2021年8月20日

「脆弱性診断」とは?

■サイバー攻撃の脅威

脆弱性(バルネラビリティ Vulnerability)とは、コンピュータOSやシステム、ソフトウェアなどのプログラムの不具合や設計上のミスが起因・原因となり発生する情報セキュリティ上の欠陥のことを言います。
また脆弱性は、セキュリティホール(Security Hole)とも呼ばれ、不正アクセスやコンピュータウィルス(ワーム Warm)といった悪意のあるサイバー攻撃により個人情報、クレジットカード情報等の機密情報が漏洩する事例が年々増加しており、セキュリティインシデントや、サイバー攻撃のニュースを耳にしない日はないと言っても過言ではなく、攻撃手法は高度化、複雑化を続け、サイバー空間における安全を脅かしている昨今、早急な対策を行うことは急務と言えます。
なぜならば、コロナ渦で刷新された新しい生活様式により安心して利用できるインターネット環境はこれからの時代に、ますます必要不可欠なものとなり、常に強固なセキュリティ対策を行う必要があります。
マイクロソフト社やアップル社などの最大手プラットフォーマーでさえ、日々システム上の脆弱性が報告され、それを解消するためのセキュリティアップデートが随時行われている中、自社のWebシステムの脆弱性を把握し診断を行いセキュリティアップデートをしなければビジネスにおいて大きなリスク脅威となります。
近年Webアプリケーションやネットワークレイヤーにおいて脆弱性診断を実施されることが標準化されつつあり、そのためWebシステムのリリース前に第三者による脆弱性診断の実施を義務付けるケースも増えて来ています。

■なぜ脆弱性診断が必要なのか

理由は大きく分けて3つあります。システムの脆弱性を突かれることで何が起こるのでしょうか。
1つ目は「システムの改ざん」です。
ウェブサイトの改ざんやデータの改ざんの被害を受ける可能性があり、誤った情報の開示や誤ったサイトへの誘導により、社会的信用や評判を失う可能性があります。
本物サイト上での偽情報の表示、ドメイン情報の挿入、データの改ざん・消去等の被害報告が年々増加しています。
2つ目は「情報漏洩」です。発生した場合には重要情報の漏洩、個人情報の漏洩といった重大なセキュリティインシデントとなる可能性があります。
サーバー内ファイル漏洩、個人情報の漏洩、Cookie情報の漏洩、といった営業秘密といった会社の競争力に影響する情報やクレジットカード情報など金銭にかかわる情報も含まれます。
3つめは「なりすまし」です。
発生した場合にはお金と同等の価値であるポイントを不正に利用される等、金銭的な被害が発生する可能性があり非常に危険です。

■サイバー攻撃によるビジネスへの影響

これらのセキュリティインシデントが発生することによりビジネスに与える影響としてどのようなことが考えられるでしょうか?

・機会~サービス障害による機会損失~
サービス障害による機会損失、サービスの停止あるいは縮退によりビジネスチャンスを逸失する可能性があります。

・コスト~追加改修等によるコスト増加~
追加の改修、改修後の点検など、追加のコストが発生する可能性があります。

・競争力~信頼や評判の失墜による競争力の低下~
セキュリティが甘かったことによりビジネス上の競争において不利な状況を招いてしまう可能性があります。

■サイバー攻撃によるセキュリティインシデント

以下の表は個人情報漏洩・紛失事故を公表した国内上場企業とその子会社は88社、事故件数は103件、流出した個人情報は2515万47人分――そのような調査結果を東京商工リサーチが発表し、事故の原因として最も多かったものは「ウィルス感染・不正アクセス」の51件で全体の約半数を占める状況となりました。

セキュリティ対策を行っていた上場企業でさえ、常に最新のサイバー攻撃手法を駆使し攻撃してくるサイバーテロリスト達からの被害を被っていることが表からもお分かりかと思われます。
機械学習(AI)によるビッグデータ解析や、ECサイトのクレジットカード決済等の最新のテクノロジーにより生活が便利になり、多数のユーザー情報を扱う企業は前述したような課題が多数あり、サイバーリスクを前提にソフトウェア・システム開発等もデザインすることが大切だと思われます。

■サイバー攻撃者の分布

これらの攻撃は一体どこからくるのでしょうか。
日本国内だけではなく、近年では海外からのサイバー攻撃が非常に多くなっています。
ただしあくまで攻撃元のサーバの所在地となるため、必ずしもその国の人が攻撃したとは限らないことを留意する必要があります。
サイバー攻撃者が多い国としてはロシア、アメリカ、中国からのサーバの攻撃が非常に多く、日本向けに公開してるサイトにも関わらず、世界中からのアクセスがあります。
主な攻撃手法として、代表的なものをあげると「SQLインジェクション」、「OSコマンドインジェクション」、「クロスサイトスクリプティング」、「ディレクトリトラバーサル」等です。
このように世界中の攻撃者が国境を越えて脆弱性を突き、サイバー攻撃のチャンスを今か今かと伺っています。
つまり国内向けのサイトであっても、いつ脆弱性を突かれるかわからない状況にあり、それに備える必要があります。
これらのリスクを回避する対策として「脆弱性診断」がとても有効です。

■脆弱性診断でサイバー攻撃リスクを大幅に回避

再春館システムでは脆弱性診断サービスを行っており、診断では各種ガイドラインに沿って検査を行います。
ご要望により検出した脆弱性の改修の対応を行うことでセキュリティレベルを飛躍的に向上することができます。
診断の実施タイミングとしては機能追加時やサーバー等の設定変更時に加えて定期的に実施することを推奨していますが、まずは自社のWebシステムの状況を知り対策する意味でも早急な脆弱性診断をオススメします。
再春館システムは「ドモホルンリンクル」を取り扱う再春館製薬所グループのシステム開発会社で「ドモホルンリンクル」を販売するオリジナルプラットフォームの開発・保守・セキュリティ面にも携わっている実績や他社様のWebシステム脆弱性診断実績も多数あります。
長年、大勢のお客様より愛顧を頂けているその背景には高い品質の製品とは別の理由があると考えており、それはお客様に安心してご利用頂ける強固なセキュリティが実装されているプラットフォームだからだと自負しています。
既に脆弱性診断はお済みでしょうか?

■まとめ

世界中のサイバー攻撃者が脆弱性のあるシステムを探しています。
脆弱性診断を行うことによりセキュリティリスクを回避し、安心、安全なシステムを提供することができます。
定期的な脆弱性診断を行いましょう。

「WEBアプリケーション脆弱性診断サービス」の詳細はこちら
セキュリティソリューションに関するお問い合わせはこちら