脆弱性診断とは何か?そもそも脆弱性って?
「脆弱性」とは、WebアプリケーションやOS/ミドルウェア、ネットワーク等のシステムプラットフォームに潜在するセキュリティ上の弱点や欠陥のことです。
これらの脆弱性を悪用すると、外部の第三者がシステムに侵入できたり、本来は閲覧できないはずの重要な情報を見る事ができてしまったりという事が起こり得ます。
「脆弱性診断」とは、このような被害を未然に防ぐ為にシステムに潜在する脆弱性の有無を診断し、リスクの可視化、必要な対策の洗い出しを目的に実施します。
専用のエンジニアによる高度な診断を提供する手動診断や、ユーザ側にて手軽に実施可能なツール診断など様々なタイプの脆弱性診断が存在します。
①エンジニアによる手動診断
専門性を持ったエンジニアが、WEBサイトやWEBアプリケーションの構造や特性を理解した上で、脆弱性の有無を確認します。診断項目によってはツールでの診断も組み合わせながら、幅広く深い診断を実施します。新規公開予定のシステムや、大幅な改修・機能追加があった際には公開前には実施しておく事が推奨されます。
②ツール診断
エンジニアによる手動診断と比較すると、診断できる幅や深さは簡易的にはなりますが、手軽に費用対効果の高い診断が実施できるのが「ツール診断」です。
リリース後のシステムに対して定期的に脆弱性の確認を実施したいという場合におすすめです。
新規開発されたシステムやソフトウェアには、必ずと言ってよいほど脆弱性が潜在しています。
特にWEBアプリケーションに関しては、古くから存在する基本的な脆弱性への対策が出来ていない場合、重大なセキュリティ事故に繋がる可能性が非常に高くなります。企業価値を守る為にも、目的や用途に合わせた適切な診断を定期的に実施し、安心・安全はシステム環境を整えておく事は大変重要です。
| 手動診断 | ツール診断 | |
|---|---|---|
| 推奨用途 | 新規公開前のシステムや個人情報などの重要情報を保有しているシステムの診断に有効 大規模な改修や機能追加時に実施するとを推奨 | 手軽に脆弱性診断を実施したい場合 リリース後の軽微な修正や機能追加後の診断やOSやミドルウェア等に対する定期的な脆弱性の有無の確認に有効 |
| 費用 | 規模によっては高額になる | 主にエンジニアによる手動診断が主流 |
