Posts in category: ブログ

クラウドサービスやAI、IoTなど、企業は劇的に変化していくIT環境に適応するために、適切なセキュリティ対策を講じる必要があります。この記事では、2023年3月に改訂された「サイバーセキュリティ経営ガイドライン」について、基本事項を紹介しつつVer2.0との違いを解説します。改訂内容を把握した上で、自社に適したセキュリティ対策を検討する際に、ぜひお役立てください。

サイバーセキュリティ経営ガイドラインとは？

近年、AIやIoTなど最新のデジタル技術が急速に発達し、浸透してきました。企業が扱うデータ量も膨大になり、ITの利活用は不可欠です。一方で、クラウド環境ではインターネットを介することから、サイバーセキュリティ犯罪には一層警戒を強め、適切な対策を講じていかなければなりません。

こうした企業の課題への向き合い方について、経済産業省が独立行政法人情報処理推進機構(IPA)と協議し策定したのが、「サイバーセキュリティ経営ガイドライン」です。脅威となっているサイバーセキュリティへの対策を効果的に進めるためには、経営者がリーダーシップを発揮し、このガイドラインを確認の上、着実に実行していかなければなりません。
本ガイドラインの内容は、サイバー攻撃からいかに自社を守るかといった観点から、主に以下の2つの柱を掲げているのが特徴です。

• 経営者が認識すべき3原則
• サイバーセキュリティ経営の重要10項目

「経営者が認識すべき3原則」の改訂内容

サイバーセキュリティ経営ガイドラインは2023年3月にVer2.0からVer3.0へ改訂されました。ここでは「経営者が認識すべき3原則」の項目で主にリニューアルされたところを解説します。

・重要課題として経営者のリーダーシップのもとでの対策が必要

サイバーセキュリティは今や社会的にも大きな関心事です。企業の代表である経営者がこうした脅威を放置していては、取り返しのつかない大きな被害を受けかねません。
そこでVer3.0では、経営者の責務としてリーダーシップを発揮することや対策の重要性を明文化しています。今やITの利活用とあわせて、自らサイバーセキュリティ対策を積極的に推進できる経営者が求められているといっても過言ではありません。

・自社のみならず全体にわたる対策への目配りが必要

次に、経営者がどのような範囲で対策を打つべきかが改訂されたことも注目すべきポイントです。
これまで多くの企業では、社内だけの問題としてセキュリティ対策を検討すればよいといった認識が一般的でした。しかし、サイバー犯罪は日々刻々と巧妙化の一途をたどっています。また、サプライチェーンも複雑化しています。
したがって、自社が関わる社外のサプライチェーン全体を見た上で、最適なサイバーセキュリティ対策とは何かを考えなければなりません。そうした意味から、今回のガイドライン改訂では、より広範囲まで目配りしなければならないといった内容が明示されました。
常日頃から連絡体制を整えられていれば、万一のインシデント発生時にも復旧に向けた素早い初動対応が可能になります。

・関係者との積極的なコミュニケーションが必要

サイバー攻撃を受けたときに初めて関係者と密に連絡を取ろうとしても、なかなかスムーズにいかないことは往々にしてあります。
そのため、緊急時のみならず、何も問題が起きていない平常時であってもさまざまな関係先と継続的にコミュニケーションを図っておくことが大切です。そこでどういった対策が必要かを議論しておけば、互いの課題を共有し、より効果的な方法を模索できます。

「サイバーセキュリティ経営の重要10項目」の改訂内容

ガイドラインのもうひとつの柱である「サイバーセキュリティ経営の重要10項目」では、全体的に項目の見直しがなされました。ここではその中で4つの項目を取り上げて紹介します。

• • 「指示3:サイバーセキュリティ対策のための資源(予算、人材等)確保」

セキュリティにまつわるインシデントを防ぐためには、IT部門のみならず、すべての従業員がセキュリティ対策を「自分ごと」と捉えなければならないこと、また確実に遂行できるスキルを身に付けたり予算を確保したりしなければならないといった内容が追記されています。

• • 「指示8:インシデントによる被害に備えた復旧体制の整備」

サプライチェーン全体がインシデントに対応できる体制づくりや留意点、訓練を実施しない場合に起きうる影響などについて、具体的に追記されています。

• • 「指示9:ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握」

セキュリティ対策を打つ範囲はサプライチェーン全体におよぶこと、また効果的な方法を検討するとともに状況把握も的確に行う必要があること、関係先との役割を明確化し、責任の所在を明らかにすることなどが盛り込まれています。

• • 「指示10:情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供」

サイバーセキュリティに関する新しい情報を受け取るためには情報共有を進んで行うことも大切であること、被害を受けた場合の報告や公表体制、ステークホルダーへの開示などが追記されています。

サイバーセキュリティ経営ガイドラインが改訂された背景

サイバーセキュリティ経営ガイドラインが改訂された背景には、いくつかの要因があります。とくに、近年のサイバー攻撃は多様化、巧妙化しているのが特徴です。対策を打てば打つほど、今度はそれらを回避するような攻撃が仕掛けられることもよくあり、各企業ではさらなる対策の強化が求められています。その際には、現場に任せきりにするのではなく、経営者がリーダーシップを発揮することが重要です。こうした社会的なニーズの高まりから、ガイドラインは企業の対策をサポートする形で改訂されました。

まとめ

経済産業省がIPAと協力して策定、公表している「サイバーセキュリティ経営ガイドライン」は、企業がサイバー犯罪から身を守り、セキュリティ対策をどう打てばよいのかといった指針となるものです。
クラウド環境が浸透しつつある昨今では、社内外のネットワークを包括的に見据え、柔軟な対策が求められています。そこでおすすめなのが「Cloudbric」です。一元化されたプラットフォーム上で企業は自社にとって必要なソリューションを選択、導入できます。
セキュリティ対策の強化に課題をお持ちであれば、ぜひご検討ください。

Cloudbric（クラウドブリック） Webセキュリティ
製品・サービスに関するお問い合わせはこちら
Cloudbirc WAF+の無償トライアルはこちら
パートナー制度のお問い合わせはこちら

サプライチェーン攻撃は、標的となる企業に対して直接攻撃を行わず、セキュリティの脆弱な関連企業や取引先・委託先を狙うサイバー攻撃です。
この記事では、自社が取引先企業などに重大な損失を与える原因とならないためにも、企業の経営者が把握しておくべきサプライチェーン攻撃について、概要や攻撃方法、攻撃への対策などを解説します。

サプライチェーン攻撃とは

サプライチェーンとは、製品の企画から原材料の調達、製造、販売、消費までの一連の流れのことです。メーカー以外にも、製品の原材料を販売する企業や部品を製造する企業など、複数の企業が関連しているケースも少なくありません。

サプライチェーン攻撃は、こうした組織間または企業間のつながりを悪用して、目的の企業に直接攻撃するのではなく、セキュリティが弱い関連企業や取引先を標的に行われる間接攻撃です。業務委託先の企業や周囲の取引先などを攻撃して侵入してから、その企業を介して強固なセキュリティ対策を行っている企業に対して攻撃を仕掛けます。

ターゲットとする企業が使用するソフトウェアや更新プログラム、ハードウェアなどに不正なプログラムを組み込んで、マルウェアなどに感染させる攻撃方法もあります。

サプライチェーン攻撃の攻撃方法

・ハードウェアやソフトウェアを介した攻撃

ハードウェアやソフトウェアを介して実施される攻撃は、ソフトウェアサプライチェーン攻撃と呼ばれます。攻撃者が製造段階や提供段階で不正なコードを入れたソフトウェアを制作・提供し、企業内に入り込んだ不正コードの働きにより攻撃が開始される手法です。企業が使用しているソフトウェアをアップデートした際にマルウェアに感染し、不正にアクセスされるケースなどが考えられます。

自社が対策を行っていても、セキュリティの弱い関連企業のソフトウェアが感染させられ、ほかの企業を介してネットワークに侵入されるケースもみられます。比較的感染に気づきにくい方法のため、充分に対策を行うことが重要です。

・サービス事業者を介した攻撃

攻撃者がプロバイダなどに対して不正アクセスを行ってから、プロバイダがサービスを提供している顧客を狙う手法です。プロバイダを介して、顧客の企業にランサムウェアを拡散させるため、広範囲にわたって攻撃が実行されます。

サプライチェーンには、ターゲット企業の子会社、海外拠点、関連会社などさまざまな企業が該当します。サービス事業者を介した攻撃はサービスサプライチェーン攻撃とも呼ばれ、狙われるのは主に企業が利用しているWebサービスやMSP（Managed Service Provider）などです。

・委託先を介した攻撃

委託先を介した攻撃とは、ターゲット企業の取引先を調査してから、セキュリティが弱い委託先に攻撃を仕掛ける手法です。システム開発や顧客情報の管理などを委託している場合には、業務を委託している企業が狙われ不正アクセスが実行されます。

委託先企業から機密情報を盗み、ターゲット企業から金銭を脅し取るケースも見られます。

サプライチェーン攻撃への対策

・サプライチェーン全体の状況を把握する

サプライチェーン攻撃は自社だけでなく、取引先や委託先など、サプライチェーン全体で取り組む必要があります。そのためには、ビジネスを始める際にセキュリティ対策の内容を明確に定めてから契約を行うことが重要です。対策を共同で行うため、系列企業や委託先企業などが取り入れている対策の状況を把握する必要もあります。

対策状況は、定期的に確認を行います。万が一サプライチェーン攻撃を受けた場合に備えて、攻撃の被害を確認、報告する体制を整えることも重要です。

・情報セキュリティ教育の実施や対応フローの確立をする

社員の情報セキュリティに対する意識改革も対策のひとつです。たとえ情報セキュリティ対策を実施していても、社員のセキュリティ意識が低い場合には確実な対策ができません。

社内の情報セキュリティに対する意識を高めるには、研修や社員教育を行うことが重要です。社員が必要な知識を身につけることで、ヒューマンエラーによるマルウェア感染の防止にもつながります。

サイバー攻撃を受けたケースまで想定し、トラブル発生時の対応フローを設定しておくと、迅速な対応も可能です。

・OSやソフトウェアは最新にしておく

OSやソフトウェアには、「セキュリティホール」と呼ばれる情報セキュリティ上の脆弱性が発生する場合があります。セキュリティホールを狙って攻撃が行われるケースもあるため、OSなどは常に最新の状態にアップデートしておきましょう。

OSやソフトウェアメーカーは、発見したセキュリティホールを修復するため、更新プログラムをユーザーに配布しています。OSなどの脆弱性を修正する更新プログラムは、受け取った際にすぐ実行することが大事です。

・セキュリティソフトを導入する

ウイルス感染を防ぐには、セキュリティソフトの導入が適しています。これは基本的なセキュリティ対策として多くの企業が導入している方法です。

セキュリティソフトは、ウイルス対策やファイアウォールなどの機能で、ウイルス感染や不正侵入、さまざまなサイバー攻撃からネットワークとコンピュータを守ってくれます。導入後にはこまめなアップデートを行い、最新の状態を維持しておきましょう。

・ネットワーク対策を行う

サプライチェーン攻撃では、関連企業などを介して攻撃される恐れがあるため、被害を最小限に抑える目的でネットワーク上の対策も必要です。たとえば、重要な情報に関わるデバイスやネットワークは、他のネットワークとはつなげずに独立させておくことも対策になります。

ネットワークが独立していると、万が一攻撃を受けた際にも、他のネットワークから重要なデータへのアクセスを防ぐことが可能です。また、アクセス制限を設けるなどの対策も、外部からの攻撃を阻止するのに役に立ちます。

・パスワード対策を行う

不正なアクセスを防ぐため、推測や解析されにくいパスワードを設定することも重要です。さまざまなシステムやネットワークで同じパスワードを使い回していると、万が一パスワードが外部へ流出した際に被害が拡大しかねません。

パスワード対策では、長く、複雑なパスワードを設定し、パスワードの使い回しを防止しましょう。さらに、パスワードが流出した場合に備えて、多要素認証と組み合わせる方法でセキュリティを強化することも効果的です。

まとめ

サプライチェーン攻撃は、製品の企画、原材料の調達から消費まで、事業活動の一連の流れにおいて関係する企業を介し、目的の企業に攻撃を仕掛けるサイバー攻撃です。主に企業が使用するソフトウェア、サービス事業者、委託先などを介して行われます。
サプライチェーンのなかでもセキュリティが脆弱な企業を狙って攻撃されるため、全体のセキュリティ対策状況を把握することが重要です。ほかにも、OSを最新にしておく、セキュリティソフトを導入するなどの対策が考えられます。

より万全な対策を求める場合には、WAFに加えて脅威IPや悪性ボットの遮断といった機能を備えるクラウド型WAFサービス「Cloudbric WAF+」の導入をご検討ください。

2023年1月末、韓国では旧正月の時期に緊急事態が発生しました。中国のハッカー集団「暁騎営」が、韓国の公共機関に対する大規模なサイバー攻撃を行いました。暁騎営は、12 の学術機関のWebサイトをハッキングし、オープンソースコミュニティのGithubで個人情報を流出させました。

個人情報には、政府機関や公共機関はもちろん、POSCO、ＬＧ電子、サムスン電子、現代製鉄、クムホタイヤといった韓国大手企業の電子メールアドレスも含まれており、 氏名、所属、IDとパスワード、携帯電話番号、勤務先電話番号、勤務先、自宅住所など、計161名の個人情報が流出したことが明らかになりました。

韓国インターネット振興院 （KISA） は、民間の被害者157 名の個人情報を保有する組織や企業に対して、流出実態の確認と追加のセキュリティ対策を実施するよう促しました。一方、ハッカーの標的となった 12 の学術機関のWebサイトはまだ完全に回復していないため、被害は依然として進行中です。

このようなサイバー攻撃に対しては、Webサイトのセキュリティソリューション、定期的なセキュリティチェック、脆弱性の継続的なモニタリングなど、セキュリティシステムを通じて積極的に対応することが重要です。

韓国インターネット振興院（KISA）による民間企業へのセキュリティガイド

中国のハッカー集団による大規模なサイバー攻撃を受けて、韓国インターネット振興院（KISA） は、民間企業のWebサイトのセキュリティを強化するよう、ガイドラインを発表しました。内容は以下の通りです。

1. ログイン機能のあるサイトの場合、定期的に不正アクセス履歴の確認や異常IPのブロックを行い、関係機関と共有する
2. IP ごとのログイン回数にしきい値を設定し、CAPTCHA などの認証方式を使用して不正ログイン防止を強化する
3. パスワードの変更と 2 要素認証により、ユーザーアカウントのセキュリティを強化する
   ・登録ユーザーのアカウントセキュリティ管理を強化する
   ・複数のサイトでアカウント情報が重複しないようにする
   ・複雑なパスワードを設定し、3 カ月ごとに定期的に変更する
   ・IDとパスワードに加え、OTPやSMSなどによる2段階認証を有効にする
   ・アカウント情報が漏洩した場合は、同じ情報を使用しているすべてのサイトのパスワードを変更する
4. 重要なユーザー情報 （通信料金など） が変更された場合、 SMS通知などのアラート機能を強化する
5. 関連サービスの保守や業務委託先のセキュリティ強化を依頼する

 韓国インターネット振興院 （KISA） のセキュリティガイドラインに沿って、サイバー攻撃やハッキングなどの脅威に対応し、Webサイトのセキュリティを強化する方法を具体的に見てみましょう。

異常なIPと不正ログインのブロック

インターネットに接続されたWebサイトは、その規模に関係なく、いつでもサイバー攻撃の標的になる可能性があります。無差別なサイバー攻撃に対抗するためのセキュリティ サービスの実装が必要です。

Webサイトセキュリティの最も基本的なセキュリティ対策は、「WAF （Web Application Firewall）」の実装です。

Cloudbric WAF+ は、インストールなしで迅速かつ簡単に実装できるクラウドベースのWebセキュリティサービスです。WAF（Web Application Firewall）機能に加えて、無料のSSL/TLS、DDoS保護、ボット制御、悪意のあるIPのブロックなど、企業がWebセキュリティを構築するために不可欠な 5 つのサービスを提供します。

Cloudbric WAF+ は、95 カ国の 700,000 以上の Webサイトから収集された脅威インテリジェンスに基づいて、悪意のあるIPをブロックし、発生する可能性のあるサイバー脅威を未然に防ぐことができます。

Cloudbric WAF+ は、ロジックベースの検知エンジンと独自のAIエンジンを備えており、堅牢なセキュリティを実現します。米国、欧州、韓国、日本、中国の 5 カ国で特許を取得したロジックベースの検知エンジンは、新しい攻撃が発生すると、自動的に検出および分析します。Cloudbric WAF+ は、データの意味と構造を理解することで、隠れた、または改ざんされた新しいWeb攻撃パターンを正確に検出するため、誤検知率が低くなるのです。

Cloudbric WAF+についてはこちら

DDoS攻撃

セキュリティの脅威は常に私たちの周りにあり、ハッキングに加えてDDoS攻撃（分散型サービス妨害攻撃）も国内外で継続的に発生しています。

DDoS攻撃は、複数のシステムから大量のリクエストを送信して、Webサーバーに過剰な負荷をかけるものです。DDoS攻撃により、Webサーバー上のすべてのデータが削除されたり、情報が漏洩したりする可能性があるため、予防策を講じることが非常に重要です。DDoS攻撃は年々巧妙化・複雑化していますが、既存のセキュリティ対策ではすべてのDDoS攻撃を防ぐことはできず、新たな脅威に備える必要があります。

Cloudbric ADDoS は、エッジコンピューティングテクノロジーに基づいてDDoS攻撃インテリジェンスを収集、分析、配布する高度なDDoS防御サービスであり、世界中のどこからでも攻撃を迅速にブロックできます。 

このサービスは、頻繁に発生する従来の攻撃、マルチベクトル攻撃、アプリケーションレベルの攻撃など、あらゆる形式のDDoS攻撃に対応できます。 

大規模DDoS攻撃を防御できる「Cloudbric ADDoS」についてはこちら

まとめ

サイバー攻撃は年々進化を続けています。ますます高度化するセキュリティの脅威に対応するには、Cloudbric のクラウドベースのセキュリティソリューションを活用して、個人情報・機密情報などの重要なデータを保護することをおすすめします。

【参照サイト】

韓国インターネット振興院(KISA)
https://www.boho.or.kr/kr/bbs/view.do?searchCnd=1&bbsId=B0000133&searchWrd=&menuNo=205020&pageIndex=4&categoryCode=&nttId=67129

聯合ニュース
https://www.yna.co.kr/view/AKR20230125076600017

Boan News
https://www.boannews.com/media/view.asp?idx=113708

韓国経済新聞
https://www.hankyung.com/international/article/2022110588357

「オンプレミス」と「クラウド」は、運用形態だけでなくサービスの利用においてもさまざまな違いがあります。オンプレミスとクラウドではサーバーの運用主体が異なるため、導入時に係るコストからサービスの内容、サービスを使用するために必要な管理保守の範囲なども違います。この記事では、オンプレミスとクラウドの違いを項目ごとに分けて紹介します。

オンプレミスとクラウドの特徴

オンプレミスとクラウドは、どちらもネットワークシステムの運用形態です。システムの構築方法からデータの保存方法などさまざまな違いがある各サービスの特長を紹介します。

・オンプレミス

オンプレミスとは、サーバー機器やネットワーク機器、ソフトウェアなどを自社内に設置し、社内の担当者が運用する形態のことです。「自社運用」とも呼ばれます。すべてのシステムを自社で運用、完結しているのが大きな特長です。

社内でのみ使うことから、自社の業務に最適なシステムを構築・運用できます。オンプレミスには、データセンター内でシステムを運用するタイプもあります。データセンターで運用する場合は、自社のサーバールームを利用するよりもセキュリティが高く災害に強いなどのメリットがあります。

・クラウド

クラウド（クラウドコンピューティング）とは、インターネットを介してクラウドサービス事業者が所有・管理しているサーバーやストレージ、アプリケーションなどにアクセスして使用する運用形態です。インターネット上からクラウドに接続するだけで、サービスとして提供されるソフトウェアの実行環境やソフトウェア、データサーバーなどを使用することが可能です。

そのためクラウドを使用すると、業務に使用するIT機器やソフトウェアなどを自社で購入して環境を構築・管理するなどの費用や手間がかかりません。インターネットに接続できる環境やパソコン・タブレットなどの端末があればどこからでも契約しているクラウドサービスをすぐに使用を開始できるところも、クラウドの特長のひとつです。

現在では、新型コロナウイルス感染対策や働き方改革などによるテレワークの推進・普及により、クラウドサービスへの移行を行う企業が増加しています。

関連記事：セキュリティ・サポート・コストパフォーマンス全てに優れたパブリッククラウドとは

関連記事：クラウドサービスの日本での利用実態と必要性

・クラウドハイブリック

上記のほかに、クラウドハイブリックの形態もあります。クラウドハイブリックは、複数の企業が共有で使用するクラウドサーバー「パブリッククラウド」と自社専用のクラウドサーバー「プライベートクラウド」、物理サーバーなどの各種クラウドや物理サーバーを組み合わせて行う形態です。

セキュリティが高いプライベートクラウドと拡張性が高いパブリッククラウド、処理能力が高い物理サーバーといった、各サービスのメリットを取り入れたハイブリッドなクラウドを構築して、メリットの高い運用が可能になります。

オンプレミスとクラウドの項目別による比較

オンプレミスとクラウドでは、メリットやデメリット、特長に大きな違いがあります。コスト、カスタマイズの自由度、災害リスク、セキュリティなど、項目別に異なる点を比較していきます。

・コスト

オンプレミスやクラウドの使用には、導入コストと運用コストがかかります。オンプレミスの場合はサーバーやネットワーク機器を購入して自社内に設置・環境を構築しなければならないため、かかる導入コストは高額です。導入後は、ソフトウェアやシステム使用にコストが発生しません。ただし、自社でシステムの運用保守をするために人件費がかかります。

クラウドでは、サービス事業者が管理しているサーバーやアプリケーションなどのサービスを使用するため、自社サーバーの設置費用がかかりません。サービスの使用料を支払うだけになり、導入コストは抑えられます。使用には月額料金が発生しますが、運用保守の人件費は不要、一度に高額のコストがかかることはありません。

・カスタマイズにおける自由度

クラウドよりもオンプレミスの方がカスタマイズ性が高い特長があります。オンプレミスは自社でサーバーを設計して専用のネットワークシステムを構築するため、自社の業務に適した仕様にカスタマイズすることが可能です。

クラウドではサービス事業者が提供しているサービスを使用します。提供されるサービスの範囲内で使用するため、自社専用システムを構築する場合と比較すると、細かいカスタマイズはできません。

・災害などのリスク

オンプレミスでは自社内にサーバーを設置しているため、建物が自然災害により被害を受けた場合、バックアップデータまで消失する恐れがあります。サーバーに不具合が出た際には自社で復旧を行わなければなりません。専門知識を持つIT人材の不足が懸念されている現在では、担当者の不在などにより災害時の備えが難しいケースもあり注意が必要です。

対してクラウドの場合は、企業が災害に遭ったとしてもシステムやデータはサービス事業者のサーバー上で管理されているため物理的な被害を受けにくい特長があります。システム上の不具合が発生した場合には、サービス事業者が復旧作業も行います。企業はインターネットを介して復旧されたことが確認できたら、そのままサービスの使用が可能です。

・セキュリティ

オンプレミスは、自社で設計・開発を行うため、高いセキュリティを求める場合には独自で強固なセキュリティ環境を構築することが可能です。ネットワークが企業の外部に接続していないことからも、利用者が制限され強固なセキュリティ体制が構築されます。

クラウド型では、サービス事業者が提供しているソリューションのセキュリティ対策により安全に使用することが可能です。サービス事業者は経済産業省が公表する「クラウドセキュリティガイドライン」など安全性を高めるための対策を実施し、事業者ごとにそれぞれ異なるセキュリティ対策が組まれています。クラウドサービスのセキュリティを重視する場合には、自社のセキュリティ基準に対応しているかなどを確認することが重要です。

・管理と保守の手間

社内にサーバーを設置しているオンプレミスの場合、サーバーの管理と保守が必要になります。それに伴い、管理・保守を行う運用担当者の人件費や管理費用などがかかります。サーバーの保守期限が訪れた際には、その都度アップグレードもしなければなりません。

対してクラウドの場合には、企業側はサービスを使用するだけで、管理と保守の手間がかかりません。サーバーの保守・管理はサービスを提供する事業者が行うため、サーバーのメンテナンスや保守期限への対応をすべて任せられるメリットがあります。

まとめ

オンプレミスは、自社内にネットワークやサーバーを設置して保守管理まですべてを行う運用形態です。仕様を自由にカスタマイズ可能、高いセキュリティが実現できますが、導入時には高額のコストがかかります。また、災害時のデータ損失、不具合時の復旧対応、保守管理の手間などに不安があります。

対して、クラウドでは業者がサービスとして提供しているサーバーやアプリケーションなどを使用します。月額料金を払って選択したサービスを利用する形になるため、セキュリティの高さは事業者によって異なり、導入時に大きなコストはかかりません。さらにデータの保護から保守管理までを事業者に任せられます。運用形態は特長がそれぞれ異なるため、目的に沿って導入を決めることが重要です。

社内システムや提供しているWebアプリケーションのセキュリティを向上させるには、「脆弱性診断」を実施することが大切です。
この記事では、脆弱性診断の「脆弱性」とは何かといった基本的な知識から、診断が必要な理由について解説します。また、脆弱性診断を行う方法や種類も紹介します。実施を検討される際には、ぜひ参考にしてみてください。

脆弱性診断とは

日常的にインターネットを使う現代において、不正アクセスやサイバー攻撃の脅威から身を守るための対策は不可欠です。ここではそのうちの「脆弱性診断」について、基本知識から解説します。

・脆弱性とは

「脆弱性（ぜいじゃくせい）」について、総務省では以下のように定義付けています。

「コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のこと」

引用元：総務省「国民のための情報セキュリティサイト」

セキュリティ上の落とし穴といった意味から「セキュリティホール」とも呼ばれており、近年は脆弱性を悪用した不正アクセスなど、サイバー攻撃の手法も巧妙化してきています。あらゆる企業にとって、自社の脆弱性についてしっかり把握し、セキュリティ対策を講じることは非常に重要です。

・脆弱性診断について

「脆弱性診断」とは、ネットワークやOS、Webアプリケーション、サーバー、ミドルウェアなどに潜んでいるセキュリティ上の欠陥、つまり脆弱性をチェックし、悪用される恐れがないか診断することを指します。

悪意を持った不正アクセスやサイバー攻撃を未然に防ぎ、自社サイトや機密情報などを守るためには、基本的なウイルスチェックやバージョンアップなどの対策が不可欠です。しかし、それらとともに、定期的な脆弱性診断も併せて行うことで、さらにリスクを減らせるようになります。

脆弱性診断を行う必要性

・情報セキュリティにおける危険性を下げるため

脆弱性があるのにもかかわらず放置していると、セキュリティが甘い状態で不正にデータが抜き取られたり、ネットワークを破壊されたりするおそれがあります。また、サイバー攻撃を受けてからの対応になれば、その分被害が大きくなるリスクも高まります。

脆弱性診断は、攻撃を受ける可能性がある欠陥や不具合を、事前にチェックするものです。攻撃を受ける前に対策を打てれば、大事に至る前にリスクを減らせるようになります。また、脆弱性診断は比較的安価にできるセキュリティ対策のため、普段から定期的に実施しておけば、対策にかかる全体的なコストを低減させられるのもメリットです。

・ユーザーが安心してサービスを利用できるようにするため

今やインターネットは生活の必需品となり、日常的に使われる存在になっています。
自社のサービスが、Webサービスやアプリケーションなどインターネットを介して提供しているものであれば、ユーザーに安心して利用してもらえるように脆弱性診断は欠かせません。検査する項目ごとに診断頻度を設けて定期的に確認しておくと、ユーザーからの信頼感も高まり、結果としてサービス利用者が増えていくことにつながります。

脆弱性診断の種類

「脆弱性診断」と一言でいっても、実はさまざまな種類があります。ここでは実施方法として、「ツールで自動化する方法」と「手動で行う方法」の2パターンについて解説します。

・ツールによる脆弱性診断

脆弱性を発見する方法に診断ツールを利用する方法もあります。たとえば、Webアプリケーションのリリース（公開）前に自動的に実施するツールの多くは、有償でも価格の割に高性能なのが特徴です。

また、すでにリリースされているアプリケーションに対して診断するツールもあり、安価で気軽に使えることから必要に応じて利用するのも一案です。脆弱性診断ツールにはさまざまな種類があり、使いこなすための難易度も、それぞれ異なります。

・手動による脆弱性診断

セキュリティエンジニアと呼ばれるような、セキュリティに関する高度な知識や経験を持った専門家に依頼し、人の手で診断して結果を報告してもらう、といった方法があります。機械では発見するのが困難な脆弱性を発見できるのが強みで、たとえば仕様上のミスに起因する脆弱性などであれば、この方法がおすすめです。一方で、手動の脆弱性診断では診断に人員を動員するため、診断範囲や稼働日数などを踏まえた設定を行う必要があります。画面遷移が多く複雑なWebアプリケーションなどの場合は、おのずと検査項目も増えるため、予算とのバランスを考えることが必要です。

手動による脆弱性診断のサービスに「Cloudbric 脆弱性診断」があります。診断を行う技術者は定期的にインシデント情報や最新の脆弱性情報を収集・解析しているセキュリティのエキスパートです。また、診断の結果に合わせてサイバー脅威に対するサービスのご提案および導入サポートを行うほか、診断内容に応じたプランもあります。詳しくは下記サービスページをご確認ください。

関連記事：Cloudbric 脆弱性診断

脆弱性診断を行う箇所

脆弱性診断を実施する箇所としては、大きく分けると「プラットフォーム」と「Webアプリケーション」の2種類があります。

・プラットフォームにおける診断

プラットフォーム診断では、インターネットに公開されているネットワーク機器やPC、サーバーなどの状態をチェックします。そしてOSやミドルウェア、ソフトウェアなどに潜んでいる問題や不具合が起きうる脆弱性はないかを洗い出す診断です。OSやミドルウェアは世界中で使われているため、頻繁に脆弱性が発見されており、公表されています。

近年は、「ゼロデイ攻撃」と呼ばれる脅威が増加しています。これは、OSやソフトウェアに対する脆弱性が発見されたときに、メーカーが修正プログラムを配布するまでのわずかな間に行われる攻撃のことです。こうした知識についてもしっかり持っておくことが重要です。

・Webアプリケーションにおける診断

具体的な業務の遂行に特化したWebアプリケーションに対して、脆弱性診断を行うものもあります。Webアプリケーションの対象は多種多様で、脆弱性の発見箇所もさまざまです。ECサイトやゲームアプリ、SNSなどを運営していれば、顧客情報を管理していることも多いため、あらかじめ脆弱性がないかを定期的に診断し対策することが、利用者の安心につながります。

Webアプリケーションの脆弱性診断を行うことで、不正アクセスによる情報漏えいなどを防げるだけではなく、意図せず加害者になることも避けられます。

まとめ

近年はインターネットを介してサイバー攻撃の手法が巧妙化してきていることから、企業はより高度なセキュリティ対策を求められています。基本的なウイルスチェックのみならず、定期的な脆弱性診断を実施することで、機密情報や顧客情報など重要なリソースを守り、ユーザーに安心して利用してもらえることにもつながります。診断にはさまざまな種類があるため、自社にとって最適な方法をぜひ検討してみてください。