ホワイトハッカーを夢みて、セキュリティアカデミーでお勉強中のミーアキャット。心配性でやさしい性格で、「みんな無事ミア?」「危険はないミア?」が口癖。ちょっとしたことですぐに「キャッ!」と動揺しがち。
2014年入社。セキュリティ診断業務に携わり10年以上、年間100近くのサイトの診断を実施した経験がある。なりすましの脆弱性を見つけたときが一番快感を覚える。現在はセールス、部内マネジメントに従事。
福谷さんこんにちは!今日のテーマは「脆弱性診断」ですね。正直に言うと「弱いところを調べるのかな?」くらいのイメージしかないミア……。
福谷さん
“弱い”という字が入っていますもんね(笑)。脆弱性診断というのは、システムやアプリケーションに存在する「セキュリティ上の弱点」を特定し、リスクを可視化するための手段なんです。
そう聞くと、なんだか健康診断みたいですね。実は、僕もちょっと血圧高めのリスクがあるミア。
福谷さん
そうですね!でも、診断の仕方は健康診断とはちょっと違うかもしれません。具体的には、Webアプリケーション、プラットフォーム、スマートフォンアプリケーションなどに対して疑似的な攻撃を行い、その挙動を確認することで脆弱性の有無を判断します。
スポーツで「試合形式の練習をして弱点を見つける」のに似ているミア!
福谷さん
うんうん。そして弱点を見つけるには、“作戦”も大事です。システム設計によっては、複雑な攻撃を行うことで脆弱性の有無を確認できるものもあるため、システム設計を把握したうえで脆弱性診断の対象や手法を決める必要があります。
なるほど~。それじゃあさっそく綿密に作戦を立てて練習して、弱点を「克服」するミア!
福谷さん
いやいや、診断はあくまでも弱点を見つけるだけです。脆弱性診断は、脆弱性を確認し現在のリスクを可視化することであり、脆弱性診断を行うことで脆弱性対策ができるというわけではないんですよ。
たしかに、健康診断でも先生に「血圧が高めですね」と言われただけでは、血圧は下がらないミア……(しょんぼり)。
さて、実際の脆弱性診断はどんな手順で進めていくミア?
福谷さん
先ほど言ったように“作戦”を立てること、つまり診断前の「準備」や、修正措置、つまり診断後の「対策」を行うこともとても重要なので、意外といろいろな工程があるんですよ。具体的に見ていきましょう。
セキュリティベンダーに「診断してください」とお願いするだけではないんですね……たしかに、健康診断も受ける検査の種類を選んだり、問診票を書いたり、健診前にいろいろやることがあるミア。
福谷さん
健康診断の後も結果に応じて保健指導を受けたり、医療機関を受診したりしますよね。同じように、脆弱性診断はセキュリティベンダーだけで主導するものではなく、セキュリティベンダーと一緒に作戦会議を行いつつ、自社での作業も必要となるものなんです。
うっ、保健指導……健康のことは心配だけど、つい後回しにしてしまうミア。
福谷さん
それはいけませんね。健康診断も脆弱性診断も同じで、あくまでも現在のリスクを可視化する一つの手段でしかありません。重要なのは、脆弱性診断を実施しリスクを可視化した後にどういった対策や修正を行い、継続的にリスクを低減できるかなんですよ。
健康診断も脆弱性診断も「受けるだけ」ではダメ、その後が大事ということミア!
福谷さん
そうですね。でも、脆弱性診断を行うこと自体も、組織全体のセキュリティ意識を高め、リスクに対する理解を深めるきっかけになりますから、「受けるだけ」ではダメとも言い切れません。脆弱性診断をまだ実施したことがないなら、まずは試してみるだけでも大きな一歩になるはずですよ。
なるほど。継続的なリスク低減を目指して、まずは踏み出してみるミア!今日はいろいろ教えてくれてありがとミア!
福谷さん
脆弱性診断を実施する前にセキュリティベンダーに悩みを相談することも、課題解決のヒントになるはずです。課題を抱えている方は、ぜひ一緒に解決していきましょう!