投稿日:

約90%に脆弱性? BBSec脆弱性診断結果からみえる脆弱性対策のポイント

Share

近年、サイバー攻撃は激化し、組織や個人に甚大な被害をもたらしています。情報漏洩やシステム停止など、社会に与える影響は深刻化し、組織存続に関わるリスクにも発展しかねません。増え続ける脆弱性に対処するために、脆弱性対策を実施することが重要です。本記事では脆弱性対策の重要性と実施のためのポイントを解説します。

脆弱性による脅威

近年、ますますサイバー攻撃は巧妙化、高度化しており、組織や個人に甚大な被害をもたらしています。2023年の不正メール、不正サイト、マルウェアといった脅威の検知数が2021年と比較して1.7倍に増加しているとの報告もあり、情報漏洩やシステム停止など、社会全体に与える影響は深刻なものとなっています。JNSAの発表によれば、2016~2018年の個人情報漏洩一人あたりの平均損害賠償額は28,308円にのぼり、大規模な情報漏洩が発生した場合には、企業にとって致命的な損失となる可能性があります。さらに、サプライチェーンにおける取引停止、ブランドイメージ低下、風評被害など、被害は多岐にわたり、組織存続に関わるリスクにも発展しかねません。

このような状況下で、サイバー攻撃から組織を守るために、セキュリティ対策は必要不可欠といえます。組織存続に関わるリスクにも発展するため、サイバー攻撃への対策は必要不可欠といえます。そして、サイバー攻撃への備えとして重要となるのが脆弱性への対策です。脆弱性とは、ソフトウェアやシステムに存在する欠陥であり、攻撃者にとって格好の標的となります。攻撃者は脆弱性を悪用して、システムへの不正アクセス、情報漏洩、ランサムウェア攻撃など、様々な攻撃を実行することが可能となるのです。しかし、脆弱性対策が十分であるとはいいがたい現状があります。

下の図表は弊社のシステム脆弱性診断の結果から、脆弱性の検出率を半期ごとに集計したものとなりますが、過去から常におよそ90%のシステムに脆弱性が存在するという状況が続いています。さらに、2023年下半期ではそのうち17.0%が危険性の高い脆弱性となっています。

システム脆弱性検出率画像
SQAT® Security Report 2024年春夏号 「診断結果にみる情報セキュリティの現状」より

弊社診断結果を掲載したレポートの詳細ついては、こちらをご確認ください。

近年のサイバー攻撃インシデントの例

発表時期攻撃概要原因影響
2023年11月*1不正アクセスにより通信アプリ利用者の情報が漏洩一部のシステムを共通化している韓国の企業を通じて不正アクセスが発生通信アプリ利用者の情報およそ51万件が不正アクセスで流出
2023年8月*2内閣サイバーセキュリティセンターが不正侵入被害メーカーにおいて確認できていなかった、電子メール関連システムによる機器の脆弱性が原因令和4年10月上旬から令和5年6月中旬までの間にインターネット経由で送受信した個人情報を含むメールデータの一部が外部に漏洩した可能性がある
2023年7月*3名古屋港統一ターミナルシステム(NUTS)がランサムウェア攻撃により停止したリモート接続用VPN機器の脆弱性から侵入されて、ランサムウェアに感染NUTSシステム障害により、コンテナ搬出入作業停止など港湾の物流運営に支障をきたした

近年の脆弱性情報の例

発表時期CVE対象製品(範囲)影響
2024年2月*4CVE-2023-46805
CVE-2024-21887		Ivanti Connect Secure Ivanti Policy Secure 22系、9系のバージョンが影響を受ける 脆弱性が組み合わされて悪用されると、遠隔の第三者が認証不要で任意のコマンドを実行する可能性がある
2023年9月*5CVE-2022-42897
CVE-2023-28461 		Array Networksが提供するVPNアプライアンス「Array AGシリーズ」 ArrayOS AG 9.4.0.466およびそれ以前の9系のバージョン ArrayOS AG 9.4.0.481およびそれ以前の9系のバージョン 2022年5月以降、少なくとも関連する6件のVPN機器におけるリモートコード実行といった攻撃活動が報告されている
2023年7月*6CVE-2023-3519,
CVE-2023-3466,
CVE-2023-3467		NetScaler ADC (旧Citrix ADC) および NetScaler Gateway (旧Citrix Gateway) NetScaler ADC および NetScaler Gateway 13.1 13.1-49.13 より前 NetScaler ADC および NetScaler Gateway 13.0 13.0-91.13 より前 NetScaler ADC 13.1-37.159 より前の NetScaler ADC 13.1-FIPS NetScaler ADC 12.1-55.297 より前の NetScaler ADC 12.1-FIPS NetScaler ADC 12.1-NDcPP 12.1-55.297 より前 クロスサイトスクリプティング、ルート権限昇格、リモートコード実行といった攻撃が発生する可能性がある

脆弱性対策の重要性

ここで今一度、脆弱性とは何なのかを改めて考えてみましょう。脆弱性とは、ソフトウェアやシステムに存在する欠陥のことを指します。プログラムのバグや設計上の欠陥などが原因で発生し、サイバー攻撃者にとって格好の標的となります。そして、脆弱性を悪用されると、攻撃者はマルウェアなどを使ってWebサイトへ不正アクセスし、内部データの盗取、改竄、悪用などが可能になります。その結果、情報漏洩やシステム停止、ランサムウェア感染といった、組織にとって致命的な被害につながる可能性があります。

では、脆弱性をなくせばよいということになりますが、現実的には脆弱性を完全に「なくす」ことは困難です。しかし、「攻撃される的」を減らすことで、リスクを大幅に低減することができます。

これらのリスクを低減するためには、ソフトウェアやシステムのアップデート、セキュリティパッチの適用、脆弱性診断の実施、セキュリティ教育の実施、セキュリティ体制の整備といった対策が重要です。特に、日々変化する脅威に対して、システムのセキュリティ状態を正しく把握するためには、脆弱性診断が効果的です。脆弱性診断を実施することで、システムの脆弱性を洗い出し、適切な対策を実施することが可能となります。システムの状態を知り、必要な対策を怠らないことが、Webサイトやシステムを守ることにつながります。

脆弱性診断を活用した予防措置

攻撃者はより悪用しやすく成果をあげやすい脆弱性を狙ってきます。そうしたことを踏まえ、自組織のWebアプリケーション・システムに脆弱性が存在するのか、また存在した場合どういったリスクのある脆弱性なのかを知り、脆弱性対策を行うことは組織として重要なことです。

脆弱性を悪用したサイバー攻撃への備えとして、BBSecとしては、脆弱性診断を推奨しております。下図の攻撃方法は一例となりますが、影響範囲として機会損失から業務停止まで引き起こされる可能性がある、という実態はどの攻撃方法でも同じです。脆弱性を悪用された場合、どの攻撃方法であってもそういった被害が出る可能性があるため、悪用されやすい脆弱性は早急に対応しなければなりません。

SQAT® Security Reportについて

弊社では年に2回、セキュリティトレンドの詳細レポートやセキュリティ業界のトピックスをまとめて解説する独自レポート「SQAT® Security Report」を発行しています。こちらは弊社で行われたセキュリティ診断の統計データが掲載されていることが主な特徴となります。

SQAT® Security Reportでは、半期のセキュリティ診断で得られたデータから、検出された高リスク以上の脆弱性ワースト10といった情報や、その分析を掲載しています。

2023年下半期高リスク以上の脆弱性ワースト10

他にも、カテゴリ別脆弱性の検出状況や、業界別のレーダーチャートも掲載しております。

2023年下半期Webアプリケーション診断結果業界別レーダーチャート 製造業

過去のバックナンバーもSQAT.jpにて掲載しておりますので、ぜひ、お役立てください。特集記事や専門家による解説などもございますので、併せてセキュリティ向上の一助となれば幸いです。

半期(6か月)毎にBBSec脆弱性診断の結果を集計・分析。その傾向を探るとともに、セキュリティに関する国内外の動向を分かりやすくお伝えしています。

最新号「2024年春夏号」のダウンロードはこちら

SQAT脆弱性診断サービス

Webアプリケーション脆弱性診断-SQAT® for Web-

Webサイトを攻撃するハッカーの手法を用いて、外部から動的に脆弱性を診断することで、攻撃の入口となる可能性のある箇所を検出します。診断は最新のセキュリティ情報に基づき実施されますので、開発時やリリース前ばかりでなく、既存システムに対する定期的な実施といった、現状の脆弱性対策の有効性を確認するために活用することをおすすめしています。 以下より、サービス内容が記載されている資料のダウンロードもいただけます。

Webアプリケーション脆弱性診断バナー

ネットワーク脆弱性診断-SQAT® for Network

悪意ある第三者の視点で、ネットワークをインターネット経由またはオンサイトにて診断し、攻撃の入口となる可能性のある箇所を検出します。ネットワークを標的とした攻撃のリスクを低減するため、脆弱性を徹底的に洗い出し、システムの堅牢化をご支援します。システムの導入・変更・アップグレード時のほか、運用中のシステムに対する定期チェックにご活用いただけます。 以下より、サービス内容が記載されている資料のダウンロードもいただけます。

ネットワーク脆弱性診断のサービスバナー

ウェビナー開催のお知らせ

最新情報はこちら

Security Report TOPに戻る
TOP-更新情報に戻る

資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。
Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像
投稿日:

ペネトレーションテストとは?

Share

サイバー攻撃の数は年々増加し続けており、その手口は高度化・巧妙化しています。自組織がサイバー攻撃の被害に遭わないためにも、特に企業の経営者においては、システムのセキュリティリスクの状態を把握や適切なセキュリティ対策の実施などが重要課題となっています。ペネトレーションテストでは、システムに存在するリスクが実際に悪用可能か確認することが可能です。本記事では、ペネトレーションテストの基本とその重要性、脆弱性診断との違い、ペネトレーションテスト会社の選び方について解説します。

ペネトレーションテストとは

ペネトレーションテストとは、主に企業ネットワークや、Webアプリケーションなどに不正に侵入することができるかどうかをテストすることです。英語の「 penetration 」には「貫通」、「 penetrate 」には「貫く」「見抜く」などの意味があります。「ペンテスト」と略されたり、「侵入テスト」と呼ばれることもあります。

サイバー攻撃者はまず不正侵入し、その後、情報を盗んだり、バックドアを仕掛けたり、あるいは破壊工作などを行います。それらすべての端緒となる不正侵入を許すかどうかを調べるのが、ペネトレーションテストの役割です。

ペネトレーションテストは、システムやネットワークに対する不正侵入や攻撃が可能かどうかを確認するためのテスト手法です。このテストは、単に脆弱性を見つけるだけではなく、それらが実際に悪用される可能性があるかどうかを判断することに重点を置いています。これにより、システムのセキュリティ状態の把握や実装されているセキュリティ対策の有効性を検証することができます。

ペネトレーションテストが必要な業界と業種

ペネトレーションテストは、特にセキュリティが重要視される業界や業種で必要とされます。
金融、医療、政府機関、ITサービスなど、機密情報を扱うすべての業界で、ペネトレーションテストの実施は必要不可欠です。これらの業界では、データ漏洩やシステム障害が重大な結果を招く可能性があるため、定期的なテストが推奨されます。

ペネトレーションテストが必要な3つの業種

脆弱性診断の結果見つかった脆弱性を悪用して、攻撃が本当に成功するのかを検証するために、ペネトレーションテストが実施されることがあります。あくまで一般論ですが、ペネトレーションテストが必要な業種や事業として、以下の3つが挙げられます。

1.生命・生活に直接影響を与える事業やサービス
第一に、生命や生活に影響を及ぼす業種が挙げられます。具体的には、水道・電気・ガス・道路・交通等の社会インフラや、病院、ビル管理、工場のシステムなどです。

2.資産に影響を与える個人情報を扱うサービス
個人情報を保有する事業やサービスにも、ペネトレーションテストが必要な場合が多いでしょう。とりわけ銀行や証券会社、クレジットカード、仮想通貨取引所などの金融、大規模なWebサービスやECサイト、住民データを扱う自治体や官公庁などが挙げられます。

3.事業継続に影響を与える機密情報を扱うシステム
重要な営業機密や知的財産を保有する企業もペネトレーションテストの実施が望ましいといえるでしょう。

特に、クローズモデルの知財戦略に基づいて特許を取得しない方針の企業が、サイバー攻撃によって機密情報を盗まれ、他の企業に国内外で特許申請・取得された場合、事業継続に関わる重大な影響が懸念されます。

また、データ自体に価値はあるが、特許法や不正競争防止法では保護対象とならないようなデータについては、セキュリティ対策によって保護を図る必要があります。

脆弱性診断との違い

ペネトレーションテストは、脆弱性診断とは異なるアプローチを取ります。

脆弱性診断はシステムの脆弱性を特定することに焦点を当てていますが、ペネトレーションテストはその脆弱性を利用して実際に攻撃を試み、システムのセキュリティを実際に検証します。この違いは、単にリスクを特定するのではなく、そのリスクが実際にどのように悪用され得るかを理解することにあります。

ペネトレーションテストと脆弱性診断の違いと使い分け

ペネトレーションテストと脆弱性診断には共通する部分があるため、違いがよく理解されていません。特によく見られる勘違いは、「ペネトレーションテストをやりたい」という要望だったものの、ヒアリングしてみると、実際にはペネトレーションテストでなく脆弱性診断が必要であった、というケースです。

以下に「対象」「目的」「範囲」、必要な「期間」の4つの観点から、ペネトレーションテストと脆弱性診断の違いを示します。

ペネトレーションテスト脆弱性診断
対象脆弱性診断同様、ネットワークやWebアプリケーションを対象にしますが、ときに警備員をあざむいて建物に侵入できるかどうか等の物理的侵入テストが行われることもあります。ネットワークやWebアプリケーションが対象となります。
目的脆弱性診断は脆弱性を発見して報告することが主な業務ですが、ペネトレーションテストは脆弱性をもとに不正アクセスし、ネットワーク等に侵入することが目的となります。 脆弱性を検知・検出すること。
範囲広い範囲の網羅性を重視する脆弱性診断と異なり、ペネトレーションテストは侵入することが目的であるため、脆弱性診断とは反対に、狭く深く、ときに針の穴のような侵入できる一点を探します。 広く網羅的に脆弱性の有無を探します。
期間ペネトレーションテストは、とにかく侵入が成功するまでトライし続ける作業であるため、脆弱性診断よりも長い期間を要する場合が少なくありません。ただし、一般論として、優秀なペネトレーションテストサービスであればあるほど、短い期間で侵入が成功します。 探すものが事前に決まっているためペネトレーションテストよりも通常は短い期間で完了します。

ペネトレーションテストの手順

ペネトレーションテストサービスは提供する企業によってそれぞれ個性がありますが、大きく分けると下記の手順で実施されます。

Step1.ヒアリング

目的に応じ、たとえば「顧客データベース」など、ペネトレーションテストを行う対象を決定します。そして「顧客データベース」が外部から攻撃されるのか、あるいは内部犯行なのか、想定する攻撃シナリオを作成し、最後に、ペネトレーションテストを行う期間を決定します。

Step2.実施

対象によってさまざまな実施方法があります。公開されているWebアプリケーションであればリモートから実施することができます。内部犯行の危険性をテストする場合ならオフィス内から実施することもあるでしょう。

Step3.完了

「侵入に成功したとき」あるいは反対に、「侵入に成功できないまま期間が終了したとき」のいずれかをもってペネトレーションテストは完了します。どちらの結果にも意味があります。侵入に成功した場合は、その報告を受けて防御力を高める必要性を認識することになり、侵入に失敗した場合は、一定の防御力を保持できている目安となります。

Step4.報告

ペネトレーションテスト事業者からの報告書提出や報告会が行われます。具体的にどういうプロセスで、どういう技術を用いて侵入し、重要なデータがどこまで閲覧可能だったのか、どんなことができてしまう危険性があったのか、など管理者の気にかかることが詳細に報告されます。

ペネトレーションテスト 日本と海外の違い

海外では本番環境で稼働するシステムに対して、直接攻撃を行うような荒っぽいペネトレーションテストが行われることもありますが、日本国内ではそういったケースは多くありません。日本では業務やサービスの運用への影響を回避しつつ、安全に配慮しながら設計・実施されるのが主流です。

ペネトレーションテストを実施する際の会社の選び方

ペネトレーションテストを実施する際には、専門知識と経験を持つ信頼できる会社を選ぶことが重要です。セキュリティテストの専門家であること、業界の最新の脅威に精通していること、そして過去の成功事例を持つことが、良いサービスプロバイダーの特徴です。また、テストの範囲、方法、報告の詳細さなど、サービスの質にも注意を払う必要があります。

ペネトレーションテストは経験とセンスが求められる仕事であるため、優良事業者選びはとても重要です。前述したとおり「優秀なペネトレーションテストサービスであればあるほど、短い期間でテストが終了(=侵入に成功)」します。ペネトレーションテストの見積額はエンジニアの拘束時間とも相関しますので、予算にもかかわってきます。大きく以下の3つのポイントを、いいペネトレーションテスト会社選びの参考にしてください。

1.丁寧なヒアリングにもとづいてシナリオを考えてくれるか

システム構成や業務手順、ときには組織構成など、実際のサイバー攻撃を行う際に参照するとされる、さまざまな情報をもとにして、実施するサービスの適用範囲、留意事項、制限などを聞き、顧客の目的や要望、要件に沿ったペネトレーションテストの攻撃シナリオを考えてくれる会社を選びましょう。

2.技術者の経験と勘、クリエイティビティ

ペネトレーションテストはときに針の穴を通すような隙間を見つけ出して侵入を成功させる業務です。技術者のこれまでの経験、保有資格などを確かめ、技術者の層が厚い会社を選びましょう。

3.診断実績

過去のペネトレーションテストの実施社数や件数、リピート社数なども、いいペネトレーションテスト会社選びの参考になります。

ペネトレーションテストのツール

ここまで述べてきたとおりペネトレーションテストとは、丁寧なヒアリングのもとで作成した攻撃シナリオに基づいて、経験豊かな技術者が実施するクリエイティブな手作業です。ペネトレーションテストをすべて自動で行うツールは存在しません。

ただし、ペネトレーションテストを行う技術者が、いわば「工具」「道具箱」のように用いるツールは数多くあります。代表的なものとして、オープンソースプロジェクトである Metasploit が提供する、さまざまなツール群が挙げられます。

セキュリティ企業に依頼せずに、自分でMetasploit が提供するツールを用いて、公開されている脆弱性などを用いて攻撃を実行することは可能です。しかし、その結果を読み解いたり、優先順位をつけたりするノウハウには経験と知見が必要とされます。

また、自宅に置いたサーバに研究目的でツールを走らせるような場合でも、不用意にこうしたツールを使用したり、不適切な方法で攻撃用のエクスプロイトを取得・保管したりすると「不正アクセス行為の禁止等に関する法律」「不正指令電磁的記録に関する罪(刑法刑法168条の2及び168条の3)」等にも触れる犯罪となる危険性もあることを忘れてはいけません。

ペネトレーションテストの料金相場

ペネトレーションテストの料金は、対象とする範囲や、攻撃シナリオによって変動します。あくまで一般的な相場として「脆弱性診断の1.5倍から2倍」程度、金額として数十万円から数千万円の開きがあります。

まとめ

・ペネトレーションテストとは、システム・ネットワークへの不正侵入や攻撃が成立するか確
 認するテスト手法の一つ
・特にセキュリティが重要視される業界や業種、金融、医療、政府機関、ITサービス業界など
 で、ペネトレーションテストの実施が必要不可欠
・脆弱性の有無を判定する脆弱性診断と異なり、ペネトレーションテストでは脆弱性自体を見
 つけることよりも不正侵入や攻撃が成立するかどうかの判断を優先する
・事前ヒアリングが丁寧で、優秀な技術者が在籍する、診断実績の多い会社を探す

Security Report TOPに戻る
TOP-更新情報に戻る

資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。
Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像