脆弱性診断は必要？やり方や費用の相場を詳細解説

Webサイトのセキュリティを強化するうえで不可欠になりつつある脆弱性診断。セキュリティ意識の強い企業は既に定期的な診断を行っています。現状のセキュリティ対策に危機感を覚え、社内で脆弱性診断を導入すべきか悩んでいる担当者の方もいらっしゃるのではないでしょうか？

信頼性のある脆弱性診断を行うにはサイバーセキュリティへの知見を有したエンジニアの存在が不可欠であり、ツールを用いた簡易的な診断であっても一定のスキルが必要です。今回の記事では脆弱性診断を導入すべきか迷っている方向けに、基礎的な情報を解説します。

１．脆弱性診断とは

システムやネットワークのセキュリティ状況を評価する診断を脆弱性診断と呼びます。同じような言葉として「セキュリティ診断」という単語がありますが、サイバーセキュリティにおいてはほぼ同義に扱われます。

外部・内部から脆弱性を発見し、攻撃者からの悪意ある攻撃や情報漏えい事故などのリスクを未然に防ぐのが脆弱性診断の主な目的です。ウイルス対策の実施やOSやアプリケーションのバージョンアップなど基本的な対策の次に必要とされるサイバー攻撃への防御策で、比較的安価・短時間で行える施策の一つだと言えるでしょう。

脆弱性とは

そもそも脆弱性とは、インターネットに接続するデバイスやソフトウェアに生じるセキュリティ上の欠陥のこと。「セキュリティホール」とも呼びます。

脆弱性そのものに害があるわけではありませんが、プログラムの設定ミスなどが原因となって脆弱性が発生すると、悪意を持った人物からサイバー攻撃を受けるリスクが高まります。

２．脆弱性診断の目的・必要性

軽く先述しましたが、脆弱性診断の目的はシステムへの侵害につながる可能性を有する脆弱性の特定とランク付け、レポーティングです。

脆弱性のカテゴリや危険性、すなわち対策の重要度をランク付けし、セキュリティホールをふさぐ適切な施策を講じるために必要不可欠な定期健診のようなものです。特に企業サイトでは脆弱性診断を定期的に行い、安全なWebサイト、Webアプリケーションを提供することが重要視される傾向にあります。

脆弱性診断の必要性は高まっている

個人情報など経済的価値の高い情報の詐取はもちろんのこと、Webサイトの改ざんを目的としたハッキングなど、サイバー攻撃の手法は年々多様化しています。悪質な手口に対応すべく、より複雑かつ多面的な方法で脆弱性診断を行う必要性は高まり続けていると言えるでしょう。

また、近年では短期間のうちに何度もアップデートを行うWebサービスが多く、導入側の企業でセキュリティ面の対応が追い付かないまま放置される事例が増えています。

代表的なのはWordPressなどのオープンソースCMSを利用している企業がプラグイン等の脆弱性を突かれて攻撃を受けるケース。弊社のアンケート調査では、WordPressを使ってサイトを運用している企業のうち半数以上がサイバー攻撃の被害を受けた経験があると回答しています。

→アンケート結果の詳細はこちらから

セキュリティ意識の向上から、企業間でのやり取りでも脆弱性診断を含むセキュリティ対策を事前に確認して取引企業の選定基準に加えるケースも増えています。実際に被害を受けるリスクを減らす目的だけでなく、企業の信頼性を担保するためにも脆弱性診断の必要性は高まり続けていると言えるでしょう。

３．脆弱性診断のやり方・費用の相場

脆弱性診断の方法は大きく分けて2種類、ツール診断とマニュアル（手動）診断があります。同じ脆弱性診断でもエンジニアが手動で診断作業を行うかどうかで予算・やり方が大きく変わってきます。

なお、実際に脆弱性診断を行うにはサイバーセキュリティに関する専門知識を持ったエンジニアが必要です。ここでは脆弱性診断のやり方を簡略化してご説明します。

ツール診断

予算：無料～数十万円

自動検知ツールなどを用いて、システム全体の脆弱性を診断する方法です。手動では膨大な時間や手間がかかる作業を短時間かつ低コストで実施できますが、網羅性にはやや欠けます。

ツールの多くは操作が難しいため、使いこなすにはセキュリティに対する専門知識を持っていることが前提条件になります。網羅性を高めようとするほどツールの学習コストも高まるので、いきなり社内で導入するのはハードルが高いと言えるでしょう。

クラウド型

クラウド型はインターネットを用いて診断できるツールです。

ソフトなどのインストールが必要なくネット上で完結するので誰でも手軽にできるのがメリットですが、クラウド型の診断範囲だけではリスクをカバーしきれません。本格的な対策を行うのであれば、別のツール・手動診断と併用すべきでしょう。

ソフトウェア型

自社のパソコンやサーバに診断ソフトをインストールするツール。

オフライン環境でも利用でき、クラウド型より脆弱性診断の範囲は広がりますが、インストールや管理には相応の専門性が必要です。

オープンソース型

インターネット上に公開されているソースコードを利用した無料のソフトウェアを用いるのがオープンソース型。オープンソースという性質上カスタマイズ性が高く、無料で利用可能ですが、ソフト自体の安全性は担保されないので注意しましょう。

また、通常のソフトウェア型と同じく専門的な知識が必要です。

マニュアル（手動）診断

予算：数万～数百万円（数万のサービスはツールと併用）

セキュリティの専門家などに依頼し、人の手で脆弱性を診断します。

検査項目の網羅性が高く、ツールでは認識しにくいタイプの脆弱性を発見できますが、診断を行うエンジニアのスキルによってサービスの質やコストにはばらつきが生じることもあるので事前の企業選びが大切になってきます。

専門性の高いエンジニアが直接診断を行うので完全に手動で診断するなら最低でも数十万円はかかります。予算上難しければ一部ツールを使って診断する「ハイブリッド診断」を用いるとコストを抑えることができます。

ツールを併用した単発の診断であれば無料になることもあります。

リモート型

インターネットに公開されているアプリケーション、公開セグメント上のサーバなどの脆弱性をチェックします。エンジニアが直接赴かなくても実施できるので後述のオンサイト診断と比較すると費用はやや抑えられます。

オンサイト診断

顧客のオフィスやデータセンターなどのネットワーク環境がある場所へ直接エンジニアが出向き、内部ネットワークから脆弱性を診断するのがオンサイト診断です。

費用はかさみますが、その分非常に網羅性の高い診断が可能です。

一般的なマニュアル診断のやり方・手順

ツール型の利用方法はシステムによって大きく異なるので、参考までにマニュアル（手動）診断の一般的なやり方を解説します。

①事前調査

まず対象となるWebサイト・アプリケーションの調査を行います。

②診断する範囲・方法を決定

対象アプリケーションの特性などを踏まえて診断メニュー/診断項目を決定します。

手動診断は予算感などを踏まえて診断の範囲を重要な機能のみに絞る、事前の審査結果に応じて範囲を拡大するなど、相談によって柔軟に診断の内容を変更できるのがメリットです。

③診断

専門家が実際に対象アプリケーションにアクセスし、攻撃者の視点に立って脆弱性の有無を検証します。

対象となる画面遷移数によって期間は異なりますが、数日～長くて数ヶ月程度かかることもあります。

④診断結果の報告

検出された脆弱性の内容や重要度、対策の説明などがレポート形式で提供されます。

４．脆弱性診断の種類

脆弱性診断は診断を行う対象によって2種類に分けることができます。

Webアプリケーション診断

対象：Webアプリケーション、CMSなど

サーバ上で稼働させるWebアプリケーションを対象として行う診断のこと。

攻撃者の視点に立ち手動またはツールを使って、Webアプリケーションに潜む脆弱性を見つけるのが特徴。「外側から見る脆弱性診断」と捉えると分かりやすいですね。

プラットフォーム診断

対象：ミドルウェア、サーバなど

OS／ミドルウェア等の内部システムに潜む脆弱性への対応状況などについて検査します。

脆弱性を内側から発見するタイプの診断形式です。

５．推奨される脆弱性診断の頻度

脆弱性診断は一度やって終わりではなく、定期的に行ってセキュリティホールが生じていないかチェックすることが重要です。

情報セキュリティを推進している独立行政法人IPA（情報処理推進機構）が公式に発表している脆弱性診断の推奨頻度※は以下の通り。

• プラットフォーム診断：少なくとも四半期（3ヶ月）に1回
• Webアプリケーション診断：新機能開発や追加やシステム改修を行ったタイミング

何らかの手段で定期的に脆弱性診断を行うための仕組みづくりが大切です。

６．まとめ

脆弱性診断は企業サイトの安全性を守り、企業全体の信頼性を維持するために必要不可欠なものです。社内で正確な脆弱性診断を行うことも可能ですが、かなり専門性の高い知識を必要とするので、これからサービスを導入したいと考えている企業は外注を検討した方がコスト的には最適でしょう。

弊社ではWordPressを利用している企業様向けに現在脆弱性診断（セキュリティ診断）を無料で行っています。保守サービスに興味のある担当者様はもちろん、少しだけ話を聞いてみたいという方も是非ご相談ください。

• IPA＋「ECサイト構築・運用セキュリティガイドライン」