普段の生活で利用しているパソコンをはじめとしたデジタル機器の中には、ソフトウェアやシステムが組み込まれているものがほとんどで、定期的にメンテナンスやアップデートをする必要があります。
Webサイトに脆弱性があると、いとも簡単に不正アクセスやWebサイト改ざんを許すことになるでしょう。最悪の事態を避けるためにも、脆弱性について考える必要があります。今回は脆弱性に対する考え方・脆弱性診断に役立つツールについて紹介します。
IT用語としても知られる「脆弱性」とは、OSやソフトウェア、システム上にみられる不具合・欠陥を示す言葉です。制作した当時には発見できなかったプログラムのミスや欠陥をきっかけとして、問題を起こす可能性を秘めているものです。パソコンやソフトウェアなどに行われるアップデートとは、こういう脆弱性に対処するものも含まれています。
脆弱性はパソコンやシステムのセキュリティに影響を及ぼすことが多く、セキュリティホールという名前で脆弱性を呼称する場合もあります。
これらの脆弱性は、ウイルスの不正侵入を許したり、不正アクセスやシステムダウンを引き起こすなど、さまざまなトラブルの温床になるリスクがあります。
多くのITエンジニアからすると、脆弱性を診断することは必要不可欠なことです。顧客に安心して利用してもらえるネットサービス提供の是非は、脆弱性に対する努力にかかっていると言っても過言ではありません。
サービス提供側は脆弱性を出さないシステム作りを心がけると同時に、定期的な脆弱性診断を行うことでサービスの安全を確保するべきと言えます。
ネットサービスやOS・ソフトウェアを提供している企業は、脆弱性診断に余念がありません。脆弱性診断には2つのタイプがあることをご存知でしょうか。現在行われている脆弱性診断の方法と、2種類の診断法のポイントについて紹介します。
手動で行う脆弱性診断とは、文字通りエンジニアがシステムやソフトウェアを細かくチェックしていく診断方法です。システムやソフトの規模にもよりますが、多くの人員や時間が割かれる可能性が高いです。細かく、柔軟な対応ができますが、コスト増になるというデメリットがあります。
ツールを使用して行う診断方法とは、チェック項目を定めて自動で診断するツールを用いる方法です。
ツールを使用するため、人手を必要とせず、拘束時間も少ない状態で診断することができます。あらかじめ設定したことのみの診断になるので、想定外の不具合に対しては効果が薄い時もあります。
ツールを使うことでコスト減にも
脆弱性診断を行うには、手動とツールによる方法を組み合わせることが一般的です。
どちらかに依存した診断だと、メリット・デメリットの差が大きくなります。手動だとコスト、ツールであると正確性という不安が代表的です。
主要な部分の診断はツールで、詳細な部分は手動でという組み合わせであればコスト減で対応できる可能性が高いでしょう。
ネット接続環境にあるOSやシステムは、常に様々なバージョンのシステムと接触しています。更新されていないもの、最新のプログラムのものなど多く触れることで脆弱性にも 影響が出やすいと言えるでしょう。ユーザー自身もセキュリティ対策として、脆弱性診断 を行うことをおすすめします。脆弱性診断をするべき5つのポイントについて紹介します。
脆弱性に対して無関心なままパソコンを使っていると、不正アクセスされやすくなります。ビジネス用のフォルダにいれてある機密情報や顧客に関するファイルが第三者に盗まれてしまう可能性があります。企業にお勤めしている方のパソコンであれば被害は想像以上になるでしょう。
情報が盗まれて困るのは、ビジネスに関するものだけではありません。私的なメールや写真、インターネット履歴などイメージダウンになる可能性がある情報もセキュリティホールから漏れ出てしまうというリスクも少なくありません。顧客や友人の信用をなくしてしまう可能性もあります。
脆弱性を悪用された個人や企業ホームページの改ざんも、意識すべき問題と言えるでしょう。多くのコストや手間をかけて作り上げてきたホームページが、脆弱性対策の不足で壊されてしまうというケースもゼロではありません。正しい情報発信が、悪意あるサイバー攻撃により妨害されます。
なんらかのネットサービスを提供されている方は、お使いになっているシステムを根本から壊されてしまうというケースにも着目すべきです。時間制限など設けられている売買や情報管理に影響が出ると、ビジネス継続にも悪影響が出やすくなります。
脆弱性を狙ったサイバー犯罪として怖いところは、ウイルス感染から不正アクセスされたパソコンが悪用されることです。これまでにもウイルス感染したパソコンが新たにウイルスをまき散らすというトラブルが多く存在しています。周りに迷惑をかけたり、被害を与えないためにも脆弱性には注意と対策が必要です。
脆弱性診断で活用されている方が多い診断ツールについて5つ紹介します。それぞれ人気 が高く、特徴を兼ね備えている脆弱性診断ツールばかりです。目的やお好みに合わせた脆 弱性診断ツールで、効率よい対策にお役立てください。
OWASP ZAPはオープンソースで作成されている脆弱性診断ツールです。Windowsや Macといった主要OSに限らず、Linuxユーザーも使用することができます。指定したURL やアプリに対する脆弱性診断を OWASP ZAP は自動で行ってくれます。
脆弱性として注意すべきセキュリティホールは、一般的に公表されています。公表されているセキュリティホールが、自前のシステムやパソコンには含まれていないのか調べるにはNiktoがおすすめです。既知のホールやセキュリティ問題を明確に診断します。Niktoは主要OSにほとんど対応しているオープンツールです。
お持ちになっているサーバーに脆弱性診断したいのであれば、Nessusがおすすめです。別名「脆弱性スキャナ」と呼ばれるほど、サーバーの診断にNessusは特化しています。セキュリティホールの検知、システム不具合なども調べることが可能です。無料で診断できることもあり、コストパフォーマンスが優れています。
Burp Suiteはwebアプリを提供するサービスを行っている方におすすめできる脆弱性診断ツールです。webアプリと、アプリを表示するブラウザの間でトラブルがないかをBurp Suiteで診断します。ローカルプロキシの知識がある方には理想的と言えるでしょう。
脆弱性の主要な被害と言えば、不正アクセスが挙げられます。不正アクセスをチェックする方法としてはポートスキャンが一般的です。ポートスキャン機能がある自動診断ツールとしてNmapが知られています。ポートスキャン診断機能が充実したツールとして他に比べるものはないでしょう。
今回はネットサービスを安心して使うためにはポイントとなる脆弱性の紹介と、対策方法の一つである脆弱性診断ツールについてまとめました。効率よく脆弱性の調査や対策を行うには、ある程度の知識やスキルも必要ですが、脆弱性診断ツールという方法も有効です。いまお使いになっている環境に合わせて検討をおすすめします。
脆弱性を突くサイバー攻撃への対抗策として、WAFを導入するという方法をご紹介します。WAFを導入することで脆弱性を突いた攻撃を防ぐことができるようになります。
WAFには色々なものがありますが、その中でもクラウド型WAFであれば、コストや手間も少なくセキュリティ対策することができます。
クラウド型のWAFは導入ハードルが極めて低いので、これからWebセキュリティ対策を行う企業様には有力な選択肢となります。WAFを選定する時には、サポート体制や導入実績なども重視して、自社に最適なものを選びましょう。
クラウド型WAF「攻撃遮断くん」は、最新の攻撃パターンにも自動的に対応していくため、セキュリティパッチをすぐに適用できない状況や、定期的に脆弱性診断が出来ない状況でも、セキュアな環境を保てます。
ぜひこの機会にWebセキュリティ対策を見直し、WAFの導入を検討してみてください。
「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。
https://www.shadan-kun.com/
(2018/04/25 執筆、2019/10/05修正・加筆)
この記事と一緒に読まれています
Apache Struts2の脆弱性で広がるサイバー攻撃の被害
2017.03.30
セキュリティ対策
Drupalの脆弱性を狙った攻撃に注意!今すぐできる対策とは?
2019.05.13
セキュリティ対策
2020.02.19
セキュリティ対策
2019.09.11
セキュリティ対策
WordPressの脆弱性による被害事例と今すぐできる対策とは?
2019.06.03
セキュリティ対策
【注意喚起】Apache Struts2の脆弱性発覚!即時の対応を!
2017.09.12
セキュリティ対策