「リスクの可視化」に最適なセキュリティ診断とその種類

---

現在、ITを取り巻く環境は、様々なWEBサービスの登場により、利用者にとっては以前とは比べ物にならないくらい、便利で快適なものになりました。

多種多様なサービスがインターネット経由で利用できるようになり、我々の生活様式にも大きな変化が生まれました。

今後も益々利便性が増していく事が想像できますが、その一方でセキュリティに関する脅威やリスクの増加にも注意しておかなければいけません。

これは、サービスを提供する企業側、利用するユーザ側双方に言える事です。

今回は、「リスクの可視化」をテーマとし、特に「技術的脅威」への対応に有効なセキュリティ診断について、具体的な活用例なども交えてお伝えしていきます。

「技術的脅威」とは？

前回の「「セキュリティ脅威」と「リスクアセスメント」」の回でもお伝えしましたが、サイバーセキュリティ対策における脅威の種類は、大別して以下の３つに分類されます。

• 技術的脅威
  
  ITシステムやWEBサイト等において、技術的に脆弱な部分を悪用した攻撃などによって引き起こされるものを指します。
  近年、IT技術の進化により、様々な新技術が誕生してきました。今後もその流れは続いていくと思われますが、「新たな技術」には必ず「新たな脆弱性やリスク」がつきものとなります。
  IT技術を活用する事で、様々な恩恵を受ける事が出来ますが、リスクを把握した上で、正しく利用するという事が重要となります。
  
• 人的脅威
  
  人間のミスに起因して引き起こされるものを指します。
  うっかりや故意など、要因は様々ですが、人間が行う作業には、必ず一定のミスや不正が含まれるという前提で、考えておく必要があります。
  ミスを軽減する仕組みや、ミスがあっても被害を最小にする仕組み、不正を未然に防ぐ対策などを考えていく必要があります。
  
• 物理的脅威
  
  物理的に存在するコンピュータやサーバ等の故障、オフィスやデータセンター等の建物の損壊などに起因して引き起こされるものです。
  機器の障害や自然災害等によるものが多いですが、企業活動の継続の為には、平時よりBCP対策やデータバックアップなどを意識しておく事が重要です。

今回は、この3つの中から「技術的脅威」にスポットを当ててお話ししていきます。
サイバー攻撃と聞くと、外部からの悪意のある攻撃をイメージされる方も多いかと思いますが、その大変はこの「技術的脅威」によって引き起こされています。

代表例としては、

• WEBアプリケーションの脆弱性
• OS・ミドルウェア等の脆弱性
• VPN装置などの脆弱性
• ソフトウェアの脆弱性や設定不備
• 外部クラウド基盤の脆弱性
• クラウドサービス等の管理設定不備

などが挙げられます。

外部からの悪意のある攻撃や、内部への不正な侵入などは、これらの脅威によって引き起こされている事が非常に多いです。
言い換えれば、これらの脅威に対する対策がしっかり出来ていれば、被害の大半も未然に防ぐ事ができる可能性があるという事です。

このような「技術的脅威」に関するリスクの可視化に有効なのが「セキュリティ診断」です。
目的に合わせた最適な診断を実施する事により、現状のIT環境の堅牢性の評価、追加対策の優先順位策定などが進め易くなります。

次項では、「セキュリティ診断」の種類や目的などをご説明いたします。

セキュリティ診断の種類と目的

「セキュリティ診断」には、診断対象や目的に合わせて以下のようなものがあります。

	脆弱性診断	ペネトレーションテスト	コンプライアンス診断
目的	潜在する脆弱性やリスクの可視化	システムへの侵入可否の確認	クラウド利用時のセキュリティ設定状況の可視化
診断対象	WEBアプリケーション システムプラットフォーム OS、ミドルウェア、OSS、 ネットワーク等	ITシステム全般	AWS、Azure、GCP、M365等
診断方法	ツール診断 手動診断 上記の組み合わせ	主にエンジニアによる手動対応が主流	ツール診断 手動診断 上記の組み合わせ断
効果	潜在する脆弱性の有無と対策方法の明確化	セキュリティ対策の有効性確認、明確化	クラウド利用におけるガイドライン・ベストプラクティスとの比較による適合状況把握

次項よりそれぞれの特長をご説明していきます。

ITシステムに潜在する脆弱性を可視化！
「脆弱性診断」

「脆弱性診断」とは、

主に、WEBアプリケーションのプログラムや、システムプラットフォームに関するOS／ミドルウェア・ネットワークに潜在する「脆弱性を可視化」するものです。
可視化された脆弱性は、適切な対策を施す事により、セキュリティインシデントのリスクを大幅に減らす事が可能です。

ユーザ側にて手軽に実施可能なツール診断や、専用のエンジニアによる高度な診断を提供する手動診断、それらを組み合わせた診断など、様々なタイプの脆弱性診断が存在します。
診断対象の重要度や予算、スケジュール等に合わせて選択可能です。

	手動診断	ツール診断
推奨用途	新規公開前のシステムや、個人情報などの重要な資産を保有しているシステムの診断に有効 大規模な改修や機能追加後にも実施する事を推奨	手軽に脆弱性診断を実施したい場合 リリース後のシステムの軽微な改修や機能追加後の診断 OSやミドルウェア等に関する定期的な脆弱性の確認に有効
費用感	規模によるが、高額になるケースが多い	安価なものが多く、定額で無制限で利用できるタイプもあり

以下の図表は、縦軸を「診断手法」、横軸を「診断対象」として纏めたものです。
目的や用途、予算等に合わせて最適な診断を選択する事により、その効果を最大化する事が可能です。

ITシステムの堅牢性を評価！
「ペネトレーションテスト」

「ペネトレーションテスト」とは、

専門のエンジニアが実際のサイバー攻撃に用いられるものと同様の手法を使い、診断対象システムへの侵入や権限奪取、情報資産の搾取などを試みる「疑似攻撃」を実施するものです。
「侵入テスト」と呼ばれる場合もあります。

前述の「脆弱性診断」は、あくまでも「リスクの可視化」であるのに対し、「ペネトレーションテスト」では現状のセキュリティ対策の有効性や、脆弱性診断で可視化されたリスクへの対処状況などを把握する事が可能となり、現時点でのシステムの堅牢性を明確に評価する事が可能です。

脆弱性診断	ペネトレーションテスト
WEBアプリケーションのソースコードや、システムプラットフォームに使われているOS／ミドルウェア、ネットワーク等に潜在する「脆弱性」を可視化するものです。 可視化された脆弱性は適切な対策を施す事により、セキュリティインシデントのリスクを大幅に減らす事が可能です。	脆弱性診断があくまでもリスクの可視化であるのに対し、ペネトレーションテストは、専門のエンジニアが実際の攻撃に用いられる手法を使い、対象システムへの侵入を試みる疑似攻撃を実施します。 現時点でのセキュリティ対策の有効性や、脆弱性診断で可視化されたリスクへの対処状況などを把握する事が可能となり、システムの堅牢性が明確になります。

ペネトレーションテストは、以下のようなフローで実施されます。

ペネトレーションテストを実施する際の留意点としては、疑似攻撃とは言え実際にシステムへの侵入や不正操作などを試みますので、本番環境で実施する場合においては事前にバックアップを取っておくなど、不測の事態に備えた実施計画をしっかり立てておく事が重要です。

クラウドの管理設定不備を可視化！
「コンプライアンス診断」

「コンプライアンス診断」とは、

クラウドサービス利用時における管理設定等の不備を可視化するのものです。

「AWS」や「MicrosoftAzure」、「GCP」などの代表的なクラウドサービスには、それぞれベストプラクティスとされている利用設定が存在します。
それらのガイドラインの指針と、現状の利用状況を照会し、適合状況を可視化していきます。

特に、「IaaS」を利用している場合においては、自由度が高い反面で利用者側の責任範囲となる部分が多くなるので一層の注意が必要です。

実際の診断時には、OSやソフトウェア等のセキュリティ対策に関連する推奨事項を纏めた「CISベンチマーク」を参照するものが主流です。

近年はクラウドサービスの普及に伴い、例えばクラウドストレージの権限設定不備等による重要情報の漏洩や、ID／PW等のアカウント設定不備による不正アクセスなどのセキュリティ被害が急増しています。
うっかりが大きな被害に繋がらないよう定期的な確認を実施するようにしてください。

セキュリティに関する悩み、
当社にお気軽にご相談ください。

株式会社M&Kでは、サイバーセキュリティ対策に関する総合支援企業として、各種コンサルティング、セキュリティ診断サービスを提供しています。

セキュリティ対策は、現状を正確に把握し、その評価結果に基づいた強化・対策を継続して実施して、理想とする姿に近づけていく事が重要です。
何かお悩みの点がございましたら、お気軽にご相談ください。

皆様のお役に立てるようであれば幸いです。

【問い合わせ先】
株式会社M&K　事業推進担当
Mail：info@m-kcompany.co.jp

【問い合わせフォーム】
https://www.m-kcompany.co.jp/contact/