セキュリティ診断とは?必要とされている背景と種類も解説

仮想デスクトップコラム
  • テレワーク

  • 2021.10.18

セキュリティ診断とは?必要とされている背景と種類も解説
  • そもそもセキュリティ診断とは何か
  • セキュリティ診断はどのような背景で必要とされているのだろうか
  • セキュリティ診断の種類を知りたい

今やほとんど全ての企業・個人が情報システムを利用する時代となりました。しかし、それと同時にセキュリティインシデントも後を断ちません。


セキュリティインシデントが発生すると、企業活動だけでなく、ステークホルダーにまで影響が及ぶ恐れがあります。


そのため、セキュリティインシデントを予防するため、セキュリティ診断の必要性が高まっています。


本記事では、セキュリティ診断の意味とセキュリティ診断が必要とされている背景、さらにセキュリティ診断の種類を紹介します。

STC診断

セキュリティ診断とは

セキュリティ診断とは、システムやネットワークなどを調査するものです。脆弱性診断、脆弱性検査とも言います。

具体的には、擬似攻撃を通じ、様々なセキュリティリスクを洗い出します。セキュリティ診断の対象は、OSやミドルウェアなどです。

セキュリティリスクを洗い出して対策を講じることで、セキュリティを高めることが可能となります。

セキュリティ診断が注目される時代に

昨今の新型コロナウイルス感染症拡大に伴い、新しい生活様式が求められるようになってきました。

働き方についてもテレワークの普及が進み、国土交通省の調査から新型コロナウイルス感染症拡大前と比べ15.6%増加していることがわかります。

テレワークには様々なメリットがありますが、セキュリティ上ではリスクも少なくありません。

また、テレワークの増加とともにクラウドサービスの利用も増えています。総務省の調査ではクラウドサービを一部でも利用している企業は64.7%で、前年より6.0ポイント上昇していることがわかります。

このように、テレワークやクラウド利用が広まり、外部(自宅・外出先)から外部(クラウド)へとアクセスする通信が増えたことで、これまでセキュリティ対策の主流となっていた境界型セキュリティだけでは、セキュリティ対策としては対応できないようなケースも出てきています。

参考:総務省 「令和2年版 情報通信白書 テレワークの推進」

セキュリティ診断が必要とされている理由

ここでは、セキュリティ診断が必要とされている理由を以下の順に紹介します。

  • セキュリティ脅威の組織化・複雑化
  • 潜在的なセキュリティリスクの存在
  • 人為的な作業ミス
  • セキュリティ問題の深刻化

セキュリティ脅威の組織化・複雑化

セキュリティ診断が必要とされている理由の1つ目は、セキュリティ脅威の組織化・複雑化です。

総務省のサイバーセキュリティタスクフォース事務局が令和2年12月に発表した資料によると、以前はサイバー攻撃を行うのは愉快犯が主だったが、近年は経済犯・組織犯へと変わっています。

また、その手口も以前は攻撃されたことに気づきやすいDDos攻撃や不正アクセス被害だったが、近年は攻撃されたことが気づきにくい巧妙で複雑な手口へ変わっており、標準型攻撃やランサムウェアによる攻撃へと変わっています。

参考:総務省 サイバーセキュリティタスクフォース事務局 「サイバー攻撃の最近の動向等について」

潜在的なセキュリティリスクの存在

セキュリティ診断が必要とされている理由の2つ目は、潜在的なセキュリティリスクの存在です。

どんなにセキュリティ対策をしているつもりでも、潜在的なセキュリティリスクを完全になくすことは困難です。

例えば、OSやミドルウェアなどに日々新たな脆弱性が発見されています。また、攻撃者の進化によって新たな攻撃方法が日々産み出されています。

さらに、管理者の設定ミスやパッチ適用の不備によってセキュリティリスクが発生することも考えられます。

このような潜在的なセキュリティリスクを放置していると、知らぬ間にセキュリティインシデントが発生しても全くおかしくありません。

それを防ぐには、こまめにセキュリティ診断を行い、潜在的なセキュリティリスクを見つけて対処していくことが必要なのです。

人為的な作業ミス

セキュリティ診断が必要とされている理由の3つ目は、人為的な作業ミスの予防です。

セキュリティ対策は、システムに対するセキュリティ対策だけでは不十分です。なぜなら、最終的にシステムを操作するのは人間だからです。

仮に、システムを操作する従業員の中に一人だけセキュリティ意識が低く、社内ルールを守っていなかったとします。

いくら社内ルールが優れていて、他の従業員がそのルールを遵守していても、一人の従業員が社内ルールを守っていなかっただけで、社外からの攻撃を受ける危険性が高まるのです。

そのような事態を防ぐには、運用者や利用者側のセキュリティ意識向上・人材教育が必要となります。

このように、高度化する攻撃からセキュリティを守るには、システムに対するセキュリティ対策に加えて人的な対策も必要なのです。

セキュリティ問題の深刻化

セキュリティ診断が必要とされている理由の4つ目は、セキュリティ問題の深刻化です。

コーポレートサイトや勤怠管理システムなど、今やほとんど全ての企業・個人が情報システムを利用する時代となりました。

今後も、クラウドやIoTの活用など、情報システムの利用はますます拡大すると予想されます。

しかし、情報システムの利用が拡大していることは、悪意ある攻撃者にとっては攻撃対象が増えたことと同義です。

経済産業省のサイバーセキュリティ経営ガイドライン (Ver 2.0)によると、サイバー攻撃を受けた経験のある企業は約4割にのぼります。

しかも、それらの企業のうち約半数は外部からの指摘によりサイバー攻撃の発生が明らかになっています。

さらに、サイバー攻撃により自社のみならずステークホルダーにも被害が発生する事例も存在しています。

以上のように、企業においてセキュリティ問題は深刻化しており、セキュリティ診断で脆弱性を講じて対策を講じることがますます重要となっています。

参考:経済産業省 「サイバーセキュリティ経営ガイドライン (Ver 2.0)」

セキュリティ診断の種類

ここでは、セキュリティ診断の種類を以下の順に紹介します

  • プラットフォーム診断
  • Webアプリケーション診断
  • Web API診断
  • スマートフォンアプリケーション診断
  • ペネトレーションテスト
  • IoTデバイス診断

プラットフォーム診断

セキュリティ診断の種類の1つ目は、プラットフォーム診断です。

プラットフォーム診断とは、サーバーやネットワーク機器のIPアドレスに対して、ネットワークを通じて様々な検証を行うものです。

これにより、OSやミドルウェア、TCP/IPサービス等の既知の脆弱性を調査します。

プラットフォーム診断が有効なのは、攻撃者の視点で既知の脆弱性への対策がどれほどなされているか検証したい時です。

なぜなら、サービスや製品に既知の脆弱性が存在する場合、その脆弱性が攻撃者に狙われることはよくあるからです。

しかも、近年ではミドルウェアやフレームワーク等、攻撃の対象がより広範囲に広がっています。

その点でも、プラットフォーム診断が必要な場面はますます増大していると考えられます。

また、診断対象への影響は比較的少ないため、サービスが公開中のシステムに対しても実施可能であることも特徴です。

Webアプリケーション診断

セキュリティ診断の種類の2つ目は、Webアプリケーション診断です。

Webアプリケーション診断とは、攻撃者の観点でWebアプリケーションに様々な操作を行うものです。

そのレスポンスから、Webアプリケーション特有の脆弱な実装や設定の不備を調査します。

Webアプリケーション診断が特に有効なのは、Webサイトにて重要なサービスを提供している企業です。

近年Webアプリケーションの脆弱性を悪用する攻撃が増加しており。発生した大規模な情報漏えい事件の多くは、WebサイトやWebアプリケーションの脆弱性を悪用したものです。

そのため、Webアプリケーションの脆弱性を特定して対策を講じることがますます重要となっています。

Web API診断

セキュリティ診断の種類の3つ目は、Web API診断です。

Web API診断とは、Web APIに様々な操作を行って得られたレスポンスから、認証や認可に関するWeb API特有の脆弱性を調査するものです。

Web API診断が特に有効なのは、自社のWeb APIを公開している会社です。

近年、サービス連携のためWeb APIを公開している会社が増加しています。また、他社が公開しているWeb APIを活用して新しいサービスを開発する事例も増加しています。

これは、Web APIの認証・認可に脆弱性が存在すると、それを狙った攻撃を受けるリスクが高まっていることにもなります。

そのため、自社のWeb APIを公開している会社においては、Web API診断を行うことと、認証・認可の仕様を考慮したセキュリティ対策を行うことが必要になっています。

スマートフォンアプリケーション診断

セキュリティ診断の種類の4つ目は、スマートフォンアプリケーション診断です。

スマートフォンアプリケーション診断とは、スマートフォンアプリケーション特有の脆弱な実装や設定の不備を調査するものです。

スマートフォンアプリケーション診断が特に有効なのは、スマートフォンアプリケーションで重要なサービスを提供している会社です。

スマートフォンには、その携帯性・拡張性に由来した特有の脅威が存在します。

そのため、スマートフォンアプリケーションに特化した、スマートフォンアプリケーション診断が必要なのです。

ペネトレーションテスト

セキュリティ診断の種類の5つ目は、ペネトレーションテストです。

ペネトレーションテストとは、すでに発見されている脆弱性を実際に利用して、更なる侵入と情報の取得を試みるものです。

これにより、実際の攻撃を受けた場合、被害がどの程度想定されるか明らかにできます。よりセキュリティを高めたい場合に検討すべきセキュリティ診断です。

ただし、実際に攻撃を加えるため、診断対象への影響は大きなものです。そのため、ペネトレーションテストはサービスを提供していない状態で実施することがベターです。

IoTデバイス診断

セキュリティ診断の種類の6つ目は、IoTデバイス診断です。

IoTデバイス診断とは、 IoTデバイスにおいてファジングを実施して脆弱性を洗い出すものです。

ファジングとは、対象のIoTデバイスに対してファズデータ(不正データ)を意図的に送り込むものです。ファズデータを送り込んだ時の入出力挙動により、脆弱性を診断します。

IoTデバイスの出荷前に検査を実施すれば、より安全な状態で生産工程へ入れます。

また、 IoTデバイスの普及が急速に進んでいる昨今、今後IoTデバイス診断の必要性が増大すると予想されます。

まとめ

本記事では、セキュリティ診断の意味とセキュリティ診断が必要とされている背景、さらにセキュリティ診断の種類を紹介しました。

セキュリティ診断を行い、セキュリティリスクに適切に対処していくことは、今後重要性が増していきます。

また、セキュリティ診断には複数の種類があり、自社の事業によって必要なセキュリティ診断を選択する必要があります。

ぜひとも本記事を参考にして、あなたの会社でもセキュリティ診断を実施して、セキュリティリスクからあなたの会社を守ってください。

なお、弊社では自社のセキュリティ状況やテレワーク環境、コミュニケーション環境を簡単に把握できる「STC診断」をオンラインで無料公開しています。よろしければ、以下よりお試しください。

STC診断