脆弱性

今から知っておきたい脆弱性診断ツールまとめ

2018.04.25

脆弱性

image

普段の生活で利用しているパソコンをはじめとしたデジタル機器の中には、ソフトウェアやシステムが組み込まれているものがほとんどで、定期的にメンテナンスやアップデートをする必要があります。
Webサイトに脆弱性があると、いとも簡単に不正アクセスやWebサイト改ざんを許すことになるでしょう。最悪の事態を避けるためにも、脆弱性について考える必要があります。今回は脆弱性に対する考え方・脆弱性診断に役立つツールについて紹介します。

目次

セキュリティ対策には外せない脆弱性とは?

IT用語としても知られる「脆弱性」とは、OSやソフトウェア、システム上にみられる不具合・欠陥を示す言葉です。制作した当時には発見できなかったプログラムのミスや欠陥をきっかけとして、問題を起こす可能性を秘めているものです。パソコンやソフトウェアなどに行われるアップデートとは、こういう脆弱性に対処するものも含まれています。
 
 

不正侵入の温床になりやすい脆弱性

脆弱性はパソコンやシステムのセキュリティに影響を及ぼすことが多く、セキュリティホールという名前で脆弱性を呼称する場合もあります。
これらの脆弱性は、ウイルスの不正侵入を許したり、不正アクセスやシステムダウンを引き起こすなど、さまざまなトラブルの温床になるリスクがあります。

脆弱性診断によってサービスの安全を確保する

多くのITエンジニアからすると、脆弱性を診断することは必要不可欠なことです。顧客に安心して利用してもらえるネットサービス提供の是非は、脆弱性に対する努力にかかっていると言っても過言ではありません。
サービス提供側は脆弱性を出さないシステム作りを心がけると同時に、定期的な脆弱性診断を行うことでサービスの安全を確保するべきと言えます。

大きく二つに分類される脆弱性診断の方法

ネットサービスやOS・ソフトウェアを提供している企業は、脆弱性診断に余念がありません。脆弱性診断には2つのタイプがあることをご存知でしょうか。現在行われている脆弱性診断の方法と、2種類の診断法のポイントについて紹介します。

手動で行う脆弱性診断

手動で行う脆弱性診断とは、文字通りエンジニアがシステムやソフトウェアを細かくチェックしていく診断方法です。システムやソフトの規模にもよりますが、多くの人員や時間が割かれる可能性が高いです。細かく、柔軟な対応ができますが、コスト増になるというデメリットがあります。

ツールを使った脆弱性診断

ツールを使用して行う診断方法とは、チェック項目を定めて自動で診断するツールを用いる方法です。
ツールを使用するため、人手を必要とせず、拘束時間も少ない状態で診断することができます。あらかじめ設定したことのみの診断になるので、想定外の不具合に対しては効果が薄い時もあります。
 
ツールを使うことでコスト減にも
脆弱性診断を行うには、手動とツールによる方法を組み合わせることが一般的です。
どちらかに依存した診断だと、メリット・デメリットの差が大きくなります。手動だとコスト、ツールであると正確性という不安が代表的です。
主要な部分の診断はツールで、詳細な部分は手動でという組み合わせであればコスト減で対応できる可能性が高いでしょう。

ユーザー自身も考えよう!脆弱性診断を実施しないと

ネット接続環境にあるOSやシステムは、常に様々なバージョンのシステムと接触しています。更新されていないもの、最新のプログラムのものなど多く触れることで脆弱性にも 影響が出やすいと言えるでしょう。ユーザー自身もセキュリティ対策として、脆弱性診断 を行うことをおすすめします。脆弱性診断をするべき5つのポイントについて紹介します。
 

機密情報を守る

脆弱性に対して無関心なままパソコンを使っていると、不正アクセスされやすくなります。ビジネス用のフォルダにいれてある機密情報や顧客に関するファイルが第三者に盗まれてしまう可能性があります。企業にお勤めしている方のパソコンであれば被害は想像以上になるでしょう。

個人情報を守る

情報が盗まれて困るのは、ビジネスに関するものだけではありません。私的なメールや写真、インターネット履歴などイメージダウンになる可能性がある情報もセキュリティホールから漏れ出てしまうというリスクも少なくありません。顧客や友人の信用をなくしてしまう可能性もあります。

ホームページを守る

脆弱性を悪用された個人や企業ホームページの改ざんも、意識すべき問題と言えるでしょう。多くのコストや手間をかけて作り上げてきたホームページが、脆弱性対策の不足で壊されてしまうというケースもゼロではありません。正しい情報発信が、悪意あるサイバー攻撃により妨害されます。

運営システムを守る

なんらかのネットサービスを提供されている方は、お使いになっているシステムを根本から壊されてしまうというケースにも着目すべきです。時間制限など設けられている売買や情報管理に影響が出ると、ビジネス継続にも悪影響が出やすくなります。

ウイルス感染から守る

脆弱性を狙ったサイバー犯罪として怖いところは、ウイルス感染から不正アクセスされたパソコンが悪用されることです。これまでにもウイルス感染したパソコンが新たにウイルスをまき散らすというトラブルが多く存在しています。周りに迷惑をかけたり、被害を与えないためにも脆弱性には注意と対策が必要です。

おすすめの脆弱性診断ツール

脆弱性診断で活用されている方が多い診断ツールについて5つ紹介します。それぞれ人気 が高く、特徴を兼ね備えている脆弱性診断ツールばかりです。目的やお好みに合わせた脆 弱性診断ツールで、効率よい対策にお役立てください。

 

 

OWASP ZAP
OWASP ZAPはオープンソースで作成されている脆弱性診断ツールです。Windowsや Macといった主要OSに限らず、Linuxユーザーも使用することができます。指定したURL やアプリに対する脆弱性診断を OWASP ZAP は自動で行ってくれます。

 

 

Nikto
脆弱性として注意すべきセキュリティホールは、一般的に公表されています。公表されているセキュリティホールが、自前のシステムやパソコンには含まれていないのか調べるにはNiktoがおすすめです。既知のホールやセキュリティ問題を明確に診断します。Niktoは主要OSにほとんど対応しているオープンツールです。

 

 

Nessus
お持ちになっているサーバーに脆弱性診断したいのであれば、Nessusがおすすめです。別名「脆弱性スキャナ」と呼ばれるほど、サーバーの診断にNessusは特化しています。セキュリティホールの検知、システム不具合なども調べることが可能です。無料で診断できることもあり、コストパフォーマンスが優れています。

 

 

Burp Suite
Burp Suiteはwebアプリを提供するサービスを行っている方におすすめできる脆弱性診断ツールです。webアプリと、アプリを表示するブラウザの間でトラブルがないかをBurp Suiteで診断します。ローカルプロキシの知識がある方には理想的と言えるでしょう。

 

 

Nmap
脆弱性の主要な被害と言えば、不正アクセスが挙げられます。不正アクセスをチェックする方法としてはポートスキャンが一般的です。ポートスキャン機能がある自動診断ツールとしてNmapが知られています。ポートスキャン診断機能が充実したツールとして他に比べるものはないでしょう。

まとめ

今回はネットサービスを安心して使うためにはポイントとなる脆弱性の紹介と、対策方法の一つである脆弱性診断ツールについてまとめました。効率よく脆弱性の調査や対策を行うには、ある程度の知識やスキルも必要ですが、脆弱性診断ツールという方法も有効です。いまお使いになっている環境に合わせて検討をおすすめします。