公開日:2022年5月9日最終更新日: 2022年6月8日
多くの企業がクラウド上にシステムを構築する時代となり、重要なシステムにもクラウドが用いられるようになってきています。このような時代において重要なのがクラウドの脆弱性診断です。設定ミスなどを悪用され、システムに大きな影響を与えられてしまう前に、診断を受けて必要ならば対策を講じるべきです。
今回は意外と知られていないクラウドの脆弱性診断の概要と必要となる理由、実施時のポイントについて解説します。
目次 <Contents>
クラウドの脆弱性診断とは
クラウドの脆弱性診断がどのようなサービスであるのかご存知ではない人も多いでしょう。提供するベンダーによってサービス内容に違いはありますが、基本的なサービスについてご説明します。
そもそも脆弱性とは
『JISC(日本産業標準調査会)JISリスト 規格番号JISQ27000』に記載されている内容を参照すると、脆弱性とは「一つ以上の脅威によって付け込まれる可能性のある,資産又は管理策の弱点」と定義されています。
脅威は状況に応じて異なりますが、クラウドシステムにおいては「設定ミス」「パスワード漏洩」「サイバー攻撃」「停電」など多くのものが該当します。
また、資産や管理策とはシステムで管理している情報や各種機器、日々の業務フローなどが幅広く該当します。つまり、脆弱性とは「システム上の設定ミスや自然災害において管理している情報や業務に影響が出る可能性のある部分」と解釈できます。
脆弱性診断とは
脆弱性診断は上記で説明した、脆弱性を洗い出すためのセキュリティ対策です。システムに対して意図的にトラブルを発生させ、顕在していない弱点が埋もれていないかを洗い出します。外部からの攻撃を仕掛け、情報漏洩に繋がるような問題が無いかなどをテストするのです。
攻撃を仕掛けて脆弱性が発見できれば、それに適切な処置を施すことでシステムのセキュリティを高められます。脆弱性を放置すると悪意のある者から攻撃を受ける可能性があるため、脆弱性診断を用いて自分たちで発見しておきます。
脆弱性診断の種類
脆弱性診断はクラウドに対してのみ実施されるものではなく、幅広いシステムやアプリケーションに対して実施されます。そのため、種類は豊富で例えば以下の選択肢があります。
- デスクトップアプリ診断
- Webアプリケーション診断
- クラウド診断
- ネットワーク診断
- ソースコード診断
- ペネトレーションテスト
どの脆弱性診断が適しているのかは一概には述べられません。システムの性質を踏まえて、適切な脆弱性診断を実施する必要があります。場合によっては一種類の脆弱性診断だけではなく、複数の脆弱性診断を受けて、システムを網羅的に診断すべきなのです。どのような診断が必要なのかは依頼するベンダーに相談してみると良いでしょう。
クラウドでも脆弱性診断が求められる3つの理由
皆さんの中には「クラウドにすればセキュリティは安心」「脆弱性診断など必要ない」と考える人がいるかもしれません。続いてはクラウドでも脆弱性診断が求められる理由を3つご説明します。
1. 脆弱性によるシステムへの影響を防ぐため
脆弱性診断は純粋に脆弱性を悪用され、システムの利用者や管理している情報への影響を防ぐために実施すべきです。脆弱性対策に自信があったとしても、脆弱性診断を受けて第三者の認証を受けることは客観的な証明に繋がります。
クラウドの利用者には脆弱性対策へ自信をもつ人が見かけられますが、NTTPCの調査によると脆弱性を悪用した不正アクセスには多くの事例があります。攻撃の対象となるとシステム利用へ大きな影響が出てしまう可能性があるため、「お墨付き」を得るとの観点でも脆弱性診断は必要です。
2. 情報漏洩など社会的問題を起こさないため
クラウドに脆弱性がある場合に懸念されるのは「システムの停止」と「情報漏洩」です。どちらも業務に大きな影響を与えるものですが、特に「情報漏洩」は社会的に大きな問題となりかねません。メディアでは個人情報の漏洩が取り上げられるケースが多々見られ、このような状況を避けるべく対策が必要です。
脆弱性が原因で情報漏洩が起きると、社会的信用の失墜は避けられなくなります。小さな設定ミスが社会的な大問題に繋がる可能性があるため、コストを掛けてでも脆弱性診断で細かい部分まで評価することが重要です。
3. 人的ミスは起こり得るものであるため
クラウドのベストプラクティスに沿って完璧な設計をし、全てを確実に設定していれば理論上脆弱性は生まれません。脆弱性はベストプラクティスから外れた設計をしたり、新しい設計をしていても設定ミスをしてしまうことで生まれるからです。
これらを完璧になくせば脆弱性もなくなりますが、人的ミスはどうしても起こってしまいます。ダブルチェックしてもミスをゼロにはできないのが現実です。そのため、人的ミスは起きないと過信せず、人的ミスがあるものだと考えてそれを見つけ出すために脆弱性診断を利用すべきです。
クラウドの脆弱性を実施する3つのポイント
クラウドの脆弱性診断をするにあたって、3つのポイントがあるためそれぞれをご説明します。
1. 脆弱性診断の範囲を明確にする
事前に脆弱性診断の範囲を明確にしておきましょう。例えば「クラウドのインフラ部分だけ」「Webアプリケーションだけ」「システム全体」などの選択肢があります。
説明したとおり脆弱性診断は実施しておくに越したことはありません。ただ、実施範囲が広くなるとどうしても診断費用が高額になるため、必要に応じて優先順位をつけざるを得ないのです。
2. 適切なツールを選定する
脆弱性診断の実施に利用するツールを間違えると効果が薄れてしまいます。脆弱性診断には時間とお金がかかるため、効果が薄れるようなやり方は望ましくありません。
そのような状況を避けるためには、脆弱性診断一式をプロに任せるのがおすすめです。クラウドベンダーやセキュリティベンダーがセキュリティ診断を実施しているので、積極的にそのようなサービスを利用しましょう。脆弱性診断にはセキュリティの知識や今までのナレッジが求められるため、必要となるスキルの観点からもプロに依頼して一緒に進めるべきです。
3. 脆弱性に対応するための時間を設けておく
脆弱性診断で脆弱性が発見されたならば、できるだけ迅速に対策しなければなりません。脆弱性を放置すると、既に述べたとおり攻撃の対象となり、システムの停止や情報漏洩などの問題に繋がる可能性があります。
速やかな対応をするためには、脆弱性が見つかる可能性を考慮しておく必要があります。対策にはまとまったお金と時間が必要となる可能性があるため、対応できるようにしておきましょう。事前にシステム停止を検討しておくのは難しいですが、開発ベンダーなどと連携し、脆弱性が見つかった場合の対応については協議しておくことをおすすめします。
脆弱性診断サービス
サービスやシステムが安全にご利用できる様、ネットワーク・サーバー・WEBアプリケーションに脆弱性がないかを診断します。
まとめ
脆弱性を見つけるための脆弱性診断についてご説明しました。脆弱性診断は軽視されてしまうケースも多いですが、システムの安定運用や情報漏洩の防止という観点から、可能な限り実施すべきものです。
ただ、脆弱性診断には専門的な知識が求められ、企業内や情報システム部門で対応するには限界があります。できるだけ脆弱性診断を実施しているクラウドベンダーやセキュリティベンダーへ依頼し、プロのスキルやナレッジを活かして実施してもらうようにしましょう。