サービスに関する
お問い合わせ

緊急対応 専用窓口

セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。ご相談は無料です。

SHIFT SECURITY

クラウドセキュリティの
学び場

脆弱性診断はこうやってする

脆弱性診断とは
目次
  • 脆弱性診断とは
  • 診断ツール
  • 診断基準の選定

脆弱性診断とは

脆弱性診断(セキュリティ診断)は、情報システムや情報資産への侵害を許すような脆弱性や欠陥を、外部から検査して報告するサービスです。健康診断では聴診器やレントゲンで身体の情報を収集して病気の兆候を見つけるように、脆弱性診断では様々な方法でシステム応答を収集して脆弱性を発見します。

検査する範囲によって「Webアプリケーション診断」「プラットフォーム診断」「クラウド診断」などと呼びます。

脆弱性診断に有用なツール

ここでは脆弱性診断に有用なツールを紹介します。

Webアプリケーション診断ではブラウザ等のWebクライアントが欠かせませんが、他の必需品に「MITMプロキシ」があります。一般的なプロキシはサーバとクライアントの間でHTTP通信を中継しますが、 MITMプロキシは中継する通信内容を閲覧、改ざんし、中間者(Man-in-the-middle)攻撃を再現します。MITMプロキシ製品としては OWASP ZAP や Burp Suite などが知られています。

MITMプロキシはHTTPS通信の復号や通信改ざんのほか、製品によってCookieやHTTPヘッダの自動制御や脆弱性スキャン等といった様々な機能が提供されています。 このツールを活用し、クロスサイトスクリプティングやSQLインジェクションといった脆弱性を効率的に検査しています。

一方、プラットフォーム診断で一般に利用されるツールは「ポートスキャナ」と「脆弱性スキャナ」です。 ポートスキャナはオープンソースの Nmap が最も有名で、脆弱性スキャナ製品としては OpenVAS や QualysGuard、Nessus などが知られています。

ポートスキャナはネットワーク内のサーバやそのサーバ上で稼働するサービス(Webサービス、FTPサービスなど)を列挙します。意図しないサービスが有効でないかを検査したり、脆弱性スキャンの対象を洗い出したりすることを目的としています。

脆弱性スキャナは各サービスや製品にパケットを送って「既知の脆弱性」を検出します。 インターネット上の製品について報告された脆弱性はデータベース化されて公開されており、著名なデータベースのひとつにMITRE(マイター)社が管理するCVE(共通脆弱性識別子)があります。 脆弱性スキャンで見つかった既知の脆弱性に対して製品へのパッチ適用やアップデートなどを行うことにより、攻撃の口をふさぐことができます。

診断基準の選定

ここまで脆弱性診断とそのツールについて説明しましたが、脆弱性診断においてもっとも重要なことのひとつは「基準を定め、網羅的な検査を行う」ことであると言えます。診断基準とは、検査する項目リストを定めるフレームワークのことです。たとえばWebアプリケーション診断では「OWASP」という団体が公開している「アプリケーションセキュリティ検証基準(ASVS)」というドキュメントを基準としています。ASVSには認証やアクセス制御などのカテゴリごとにWebアプリケーションの満たすべき要件が列挙されています。同じOWASPの公開している「OWASP TOP 10」を診断基準とする場合もあります。一方でプラットフォーム診断では前述した脆弱性データベースのCVEを基準としています。

このように、診断基準を広く知られた(あるいは十分な議論を経て作成された)ものに定めることで「診断範囲の妥当性」を裏付けることができます。また、明確な診断基準に基づき、テストケースを設計、検査することで、「脆弱性があったこと」だけでなく、「脆弱性が検出されなかったこと」を定量的に担保できます。

あなたの疑問を一緒に解決します!

解説してほしい用語や技術、仕組みについての疑問、
みなさまのクラウドセキュリティのお悩みに関して技術者が記事にして回答します!
ぜひご気軽にご投稿ください。

クラウドの脆弱性診断にご興味があるかたはこちら

この記事の著者 蕏塚 昌大

大学院では物理学の国際共同実験に携わり、機械学習を活用したソフトウェアモジュールを開発。2017年に新卒として株式会社SHIFT SECURITYに入社。
標準化エンジニアとしてWebアプリケーションやクラウドの診断をはじめとする各種セキュリティ診断サービスの標準化を推進。
週末は庭の雑草抜きに勤しむ。好きな言葉は「根こそぎ」。

\ 記事をシェアする /

サービスに関する
お問い合わせ