こういったリスクを正しく把握する上では、第三者機関による脆弱性診断を実施するのが有効です。本記事では、脆弱性診断の必要性や脆弱性診断を受けられるサービス、診断費用の目安について解説します。

脆弱性診断はなぜ必要なのか？

脆弱性診断とは、社内システムやデバイスのセキュリティ状況をチェックし、サイバー攻撃の被害に遭うリスクや、サイバー攻撃を受けた際の被害を推定できる診断です。脆弱性診断を実施すべき最大の理由は、サイバー犯罪が世界中で増加しており、日本も例外ではない点にあります。

株式会社ノートンライフロックが実施した「ノートン サイバーセーフティ インサイトレポート 2022」によると、2021年、世界全体ではおよそ4億人を超えるユーザーがサイバー犯罪の被害に遭っているとの調査結果があり、日本だけでもその数字は1,600万人以上にのぼります。また、日本におけるサイバー攻撃による被害金額は320億円以上になるとされ、無視できない経済損失を招いているのが現状です。

出典：ノートン サイバー犯罪調査レポート2022　日本の消費者のサイバー犯罪被害額は推定約320億円　前年より約100億円増加｜株式会社ノートンライフロック のプレスリリース

このような状況下では、次はいつどこでサイバー攻撃が行われるのか、自分や属している組織に被害が発生するのか、もはや見当がつきません。そのため、サイバー攻撃を未然に防ぐための取り組みに加えて、被害に遭ってしまった後のことを考えておく必要があります。

また、企業へのダメージはもちろんのこと、自社サービスを利用するユーザーの安全や安心を確保することも重要です。サイバー攻撃対策を実施してリスクの低減に努めるためには、まず脆弱性診断を受診し適切な対策を講じられるように備えましょう。

脆弱性診断の実施内容

脆弱性診断は、主に以下のようなものが挙げられます。

• Webアプリ診断
• プラットフォーム診断
• IoT機器・デバイス診断

Webアプリ診断では、Webアプリケーションが有する脆弱性のチェックを行います。セキュリティホールなどが隠れていないか、ソースコード診断やコンテンツ改ざん診断を実行します。

プラットフォーム診断では、システムの脆弱性がないかを確かめてユーザーの安全を守るきっかけを作ります。IoT機器・デバイス診断は、会社で使用しているIoTセンサーや各デバイスに脆弱性を抱えていないかを確認する診断です。エンドユーザー経由で会社が攻撃を受けるリスクを確かめることができます。

脆弱性診断は企業のあり方やビジネスモデルに応じて実行できるため、くまなくリスクを把握しておきたい際には非常に有効です。

脆弱性診断の進め方

脆弱性診断は、大きく分けて手動診断とツール診断の2種類が存在します。手動診断とツール診断のどちらがベターかということではなく、それぞれの特徴を生かして使い分けることが、脆弱性診断を丁寧に実行する上でのポイントです。

手動診断

手動診断は、システムやセキュリティの領域においてスキルと知見のある専門家が診断にあたり、脆弱性の程度を評価するものです。

ツールを使った診断では発見しづらい、込み入ったリスクの洗い出しを実行してくれるので、高度なリスク管理を実現する場合には必要な手続きです。ツールでは対応していない最新のセキュリティ動向にも対応し、必要な対策についてアドバイスを受けることもできます。

ツール診断

ツール診断は、効率的な診断でスピーディにリスクを把握できるのが特徴です。脆弱性を炙り出すためにシステムにアプローチをかけ、対策が必要な点をリストアップすることができます。

検知精度はツールによってさまざまで、把握できない点があったり過剰な反応を示したりすることもあります。しかし、手軽に実行しやすく結果もすぐに得られるので、まずはツール診断を実行するのがよいでしょう。

脆弱性診断の費用

脆弱性診断を実施する場合、診断の内容や頻度、あるいは診断規模に応じて料金が変わるので、具体的に「この価格でできる」という基準はありません。もちろん使用するツールによっても価格は異なります。

例えば、ある診断サービスでWebアプリケーション診断を実行する場合、30万円程度の費用で依頼することが可能です。ただし、それ以外の診断も含めるとさらに費用がかかるなど、診断のリクエスト数に応じてその額も増減します。

そのため、自社で必要としている診断内容や、脆弱性診断のために割くことのできる予算から逆算し、診断費用を固めるプロセスが大切です。

脆弱性診断に役立つツール

最後に、脆弱性診断を実施できる代表的なサービスをご紹介します。

１．秘文

秘文は、自動のPCセキュリティ診断機能を備えた、エンドポイント管理のための総合支援ツールです。定期的に実施すべきセキュリティ診断を自動で実行してもらえるため、現場作業の負担軽減につながります。

デバイスの統合管理機能なども搭載しているので、セキュリティ対策はもちろん、情報システム部門の強化に役立ちます。

・秘文の参考価格

100台あたり152万円（税抜）から

・秘文の参考レビュー

セキュリティに関してやや脆弱性に不安を感じる機器について、外部と接続して業務をおこなわなければならないとき、暗号化を利用した。これがないと業務は達成できなかったと思う。

秘文へのレビュー「情報セキュリティ強化に一助」より

２．Acronis Cyber Protect Cloud

Acronis Cyber Protect Cloudは、セキュリティ対策の強化に役立つサービスを提供する製品です。マルウェアや脆弱性、自然災害など、あらゆる脅威を事前に検知し、そのリスクの有無をアラートで管理者に通知します。

Windowsに標準搭載されたセキュリティソフトを有効活用し、詳細設定をマシンごとに実施して正しい検知を促します。

・Acronis Cyber Protect Cloudの参考価格

要問合せ

・Acronis Cyber Protect Cloudの参考レビュー

・バックアップができるセキュリティ製品なので、万が一マルウェアに感染して、どうすればいいかの時に、ある程度対応できるようになった。また、脆弱性診断機能があるため、複数の製品使うよりコストが低い。

Acronis Cyber Protect Cloudへのレビュー「バックアップ機能が強い」より

３．HCL AppScan

HCL AppScanは、Webアプリケーションの脆弱性診断を実行し、脆弱性の箇所と修正に関する情報を提供してくれるサービスです。

アプリケーションにアクセスの上、直接脆弱性を診断する動的解析、ソースコードを解析して脆弱性を分析する診断など、多様なアプローチでWebアプリケーションの安全性評価や改善点の指摘を実行してくれるのが強みです。費用については、別途問い合わせが必要です

・HCL AppScanの参考価格

要お問い合わせ

・HCL AppScanの参考レビュー

優れている点・好きな機能
・テストの最適化、差分スキャンなど、バージョン10から新たな機能が追加された点
・スキャンエンジンも機能強化されている点
その理由
・テストの最適化ができるようになったことや、差分スキャン機能により、検査時間を大幅に短縮することができるようになった
・スキャンエンジンも機能強化されたことにより、確実に、脆弱性を発見することができるようになった

HCL AppScanへのレビュー「脆弱性検査業務の負荷を軽減」より

定期的な脆弱性診断でセキュリティ保全を実現しよう

サイバー攻撃を未然に防ぐためには、まず正しく社内システムの現状を把握しなければなりません。診断を実行して課題点を洗い出し、さらなるセキュリティ強化を図って企業を脅威から守りましょう。

投稿 脆弱性診断はマスト？診断項目や進め方、お役立ちツールをピックアップ は ITreview Labo に最初に表示されました。