードを分析し、脆弱性を検出するもの。 脆弱性を網羅的に検出することができ、ものによってはWebアプリ診断(ブラックボックス)より精度が高い場合がある。 |
| ネットワーク診断 (プラットフォーム診断) |
サーバーやネットワーク機器・OSにおける脆弱性を診断するもの。 ネットワークに存在するサーバー、ルーター、スイッチ、ファイアウォール、インターネット接続部分などが診断対象。 |
| クラウドセキュリティ診断 | IaaSやSaaSなどのクラウドプラットフォームに特化した脆弱性診断。 クラウドサービスの管理設定上の不備によって発生する脆弱性が対象。 |
| スマートフォンアプリケーション診断 | スマートフォンアプリケーション(iOS、Android)に対する脆弱性診断。 スマートフォンやタブレットなどの「クライアント端末にインストールされたアプリケーション」と通信先となる「サーバー上のアプリケーション」が対象。 |
| ゲームセキュリティ診断 | ゲームアプリにおける「チート行為(アイテムの無限増殖、課金処理の回避など)」を可能にする脆弱性を検出するもの。 クライアントアプリやサーバーが対象。 |
| IoT診断 | IoT(Internet of Things)デバイスに対する脆弱性診断。 IoTシステムを構成するアプリケーション、デバイス、プラットフォームなどが診断対象。 |
脆弱性診断のやり方(手動診断・ツール診断)
脆弱性診断には、大きく分けて「手動診断」と「ツール診断(自動診断)」の2つの方法があります。
実際の運用では、両者を組み合わせることで、より網羅的かつ精度の高い診断が可能になります。ここでは、それぞれの診断手法の特徴・具体的なやり方について解説します。
手動診断の特徴
手動診断は、セキュリティの専門家(ホワイトハッカーなど)が、実際に対象システムやアプリケーションを確認し、主に人の目と技術で脆弱性を見つける方法です。
手動診断の強みは、ツールによる自動検出では捉えきれない脆弱性やセキュリティホールを発見できることです。例えば、アプリケーションのロジックに関わる深い問題や、ツールが検出しにくい不適切な設定、人為的なミスによるセキュリティリスクなどにも対応できます。
また、セキュリティ専門家は、脆弱性の影響度を評価し、どのような攻撃リスクがあるか、どのように悪用される可能性があるかを、実際にシミュレートしながら判断します。手動診断は、特に高度なセキュリティが要求される環境や、システムが非常に複雑でツールだけでは十分な評価ができない場合に有効です。
ツール診断の特徴
ツール診断は、脆弱性診断ツール(自動化ツール)を使用して、システムやネットワーク内の脆弱性を迅速に発見する方法です。ツール診断の強みとして、手動診断に比べ短期間で安価に実施できることがあり、時間やコストの制約があるお客様におすすめです。
ただしツール診断には、手動診断に比べ、誤検知や見逃しが発生する可能性が高いという特徴があります。例えば、新たに発見された脆弱性、複雑な脆弱性、カスタマイズされたアプリケーションやシステムに潜むリスクなど、ツールだけでは検出が困難です。
「手動診断」と「ツール診断」の併用も有効な手段
コスト効率と診断精度の両立を図る場合、手動診断とツール診断の併用も推奨されます。
使い分けとしては、ツール診断で基本的な脆弱性・既知の問題を迅速に特定し、手動診断でより複雑な脆弱性やツールでは検出しきれない課題を深堀します。
また、大規模かつ重要なシステムの場合、ペネトレーションテストなどを含む専門業者による診断を、定期的に検討すると良いでしょう。
脆弱性診断の費用
脆弱性診断の費用は、診断方法やシステムの規模、診断対象の種類によって変動します。
以下では、「手動診断」「ツール診断」を外部ベンダーに依頼した場合の、それぞれの費用について解説します。
手動診断
先述の通り、手動診断は専門的な知識を持ったセキュリティの専門家がシステムの細かな点まで調査してくれることから、費用はツール診断より高額になります。
対象システムの規模に応じて、数十万円~数百万円の費用が発生します。
診断費用に影響する要素
- ・対象ページ数や機能数
- ・認証(ログイン)あり/なし
- ・テストの深さ(例:ブラックボックス/ホワイトボックス)
- ・診断レポートの内容や再診断の有無
ツール診断
ツール診断は、自動化された脆弱性診断ツールを用いて診断を行うため、比較的コストを抑えることができます。ただし、ツールの種類やオプションによって価格差があります。
費用の相場は数十万円程度で、診断範囲が広範な場合は、100万円以上になる場合もあります。
備考:社内で診断を行う場合
上記は、ベンダーに外注することを前提とした費用です。もし社内で実施する場合、無料のスキャンツールなども利用できますが、診断スキルの習得や人件費、誤検知への対応など間接コストが発生する点に注意が必要です。
脆弱性診断の流れ
ここでは、「手動診断」「ツール診断」それぞれの、一般的な診断の流れを解説します。
手動診断の流れ
手動診断の一般的な流れは以下の通りです。
1.事前調査
診断対象であるシステムやネットワークの構成、使用技術、開発者が設定したセキュリティポリシー、アクセス権限などを調査・把握します。これらの情報をもとに、対象範囲や優先順位、テストの深さなどを検討します。
2.脆弱性診断の実施
専門家が実際に対象システム、ネットワーク、アプリケーションなどにアクセスし、攻撃者の視点で脆弱性を検出します。XSSやSQLインジェクションなどのテストをはじめ、認証・認可の弱点やビジネスロジックの欠陥なども確認します。
3.レポートをもとに結果の共有
発見した脆弱性のリスク評価(深刻度や影響範囲)を行い、修正の優先度を明確にした詳細なレポートを作成します。依頼者と共有し、必要に応じて説明会や質疑応答の場を設けることもあります。
4.再診断
推奨した修正対応が完了した後、再度診断を行い、脆弱性が確実に解消されているかを検証します。これにより、セキュリティの改善効果を確認できます。
ツール診断
ツール診断の一般的な流れは以下の通りです。
1.事前準備
使用する診断ツールを選定し、診断対象のURLやIPアドレス、診断範囲、ログイン情報などを設定します。診断対象や診断基準に関する設定を行います。
2. スキャンの実行
設定に基づき、ツールを起動して脆弱性スキャンを実施します。ツールは、既知の攻撃パターンに基づいてテストを行い、脆弱性を自動で検出します。
3.レポートの確認
スキャン結果として出力されたレポートには、検出された脆弱性の一覧、深刻度(CVSSスコアなど)、影響範囲、修正推奨策が含まれます。この結果をもとに、優先順位をつけて修正対応を行います。
4. 再スキャン
脆弱性を修正後、再度ツールを使って診断を行い、修正が適切に行われたかを確認します。再スキャンを実施することで、改善が効果的であったかを検証します。
LANSCOPE プロフェッショナルサービスの脆弱性診断
LANSCOPE プロフェッショナルサービスでは、12,000件以上のサービス提供実績と90%以上のリピート率を誇る「脆弱性診断・セキュリティ診断」を提供。国家資格「情報処理安全確保支援士」を保有する診断員が、安心の技術力と専門性で支援します。
「診断結果」は自社サイトが抱えるリスクを「点数」で可視化することが可能。「報告書」には、経営層が自社サイトのリスクを把握するための、エグゼクティブサマリーや、発見された脆弱性の対策・修正提言なども含まれます。
効率的かつ網羅的に、優先順位をつけてWebサイトの課題に対策することが可能となります。
▼脆弱性診断サービス 一覧
- ・Webアプリケーション診断
- ・ソースコード診断
- ・ネットワーク診断
- ・スマートフォンアプリケーション診断
- ・ゲームセキュリティ診断
- ・IoT 脆弱性診断
- ・ペネトレーションテスト
- ・サイバーリスク健康診断
お客様のご都合・予算等に応じて、最適なプランをご提案します。詳細は以下よりご覧ください。
また「まずは簡易的に脆弱性診断を行いたい」というお客様向けに、低コスト・短期で診断が実施できる「セキュリティ健康診断パッケージ」も提供しています。
まとめ
本記事では「脆弱性診断のやり方」をテーマに、診断の種類・費用相場、手順などを解説しました。
本記事のまとめ
- 脆弱性診断には「手動診断」と「ツール診断」の2つのやり方がある。両者に得意分野があり、目的に応じた使い分けや併用が効果的
- 手動診断は複雑なロジックや設計ミスの検出などに強く診断精度が高い。ツール診断はスピーディかつ広範囲、低コストが強み
- 診断の対象範囲と種類(Webアプリ、ネットワーク、スマホアプリなど)を明確にすることで、診断の精度と実効性が高まる
「手動診断」と「ツール診断」は、それぞれに得意分野や特性があり、目的やリスクの深刻度に応じた使い分けが重要です。定期の簡易診断であればツール診断、新規サービスのリリース前や、重要なシステムを対象とした診断では手動診断を使うなど、効率性と精度のバランスを踏まえ検討しましょう。
「脆弱性診断の進め方・ポイント」をまとめた、以下資料もぜひご活用ください。
おすすめ記事
