採用情報

お問い合わせ

BLOG

  1. HOME
  2. BLOG
  3. 情報セキュリティ BLOG
  4. Web セキュリティ
  5. 脆弱性診断を実施する必要性とは⁉

情報セキュリティ BLOG

Web セキュリティ

2022 年 11 月 07 日

脆弱性診断を実施する必要性とは⁉

Web サイトを構築する際の必要なセキュリティ対策に「脆弱性診断」があります。脆弱性診断とひとくちに言っても、様々な種類があり、費用についてもバラつきがあるため何を実施すれば良いか判断に迷ってしまうことが多いというお話を耳にします。脆弱性診断とはどんなことをするのか、なぜする必要があるのか、実施することでどんなメリットやリスクヘッジにつながるのか等、ポイントを絞って解説します。

脆弱性診断とは?

脆弱性診断とは、Web サイトやサーバー等にセキュリティ上の欠陥(脆弱性)がないかを事前に調べることです。
攻撃者は脆弱性を突いて情報の奪取などの攻撃を仕掛けてきます。そのような悪意ある攻撃(サイバー攻撃)や情報漏えい事故などのリスクを未然に防ぐことが脆弱性診断を実施する目的です。

脆弱性診断はなぜ必要なのか?

近年サイバー攻撃は高度化しており、国内のサイバー攻撃リスクは 3 年間で 2.4 倍にも増加しています。攻撃の原因は、システムの「脆弱性」を悪用されることによって起きるものがほとんどです。
また、これまでサイバートラストで脆弱性診断を実施した Web サイトのうち、約 98 %に何らかの脆弱性が発見されています。

サイバートラスト 2021 年度実績
269 システムの診断を実施 / 1268 件の脆弱性を発見

サイバートラスト 2021年度実績 269システムの診断を実施

※サイバートラスト 脆弱性診断レポート 2022 より抜粋

脆弱性を放置していると個人情報の流出やシステムの不正利用など多くの被害を受ける可能性があります。
万が一情報漏洩の被害を受けた場合は以下の不利益を被り、損失が非常に大きくなってしまいます。

情報漏えい事故による損害賠償費用

 過去の事例では、1 件あたり平均 6 億円強の損害賠償が発生

情報漏えい事故による事後対応費用
  • 謝罪広告などの広報費用
  • 事故原因調査費用
  • 謝罪のために支払うお詫び金やお詫びの品
情報漏えい事故による機会損失
  • 被害の拡大防止のために業務停止
  • 社会的信用損失による顧客離れ
情報漏えい事故による法的制裁

 経営者や役員・担当者は業務上過失として刑事罰やその他の責任の可能性

脆弱性診断は、これらの事故による被害や損失を未然に防ぐために有効なセキュリティ対策といえます。

 

脆弱性診断の種類

脆弱性診断(Web アプリケーション診断)は、その方法によってツール診断と手動診断(マニュアル診断)の 2 つに分けられます。

ツール診断

専用のツールを使用し、想定される画面遷移のパターンを自動で確認します。
診断費用は比較的安価となりますが、自由入力の項目など対応できない項目もあり、診断を実施する Web サイトによってはツール診断だけでは不十分なため、手動診断(マニュアル診断)と組み合わせる必要があります。

手動診断(マニュアル診断)

専門の技術者が一つ一つの画面遷移を確認し、脆弱性の有無を調査します。
診断費用は高額になることが多いですが、ツール診断では対応できない自由入力の項目なども細かく人の手で調査するため、サイバー攻撃の被害を予防するためには有効な診断方法と考えています。

サイバートラストの診断サービスラインナップ

Web アプリケーション診断

Web サイトにおいて、不正アクセスやマルウェアなどの被害を未然に防ぐため、潜んでいる脆弱性を明らかにし、適切な対策方法をご提示します。
専用ツールによる診断と専門の技術者による手動診断(マニュアル診断)の両方で検査を実施します。

プラットフォーム診断
  • ネットワーク診断
    インターネットや内部ネットワーク環境の「通信経路」を介して検査を実施します。
    公開されているサービスに対して外部から調査を行うため、一般ユーザーや攻撃者の視点で問題点を確認することができます。
    ホスト診断と組み合わせるとより効果的です。
  • ホスト診断
    専用のツールを対象サーバー上で実行し OS の内側からセキュリティパッチの適用状況を検査するもので、外側からでは見えにくい問題点を短期間に、簡単に洗い出すことができます。
    ネットワーク診断と組み合わせるとより効果的です。
    また、お客様に作業していただき、その結果をサイバートラストで解析するため、セキュリティレベルの高いエリアに診断員が訪問しなくても検査できるメリットがあります。
  • クラウド診断
    Azure/AWS のセキュリティ設定を検査することで、設定不備によるインシデントを予防できます。
    それぞれのガイドライン と照らし合わせ設定不備の有無を洗い出します。
    ※ CIS、AWS セキュリティガイドライン、Azure Security Center
ペネトレーションテスト

専門の技術者が、攻撃者の視点で脆弱性を悪用した侵入の可否を調査します。
脆弱性を洗い出す診断とは異なり、攻撃者の視点で攻撃可能な脆弱性を攻撃して侵入します。
各診断で脆弱性を洗い出し、対策を講じた後にペネトレーションテストを行うことで、実際のシナリオに沿ったアセスメントが可能です。

 

サンプルレポートや昨年のサイバーセキュリティに関する傾向をまとめたレポートを弊社ホームページよりダウンロードいただけますので、ご確認いただければと思います。
また、脆弱性診断は構築した環境や Web サイトの構成によって必要な診断の種類や費用が異なりますので、まずは脆弱性診断専門の担当者へご相談いただけますと幸いです。

診断報告書 詳細レポートのサンプル PDF をダウンロードいただけます

メールアドレスをご登録いただく事で、診断報告書 詳細レポートのサンプル PDF をダウンロードいただけます。下のフォームにメールアドレスをご記入の上送信ください。

メールアドレス 必須

※ 誤登録を防止するため、ご入力いただいたメールアドレス宛に一度確認メールを送信させていただきますので、確認メール内の URL をクリックしてください。その後、ご登録のメールアドレスにダウンロード URL をお送りします。

脆弱性診断レポート 2022

サイバートラストでは、お客様からご依頼頂いた診断とその結果から、昨年のサイバーセキュリティに関する傾向をまとめ、レポートとしてご提供させていただいております。
下記よりメールアドレスをご登録いただく事で資料がダウンロードいただけます。

メールアドレス 必須

※ 誤登録を防止するため、ご入力いただいたメールアドレス宛に一度確認メールを送信させていただきます。確認メール内の URL をクリックして頂き、その後資料のご案内をいたします。

プロフェッショナルによる脆弱性診断サービスについての詳細は、
以下のフォームよりお問い合わせください

お問い合わせ内容 必須
法人名 必須
部署名
お名前 必須
メールアドレス 必須 ※入力間違いにご注意ください。
電話番号 必須
詳しくはサイバートラストのプライバシーポリシーをご覧ください。

はじめての脆弱性診断をお考えの方へ 脆弱性診断の必要性とは?種類と内容、選び方を解説
< 前の記事へ
Apache Tomcat に情報漏えいの可能性がある脆弱性、OpenSSL に深刻度「高」の脆弱性が発見される!その対処法とは?
最新 BLOG 記事
IPA「情報セキュリティ10大脅威 2024」を発表
IPA「情報セキュリティ10大脅威 2024」を発表
2024 年 01 月 29 日
ランサムウェア対策への脆弱性診断の有効性
ランサムウェア対策への脆弱性診断の有効性
2023 年 12 月 06 日
人工知能が拓く、新しい脆弱性診断の形
人工知能が拓く、新しい脆弱性診断の形
2023 年 07 月 28 日
IPA「情報セキュリティ10大脅威 2023」を発表
IPA「情報セキュリティ10大脅威 2023」を発表
2023 年 01 月 31 日
脆弱性診断を実施する必要性とは⁉
脆弱性診断を実施する必要性とは⁉
2022 年 11 月 07 日
Apache Tomcat に情報漏えいの可能性がある脆弱性、OpenSSL に深刻度「高」の脆弱性が発見される!その対処法とは?
Apache Tomcat に情報漏えいの可能性がある脆弱性、OpenSSL に深刻度「高」の脆弱性が発見される!その対処法とは?
2022 年 10 月 26 日
カテゴリ
情報セキュリティ関連記事

人工知能が拓く、新しい脆弱性診断の形

より高度な情報セキュリティが必要なあなたへ システム内部からの認証スキャン PCI DSS 4.0 対応 サイバートラスト 脆弱性診断サービス ホスト診断

CentOS 7 延長サポートサービス
デジタルトランスフォーメーションのための電子認証基盤 iTrust
SSL/TLS サーバー証明書 SureServer Prime