自社サイトのセキュリティが不安、脆弱性診断をしたほうがいいと言われたけど何を選べばいいかわからない、そもそも脆弱性診断って何?と、言う方向けに「脆弱性診断」をわかりやすく記載した記事です。
目次
1.脆弱性と脆弱性診断とは?
脆弱性とは、簡単にまとめると【ITセキュリティの穴】でありプログラムの設計上のミスや不具合・欠陥で発生します。脆弱性を放置するとOS・ネットワーク・ソフトウェア・アプリケーションなど不正アクセスやマルウェアに感染により、情報漏えいやサイトにウイルスを仕込まれるなど企業に大きな損害を与える恐れがあります。このような損害を起こさないためにも脆弱性診断を行い、問題を特定して早急に対策を実施する必要があります。
では実際に脆弱性の診断を行うにあたりどのようなことをすればいいのでしょうか。
脆弱性には大きく2つの種類がありそれぞれ対策の方法が異なります。
Webアプリケーション診断
Webアプリケーション診断とはサイトを構成する「Webアプリケーション」に脆弱性が無いかを診断します。Webアプリケーションの脆弱性を放置していると攻撃手段として悪用され、不正アクセスやサイト改ざんの被害にあいクレジットカード情報の漏えいや不正なスクリプトの埋め込み、スパムメールの踏み台にされるなど様々な被害が発生致します。
プラットフォーム診断
プラットフォーム診断は主に社内のネットワーク機器やサーバー、OS、ミドルウェアが対象となります。各機器に設定の不備は無いか、ポートが不必要に開放されていないかなど様々な項目を診断していきます。
プラットフォーム診断には外部ネットワークからインターネットを経由して診断する「リモート診断」と内部ネットワークから検査を行う「オンサイト診断」2つの検査方法があります。2つの診断を組み合わせることでより高精度な診断が可能になります。
上記2つの診断のうち「Webアプリケーション診断」は多くの企業で実施されていない脆弱性の診断であり、その脆弱性を攻撃された結果、現在でも情報漏えいやサイト改ざん被害は増え続けています。
2.Webアプリケーション脆弱性診断でするべき主な診断項目
Webアプリケーションの脆弱性診断はサービスによって異なりますが主な項目は以下の内容になります。
SQLインジェクション
OSコマンドインジェクション
クロスサイトスクリプティング(XSS)
クロスサイトリクエストフォージェリ(CSRF)
セッションID固定化
ディレクトリトラバーサル(パストラバーサル)
ディレクトリトラバーサル
パラメータ改ざん
強制ブラウジング
認証機能・アクセス制御の不備
これらはOWASPという世界中の脆弱性の情報を集めている機関により毎年更新され最も注意すべき10個の項目「OWASP TOP10」として公表されています。
脆弱性は常に新しいものが発見され続けているので一度診断をしたから大丈夫ではなく常に診断・発見・対策を続けることが重要です。
3.Webアプリケーション脆弱性診断(セキュリティ診断)ツール・サービスの種類と特徴(無料、有料)
Webアプリケーション脆弱性診断のツール・サービスは大きく分けて3つの種類があります。
・無料ツール
・有料ツール
・有料サービス
これら3つにはそれぞれにメリット・デメリットがありますのでそれぞれを把握し自社に最も合うサービスを選択する必要があります。
4.Webアプリケーション脆弱性診断(セキュリティ診断)を選ぶ際の注意点
上記のことを踏まえ、Webアプリケーション脆弱性診断を選ぶ際は以下のことを検討されることをお勧めします。
注意点:1 実際にどれくらいの費用が必要かを把握する
無料のツールでも実際に導入する際は専門のエンジニアが必要になり採用しようとすると莫大なコストがかかります。自社のニーズに合わせた費用対効果の高いサービスを選びましょう。
注意点:2 どんな診断項目があるのかを把握する
Webアプリケーション脆弱性診断ツール及びサービスでは診断できる項目はサービスによって異なります。
また、診断項目を公開していないサービスも多いため事前に確認することをお勧め致します。
注意点:3 診断ツールの使いやすさとレポートの質
これは有料ツールに限った注意点ですが、設定が非常に難しい診断ツールも多くあります。導入はしてみたものの使いこなせなければ意味がありません。また、脆弱性が検出された際のレポートの質についても英語表記のまま書かれていてはなかなか対策を実施するとこが出来ません。使いやすくてわかりやすいツールを選びましょう。
注意点:4 診断の頻度
「どれぐらいの頻度で診断を行うのか」もツール・サービスによって異なります。脆弱性はいつ発生するかわからない問題ですので一度やったらずっと安全ということはありません。なるべく診断頻度の多いツール・サービスを選ぶことをお勧め致します。
注意点:5 相談や対策に応じてくれるのかを確認
有料ツールに限った注意点になりますが、脆弱性の対策をしようと思ったけどやり方がわからないというのはよくあることです。自社でやってみたけどうまくいかなかったときにサポートしてくれるサービスを選べば安心して導入できます。
5.【無料版】Webアプリケーション脆弱性診断ツール
Tsunami – security scanner
Tsunami – security scannerは、Googleがオープンソース汎用として公開した汎用セキュリティスキャンツールであるTsunamiを日本マイクロソフトが提供するクラウドプラットフォーム「Microsoft Azure」上に構築するものです。
サーバーやWebアプリケーションをはじめとしたシステムの脆弱性チェックに活用されています。
OWASP ZAP
「OWASP ZAP」は、「OWASP (オワスプ:The Open Web Application Security Project)」が提供しているWebアプリケーション脆弱性を無料で診断する、オープンソースのツールです。簡易スキャン・静的スキャン・動的スキャンの3つチェック方法で、Webアプリケーションの脆弱性を診断・検出します。
OWASPは世界的にも有名な脆弱性の研究機関でWebアプリケーションのセキュリティに関する多くのガイドやツールを公開している。
Nessus
「Nessus」はネットワークやサーバに存在する脆弱性を調査するツールです。指定したサーバに擬似的なアクセスやポートスキャンなどを実行し脆弱性を診断します。
無料版と有料版があり、有料版の「Nessus Pro」にアップグレードすることで、電話やチャットによるサポートが受けられます。
6.【有料版】Webアプリケーション脆弱性診断ツール・サービス
secuas(セキュアズ)
secuasはURLだけあれば15秒で診断開始が出来るWebアプリケーションの脆弱性診断サービスです。
無料診断を行えばサイトのリスク件数と最大リスクを把握することが出来ます。月10,000円からの有料プランを購入すれば毎日サイトのリスクを診断してくれて、リスクの詳細と対策方法まで日本語で丁寧に記載されています。
診断費用:月1万円(他のプランあり)
診断頻度:毎日
サポート:〇
株式会社ビットフォレスト「VAddy(ヴァディ)」
株式会社ビットフォレストの「VAddy(ヴァディ)」は自社で運用する診断ツールです。
主に開発環境の診断を推奨されており、オンラインマニュアルを充実させることで自社での運用を実現しております。
診断費用:月59,800円(他のプランあり)
診断頻度:任意時期
サポート:◎
株式会社アルファネット 「セキュリティ診断サービス」
株式会社アルファネットの「セキュリティ診断サービス」は、ツール診断を取り入れつつ、セキュリティ専門家による手動診断を採用したサービスです。
これにより、より数多くの項目を細部まで診断し、徹底的に脆弱性を洗い出すことを実現しています。
診断費用:250,000円〜
診断頻度:任意時期
サポート:◎
株式会社イエラエセキュリティ「イエラエセキュリティ脆弱性診断サービス」
「イエラエセキュリティ脆弱性診断サービス」は、ハッカーの攻撃手法を熟知し、セキュリティ診断業務に特化したホワイトハッカー集団が行うペネトレーションテストが特長。
Webアプリケーション・スマホアプリだけでなく、クラウドやIoTに関する脆弱性診断も対応しています。
診断費用:初期費用132,000円/件・ネットワーク診断44,000円/1IP~
診断頻度:任意時期
サポート:◎
まとめ
Webアプリケーション脆弱性診断ツール・サービスはご紹介した以外にも多数存在します。
セキュリティは一度実施して終了ではありません。毎日家を施錠するように、運用できることが重要になります。
サービスを選ぶ注意点に沿って、しっかり運用できるサービスを選ぶことをお勧めします。
