サーバに脆弱性がみられる恐れがある場合、早急な対策が必要です。
とはいえ、サーバに脆弱性が生じているか否かの判断は専門家以外の方にとっては判断のつかないところかと思います。対策を施すためには、まずは脆弱性の有無を判断しなければなりません。
そこで、今回の記事ではサーバの脆弱性の診断・検査方法について紹介します。サーバの脆弱性を診断する手法としては手動による診断と、ツールによる診断の2種類があります。
▶目次
1、脆弱性診断の手法
手動による診断とは、スタッフが手動で脆弱性を診断・検査する手法です。
高度な専門性・時間が必要でコストが発生する他、診断するスタッフによっては漏れが生じてしまうリスクもありますが、最新のセキュリティ事情を反映したきめ細かな診断ができます。
手動によるサーバ脆弱性診断とは
手動によるサーバ脆弱性診断は、専門知識を持ったスタッフがサーバの脆弱性を診断する方法を指します。
社内に専門知識の高いスタッフが在籍している場合は、社内スタッフが診断を行うケースもあります。また、セキュリティ対策会社が手動の診断を請け負っているケースもあります。
想定されるリスクに対して、一つひとつ確認を施していく必要があるため診断にはかなり時間を要してしまうことが多くなります。特に、使用しているソフトウェアの数が多きとき、ネットワーク内の機器の台数や種類が多い場合には、チェック項目が多くなり作業が複雑化します。
脆弱性診断のための情報サイト
脆弱性を診断するためには、最新の脆弱性事情を把握しなければなりません。
脆弱性の事情を知るには、対応機関が公開しているサイトを確認すると良いでしょう。具体的には、以下のサイトがあります。
自動サーバ脆弱性診断とは
一方、ツールによって自動的にサーバの脆弱性診断を行う手法もあります。
自動診断は、機械的に手軽に行うことができ、診断のコストを抑えることができます。
専門的な知識を持ったスタッフや業者の手配や日程の確保も不要なので、タイミングを選ばずに実施できる点も魅力の一つです。
デメリットとなりうるポイントは、きめ細かな柔軟な対応が取りづらいことです。
脆弱性診断ツール
サーバの脆弱性を診断できるツールについて紹介します。無料で公開されているサイトもありますが、基本的には英語サイトが中心ですので、英語力と情報セキュリティのスキルに長けたスタッフでなければやや使いづらい部分があるかもしれません。
サーバの脆弱性を診断できるツールには以下のものがあります。
- セキュリティ診断 脆弱性診断サービス(株式会社 USEN ICT ソリューションズ)
ウェブセキュリティの脆弱性を診断し、レポートを出力してもらえるサービスです。 - SCT SECURE脆弱性診断(三和コムテック 株式会社)
- OWASP Foundation
安価にセキュリティの脆弱性を診断してくれる脆弱性診断サービスです。
英語のサイトですが、ツールをダウンロードすれば無料で脆弱性を診断することができます。
これらの他にも、多くのセキュリティ会社で診断サービスを行っています。
国内のセキュリティ会社はほとんどが無料の資料請求にも対応していますので、気になる業者をいくつかピックアップしておくと良いでしょう。自動診断と手動診断を組み合わせてコストや診断の精度のバランスを取るのも効果的です。
2、サーバ脆弱性診断を効果的に使うには
サーバ脆弱性診断の特徴やメリットを把握して、効果的に診断を利用しましょう。
サーバ脆弱性診断が注目されている理由
サーバのセキュリティ対策、脆弱性対策をすべて施すには、膨大な作業が必要になり手間とコストの負担が著しく大きくなってしまいます。
脆弱性診断を行えば、リスクが生じているポイント、緊急な対応が必要なポイントが明確になるため、必要性の高い箇所に絞って予算を集中することができます。その結果、コストの削減につながります。
サーバ脆弱性診断を行うタイミング
サーバ脆弱性診断を行うタイミングは、特に指定があるわけではありませんが、以下のタイミングで行う企業が一般的です。
- 3か月に1度、半年に1度など定期的にスケジュールを決めて実施
- ホームページリリースなどのタイミング
サーバの脆弱性は、ソフトのインストールやアップデートなど絶えず、リスクが生じる可能性をはらんでいます。また、サーバの脆弱性が後になって発見・公開され、それに伴って診断ツールが公開されることもあります。サーバを安全に保つには、サーバのセキュリティを定期的に守るのは必要です。
ホームページをリリースするタイミングなどに合わせて脆弱性診断を行うケースもあります。
ページを公開したり、アプリをリリースしたりする際に自社のサーバが脆弱性によってウイルス感染している場合、ネットワークを通じて多くのユーザーに攻撃を仕掛けてしまう可能性があります。公開前にテストを実施しておくことで、安全性を確保したうえで公開できます。
3、まとめ
この記事では、サーバの脆弱性診断に関して紹介しました。
自動・手動によるそれぞれのサーバ脆弱性診断の特徴や利用法についてまとめましたので、どのような手順で診断を行うかについてイメージしていただけたかと思います。
診断は、脆弱性対策の必要箇所を明確にすることによるコスト削減の効果があります。自動診断は、手動診断よりも安いコストで実施していただくことができます。