今回は、セキュリティ対策の手段の一つである脆弱性診断について深く掘り下げていきます。脆弱性診断では具体的にどんなことをするのかイメージしていきましょう。
脆弱性診断とは、システムやアプリケーションに存在するセキュリティ上の弱点を特定しリスクを可視化する行為です。
具体的には、Webアプリケーション、プラットフォーム、スマートフォンアプリケーションなどに対し、疑似的な攻撃を行いその挙動を確認し脆弱性有無を判断する行為です。システム設計によっては、複雑な攻撃を行うことで脆弱性の有無を確認できるものもあるため、システム設計を把握したうえで脆弱性診断の対象や手法を決める必要があります。
あくまでも、脆弱性診断は脆弱性を確認し現在のリスクを可視化することであり、脆弱性診断を行うことで脆弱性対策ができるというわけではない、ということが重要なポイントとなります。
それでは、脆弱性診断を受ける場合にどのような工程があるのか、具体的に見ていきましょう。
- 脆弱性診断の準備
- 脆弱性診断を受けるために社内ハンドリングできる人材の確保と体制構築を行う
- 組織内の関係者を巻き込み、セキュリティ意識の共有を行う
- 診断の目的と範囲を明確に定義する
- 脆弱性診断に必要な環境やデータの準備を行う
- 脆弱性診断の実施
- 自動化されたツールを使用した脆弱性診断を行う
- アプリケーション設計やツールでは確認できない脆弱性に対する手動での脆弱性診断を行う
- 結果分析と修正措置の実施
- リスクレベルに応じた報告書を確認し、診断結果から得られたデータを分析する
- 各脆弱性に対するリスクを把握する
- 報告された脆弱性に対して、優先順位に基づき修正を行う
- 再評価と今後の検討
- 修正後、再び脆弱性診断を実施し、修正の有効性を確認する
- 新たな脆弱性に対処できるような運用を検討する
このように、脆弱性診断はセキュリティベンダだけで主導するものではなく、セキュリティベンダとすり合わせを行いつつ、自社での作業も必要となります。
また、あくまでも脆弱性診断は現在のリスクを可視化する一つの手段でしかありません。
重要なのは、脆弱性診断を実施しリスクを可視化した後にどういった対策や修正を行い、継続的にリスクを低減できるかです。
ただし、脆弱性診断を行うことで組織全体のセキュリティ意識を高め、リスクに対する理解を深めるきっかけとなります。
脆弱性診断をまだ実施したことが無ければまずは試してみてはいかがでしょうか。
脆弱性診断を実施する前にセキュリティベンダに悩みを相談することも課題解決のヒントになるはずです。
もし課題を抱えているのであれば、ぜひ一緒に解決していきましょう!