プロフィール

prof_normal

ミアミン

ホワイトハッカーを夢みて、セキュリティアカデミーでお勉強中のミーアキャット。心配性でやさしい性格で、「みんな無事ミア?」「危険はないミア?」が口癖。ちょっとしたことですぐに「キャッ!」と動揺しがち。

hukutani

福谷 梨江

2014年入社。セキュリティ診断業務に携わり10年以上、年間100近くのサイトの診断を実施した経験がある。なりすましの脆弱性を見つけたときが一番快感を覚える。現在はセールス、部内マネジメントに従事。

脆弱性を確認し、現在のリスクを可視化する「脆弱性診断」

icon_gimon
ミアミン

福谷さんこんにちは!今日のテーマは「脆弱性診断」ですね。正直に言うと「弱いところを調べるのかな?」くらいのイメージしかないミア……。

hukutani

福谷さん

“弱い”という字が入っていますもんね(笑)。脆弱性診断というのは、システムやアプリケーションに存在する「セキュリティ上の弱点」を特定し、リスクを可視化するための手段なんです。

icon_normal
ミアミン

そう聞くと、なんだか健康診断みたいですね。実は、僕もちょっと血圧高めのリスクがあるミア。

hukutani

福谷さん

そうですね!でも、診断の仕方は健康診断とはちょっと違うかもしれません。具体的には、Webアプリケーション、プラットフォーム、スマートフォンアプリケーションなどに対して疑似的な攻撃を行い、その挙動を確認することで脆弱性の有無を判断します。

icon_yorokobi
ミアミン

スポーツで「試合形式の練習をして弱点を見つける」のに似ているミア!

hukutani

福谷さん

うんうん。そして弱点を見つけるには、“作戦”も大事です。システム設計によっては、複雑な攻撃を行うことで脆弱性の有無を確認できるものもあるため、システム設計を把握したうえで脆弱性診断の対象や手法を決める必要があります。

icon_normal
ミアミン

なるほど~。それじゃあさっそく綿密に作戦を立てて練習して、弱点を「克服」するミア!

hukutani

福谷さん

いやいや、診断はあくまでも弱点を見つけるだけです。脆弱性診断は、脆弱性を確認し現在のリスクを可視化することであり、脆弱性診断を行うことで脆弱性対策ができるというわけではないんですよ。

icon_aseri
ミアミン

たしかに、健康診断でも先生に「血圧が高めですね」と言われただけでは、血圧は下がらないミア……(しょんぼり)。

脆弱性診断はセキュリティベンダーと、受ける側の両方に役割がある

icon_gimon
ミアミン

さて、実際の脆弱性診断はどんな手順で進めていくミア?

hukutani

福谷さん

先ほど言ったように“作戦”を立てること、つまり診断前の「準備」や、修正措置、つまり診断後の「対策」を行うこともとても重要なので、意外といろいろな工程があるんですよ。具体的に見ていきましょう。

 

  1. 脆弱性診断の準備
    • 脆弱性診断を受けるために社内ハンドリングできる人材の確保と体制構築を行う
    • 組織内の関係者を巻き込み、セキュリティ意識の共有を行う
    • 診断の目的と範囲を明確に定義する
    • 脆弱性診断に必要な環境やデータの準備を行う
  2. 脆弱性診断の実施
    • 自動化されたツールを使用した脆弱性診断を行う
    • アプリケーション設計やツールでは確認できない脆弱性に対して、手動で脆弱性診断を行う
  3. 結果分析と修正措置の実施
    • リスクレベルに応じた報告書を確認し、診断結果から得られたデータを分析する
    • 各脆弱性に対するリスクを把握する
    • 報告された脆弱性に対して、優先順位に基づき修正を行う
  4. 再評価と今後の検討
    • 修正後、再び脆弱性診断を実施し、修正の有効性を確認する
    • 新たな脆弱性に対処できるような運用を検討する
icon_normal
ミアミン

セキュリティベンダーに「診断してください」とお願いするだけではないんですね……たしかに、健康診断も受ける検査の種類を選んだり、問診票を書いたり、健診前にいろいろやることがあるミア。

hukutani

福谷さん

健康診断の後も結果に応じて保健指導を受けたり、医療機関を受診したりしますよね。同じように、脆弱性診断はセキュリティベンダーだけで主導するものではなく、セキュリティベンダーと一緒に作戦会議を行いつつ、自社での作業も必要となるものなんです。

診断実施より「可視化されたリスクへの対策や修正」が重要

icon_aseri
ミアミン

うっ、保健指導……健康のことは心配だけど、つい後回しにしてしまうミア。

hukutani

福谷さん

それはいけませんね。健康診断も脆弱性診断も同じで、あくまでも現在のリスクを可視化する一つの手段でしかありません。重要なのは、脆弱性診断を実施しリスクを可視化した後にどういった対策や修正を行い、継続的にリスクを低減できるかなんですよ。

icon_normal
ミアミン

健康診断も脆弱性診断も「受けるだけ」ではダメ、その後が大事ということミア!

hukutani

福谷さん

そうですね。でも、脆弱性診断を行うこと自体も、組織全体のセキュリティ意識を高め、リスクに対する理解を深めるきっかけになりますから、「受けるだけ」ではダメとも言い切れません。脆弱性診断をまだ実施したことがないなら、まずは試してみるだけでも大きな一歩になるはずですよ。

icon_yorokobi
ミアミン

なるほど。継続的なリスク低減を目指して、まずは踏み出してみるミア!今日はいろいろ教えてくれてありがとミア!

hukutani

福谷さん

脆弱性診断を実施する前にセキュリティベンダーに悩みを相談することも、課題解決のヒントになるはずです。課題を抱えている方は、ぜひ一緒に解決していきましょう!

詳細はこちら