脆弱性診断 | SQAT®.jp

BBSecの脆弱性診断

BBSecのシステム脆弱性診断は、独自開発ツールによる効率的な自動診断と、セキュリティエンジニアによる高精度の手動診断を組み合わせて実施しており、高い網羅性とセキュリティ情勢を反映した診断を実現するため、セキュリティエンジニアおよびセキュリティアナリストが高頻度で診断パターンを更新し、診断品質の維持・向上に努めている。検出された脆弱性に対するリスク評価のレベル付けは、右表のとおり。

脆弱性診断サービスの基本メニューである「Webアプリケーション脆弱性診断」・「ネットワーク脆弱性診断」の2022年下半期（7月～12月）実施結果より、セキュリティ対策の実情についてお伝えする。

2022年下半期診断結果

Webアプリ/NW診断実績数

2022年下半期、当社では12業種延べ510企業・団体、3,964システムに対して、脆弱性診断を行った（Webアプリケーション/ネットワーク診断のみの総数）。

9割のシステムに脆弱性

「Webアプリケーション診断結果」の棒グラフのとおり、Webアプリケーションにおいて、なんらかの脆弱性が存在するシステムは9割前後で推移を続けている。検出された脆弱性のうち危険度レベル「高」以上（緊急・重大・高）の割合は19.0％で、5件に 1件近い割合で危険な脆弱性が検出されたことになる。

一方、ネットワーク診断では、なんらかの脆弱性があるとされたシステムは約半数だったが、そのうちの危険度「高」レベル以上の割合は23.3%で、5件に1件以上の割合であった。

以上のとおり、全体的な脆弱性検出率については、前期と比較して大きな変化はない。当サイトでは、「2022年下半期カテゴリ別脆弱性検出状況」とし、検出された脆弱性を各カテゴリに応じて分類しグラフ化している。

Webアプリケーション診断結果

高リスク以上の脆弱性ワースト10

リスクレベル高以上の脆弱性で検出数が多かったものを順に10項目挙げてみると、下表のような結果となった。

長年知られた脆弱性での攻撃

Webアプリ編ワースト10の上位3項目は、前期と同じで、いまだ検出数が多い。いずれもよく知られた脆弱性ばかりなため、悪用された場合、セキュリティの基本的な対策を怠っている組織と認識され、信用失墜につながる。

「クロスサイトスクリプティング」に起因する情報漏洩は実際に報告されている。4位の「不適切な権限管理」は前期7位より順位を上げた。この脆弱性は、本来権限のない情報・機能へのアクセスや操作が可能な状態を指し、「OWASP Top 10（2021）」では、首位の「A01:2021-アクセス制御の不備」に該当する。一般ユーザであるはずが、処理されるリクエストを改竄することで管理者権限での操作が可能になる等により、個人情報や機密情報の漏洩・改竄、システムの乗っ取り、といった甚大な被害を招く恐れがある。外部から値を操作できないようにするのはもちろんのこと、各機能に対する適切なアクセス制御を実装することが推奨される。

ネットワーク診断結果

高リスク以上の脆弱性ワースト10

ネットワーク診断結果に関しても、リスクレベル高以上の脆弱性で検出数が多かったものを順に10項目挙げてみると、下表のような結果となった。

SNMPにおけるデフォルトのコミュニティ名の検出

ネットワーク編のワースト10もほぼお馴染みの顔ぶれであるところ、「SNMPにおけるデフォルトのコミュニティ名の検出」が9位に初ランクインした。SNMPは、システム内部のステータスや使用ソフトウェア等の各種情報取得に利用されるプロトコルで、管理するネットワークの範囲をグルーピングして「コミュニティ」とする。コミュニティ名には、ネットワーク機器のメーカーごとに「public」等のデフォルト値がある。SNMPにおけるコミュニティ名はパスワードのようなものであるため、デフォルトのままだと、これを利用して攻撃者に接続され、攻撃に有用なネットワークの内部情報を取得される恐れがある。コミュニティ名にはデフォルト値を使用しないこと、また、SNMPへの接続には強固なアクセス制御を実施することが推奨される。

カテゴリ別の検出結果詳細についてはこちら

Security Report TOPに戻る
TOP-更新情報に戻る

2023年1月19日2024年3月18日

定期的な脆弱性診断でシステムを守ろう！
-放置された脆弱性のリスクと対処方法-

脆弱性、放置されてませんか？　近年、放置されたままの脆弱性が悪用されるサイバー攻撃が増加しています。システムの脆弱性を対策しないままでいると、不正アクセスやマルウェア感染などの様々なリスクがあります。本記事では、脆弱性のリスクや実際に悪用された事例を紹介しつつ、脆弱性対策の重要性について解説いたします。

脆弱性の放置が命取りに～「Nデイ脆弱性」が狙われる

脆弱性が発見されると、対応として対象製品のベンダーより修正プログラムがリリースされます。ユーザはその修正プログラムを適用することで、当該脆弱性に対応することができます。

しかし、実際には様々な理由で修正プログラムが適用されず、脆弱性が放置されてしまうことがあります。修正プログラムのリリース後から、実際に適用されるまでの期間に存在する脆弱性は「Nデイ脆弱性」と呼ばれ、それを悪用するサイバー攻撃が増加しています。

図：2020年の脆弱性を利用した攻撃の割合(月ごとの開示年別)
出典：Check Point Software Technologies Ltd.「CYBER SECURITY REPORT 2021」

上のグラフは、Check Pointが公開したレポートに記載されたもので、2020年のそれぞれの月に、いつ発見された脆弱性がどのくらい使われていたか、その割合を示すグラフで、横軸は2020年のいつのデータであるのかを、縦軸は使用された脆弱性の発見された年を示しています。グラフからは、前の年である2019年以前に登録された脆弱性が、年間を通じて攻撃者に悪用され続けたことや、観測された攻撃の約80%が、2017年以前に報告・登録された脆弱性を悪用したものであったとのことがわかります。また、上記レポートでは複数の脆弱性を組み合わせて攻撃する手法「エクスプロイトチェーン」に、新しい脆弱性が組み込まれているとも指摘しています。

Nデイ脆弱性を狙う攻撃では、修正プログラムが適用されるより前に攻撃が仕掛けられるため、ソフトウェア管理が不適切な企業が標的として狙われやすくなっています。さらには近年では脆弱性対策情報が公開された後に攻撃コード（PoC）が流通し、攻撃が本格化されるまでの時間が短くなっています*1。

こういった背景から脆弱性を放置したままにすることは深刻な被害につながる可能性があります。

放置した脆弱性の持つ様々なリスク（不正アクセス・マルウェア感染・ホームページの改ざん・サーバの
ボットネット化）についてのイメージ図

既存の脆弱性を狙った事例

以下は2022年に既知の脆弱性が狙われた事例についてまとめたものです。


年月	製品	事例
2022/1	SonicWall SMA100シリーズ*2 （VPN製品）	2021年12月に公開された既知の脆弱性が概念実証コード（PoC）を含む詳細な情報が公開されたことにより、攻撃が活発化。
2022/2	eコマースプラットフォームMagento 1*3 (ECプラットフォーム)	Magento 1に存在するQuickViewプラグインの既知の脆弱性を悪用した大規模な攻撃を検知。いまだ数千ものeコマースが、2020年6月30日にサポートが終了しているMagento 1で稼働している背景を利用したと考えられる。
2022/3	リモートキーレスシステム*4 (自動車)	既に「CVE-2019-20626」「CVE-2021-46145」で指摘されているが、一部の古い車種（日本車）において引き続きこのリモートキーレスシステムが利用されていたことに起因する。
2022/4	Apache Struts 2*5 (Webサーバ)	2020年12月に公開された脆弱性「CVE-2020-17530」の修正が不十分であったことに起因する。
2022/5	VMware製品*6 (仮想化ツール)	2022年4月に複数の脆弱性の対策版がリリースされているが、リリースから48時間とたたず、「CVE-2022-22954」「CVE-2022-22960」の悪用が確認される。
2022/9	Python*7 (プログラム言語)	2007年に存在が判明していたものの修正されずにいた脆弱性「CVE-2007-4559」が、15年越しに世界中で悪用されていることが報告される。
2022/12	FortiOS*8 (VPN製品)	SSL-VPN製品における深刻な脆弱性は過去にも攻撃で悪用されている。リモートワークの拡大により今後も広まることが懸念される。

ベンダーや企業が公開している脆弱性をもつソフトウェアなどの情報や修正プログラムを解析することで、脆弱性を悪用するヒントを容易に得ることができます。さらに、当該脆弱性を攻撃するためのツールがダークウェブなどで売買されるケースもあります。こうしたことから、修正プログラムが公開される前に行われるゼロデイ攻撃（※）と比べると、攻撃者自ら脆弱性を調査する必要がないため、攻撃の難易度が低いといえます。

ゼロデイ攻撃について、SQAT.jpでは以下の記事でご紹介しています。こちらもあわせてご覧ください。
「IPA情報セキュリティ10大脅威にみるセキュリティリスク ―内在する脆弱性を悪用したゼロデイ攻撃とは―」

Webサイトは最大の攻撃ベクター

エシカルハッカー（※）へのアンケート調査によるとエシカルハッカーの95％はWebサイトが最大の攻撃ベクターだと考えているとの回答でしたと報告されています。

エシカルハッカー・・・倫理観を持ち、高度なハッキング技術や高い知識を善良な目的のために活用するハッカーのこと。ホワイトハッカーとも呼ばれている。

エシカルハッカーへのアンケート調査のデータ（円グラフ）「ハッカーが時間を費やす場所」 — 出典：6th Annual Hacker Powered Security Report

また、弊社で提供しているSQAT脆弱性診断サービスにて、2019年上半期～2022年上半期に診断を実施した延べ3,762社28,179システムのうち、脆弱性が検出されたシステムはWebシステムにおいて毎年8割以上、ネットワークシステム（プラットフォーム）において5割を占めています。

BBSecシステム脆弱性診断　脆弱性検出率（Web/NW） — 図：診断結果にみる情報セキュリティの現状～2022年上半期診断結果分析～
　（SQAT® Security Report 2022-2023年秋冬号）

脆弱性が存在するOS・アプリケーションを使用しているといったバージョン管理に関する脆弱性が高い割合で検出されているほか、クロスサイトスクリプディングやSQLインジェクションのようなインジェクション攻撃を受ける恐れのあるリスクレベルの高い脆弱性も多くみられます。

Webサイトは狙われやすい傾向にあるだけではなく、実際に様々な危険に晒されています。攻撃手法の進化や、経年によって攻撃のための製品解析が進んでしまうといった事情により、日々新たな脆弱性が検出され続けています。そういった脆弱性に対しての備えとして、適時・適切な対応を継続して行う必要があります。

定期的な診断実施を可能にする脆弱性診断ツールの活用

JPCERT/CCが発表している「Webサイトへのサイバー攻撃に備えて」によると、Webアプリケーションのセキュリティ診断に関しては、機能追加などの変更が行われたときはもちろんのこと、それ以外でも「1年に1回程度」実施することが推奨されています。

しかし、自組織内でセキュリティ対策を行うには、設備投資や人材育成に工数やコストがかかるといった不安を抱える企業も少なくありません。そこで定期的な診断の実施を後押しするものとして脆弱性診断ツールの活用をオススメします。脆弱性診断ツール活用のメリットには以下のようなものがあります。

1.　商用またはセキュリティベンダーの自社開発した診断ツールを活用するため、
　　ソフトウェアインストールなどの新規設備投資が不要
2.　開発段階から診断をすることにより、後工程における手戻り発生を防ぎ、
　　セキュリティコストの削減が可能
3.　手動診断と比較すると安価なため、定期的に簡易診断が可能
4.　診断結果を定点観測することで、即時に適切な対応をすることが可能

ただし、脆弱性の詳細やリスク判定に関してはセキュリティ専門家の知見が必要不可欠です。自組織に専門家がいるか、セキュリティ専門企業のサポートを受けられるか、といった点はツール選定の際に注意が必要です。

継続的なセキュリティ対策を実現するために

脆弱性診断は一度実施したらそれで終わりというものではありません。脆弱性は日々増加し続けるため、診断実施後に適切なセキュリティ対策を行っていたとしても形を変えて自組織のシステムにサイバー攻撃を行う可能性は十分にあります。顧客が安心してサービスを利用し続けられるためにも定期的な診断を実施し、洗い出されたセキュリティ上の問題に優先順位をつけて、ひとつひとつ対処することが重要です。診断ツールの検討に関しては自組織の環境やシステム特性に合わせたものを選定し、継続的なセキュリティ対策に有効活用できるようにしましょう。

BBSecでは

当社では様々なご支援が可能です。お客様のご状況に合わせて最適なご提案をいたします。

＜SQAT診断サービスの特長＞

＜デイリー自動脆弱性診断－Cracker Probing-Eyes^®－＞

sqat.jpのお問い合わせページよりお気軽にお問い合わせください。後日営業担当者よりご連絡させていただきます。

Security Report TOPに戻る
TOP-更新情報に戻る

2023年1月16日2024年3月18日

診断結果にみる情報セキュリティの現状
～2022年上半期　診断結果分析～

SQAT® Security Report 2022-2023年秋冬号

BBSecの脆弱性診断

当社のシステム脆弱性診断は、独自開発ツールによる効率的な自動診断と、セキュリティエンジニアによる高精度の手動診断を組み合わせて実施している。検出された脆弱性に対するリスク評価のレベル付けは、右表のとおり。

脆弱性診断サービスの基本メニューである「Webアプリケーション脆弱性診断」・「ネットワーク脆弱性診断」の2022年上半期（1月～6月）実施結果より、セキュリティ対策の実情についてお伝えする。

2022年上半期診断結果

Webアプリ/NW診断実績数

2022年上半期、当社では12業種延べ611企業・団体、3,448システムに対して、脆弱性診断を行った（Webアプリケーション/ネットワーク診断のみの総数）。

9割のシステムに脆弱性

「Webアプリケーション診断結果」の棒グラフのとおり、Webアプリケーションにおいて、なんらかの脆弱性が存在するシステムは9割前後で推移を続けている。検出された脆弱性のうち危険度レベル「高」以上（緊急・重大・高）の割合は22.3％で、5件に1件以上の割合でリスクレベルの高いものが出ていることになる。

一方、ネットワーク診断では、脆弱性ありと評価されたシステムは半分強というところだ。ただし、検出された脆弱性に占める危険度高レベル以上の割合は22.1%にのぼり、こちらも5件に1件以上の割合となる。

以上のとおり、全体的な脆弱性検出率については、前期と比較して大きな変化はない。当サイトでは、「2022年上半期カテゴリ別脆弱性検出状況」とし、検出された脆弱性を各カテゴリに応じて分類しグラフ化している。

Webアプリケーション診断結果

高リスク以上の脆弱性ワースト10

リスクレベル高以上の脆弱性で検出数が多かったものを順に10項目挙げてみると、下表のような結果となった。

長年知られた脆弱性での攻撃

上位ワースト10はいずれも、Webアプリケーションのセキュリティ活動を行っている国際的非営利団体OWASP（Open Web Application Security Project）が発行している「OWASP Top 10（2021）」でいうところの、「A03:2021 – インジェクション」「A07:2021 – 識別と認証の失敗」「A06:2021 – 脆弱で古くなったコンポーネント」「A02:2021 – 暗号化の失敗」「A01:2021 – アクセス制御の不備」等に該当する。

1位の「クロスサイトスクリプティング」や6位の「SQLインジェクション」は、長年知られた脆弱性である上、攻撃を受けると深刻な被害となりかねないにも関わらず、いまだ検出され続けているのが実情だ。

攻撃者による悪意あるコードの実行を許さぬよう、開発段階において、外部からのデータに対する検証処理と出力時の適切な文字列変換処理の実装を徹底していただきたい。

ネットワーク診断結果

高リスク以上の脆弱性ワースト10

ネットワーク診断結果に関しても、リスクレベル高以上の脆弱性で検出数が多かったものを順に10項目挙げてみると、下表のような結果となった。

推奨されないバージョンのSSL/TLS

1位の「推奨されないSSL/TLS」が圧倒的に多い。既知の脆弱性がある、あるいはサポートがすでに終了しているコンポーネントの使用も目立つ。このほか、特にリスクレベルが高いものとして懸念されるのが、FTP（4位）やTelnet（7位）の検出だ。これらについては、外部から実施するリモート診断よりもオンサイト診断における検出が目立つ。つまり、内部ネットワークにおいても油断は禁物ということである。FTPやTelnetのような暗号化せず通信するサービスはそもそも使用するべきでなく、業務上の理由等から利用せざるを得ない場合は強固なアクセス制御を実施するか、暗号化通信を使用する代替サービスへの移行をご検討いただきたい。

カテゴリ別の検出結果詳細についてはこちら

Security Report TOPに戻る
TOP-更新情報に戻る

2022年12月2日2024年3月26日

拡大するランサムウェア攻撃！
―ビジネスの停止を防ぐために備えを―

国内の医療機関をターゲットにしたランサムウェア攻撃がいま、拡大しています。最近報告された医療機関の事例では、ランサムウェアに感染させる手段としてサプライチェーン攻撃を行ったという例もありました。ますます巧妙になっていくランサムウェア攻撃を完全に防ぐということはできません。しかし、いざ被害にあってしまうとビジネスの停止など大規模な損害がもたらされる恐れもあります。本記事では、拡大するランサムウェア攻撃に対してリスクを整理したうえで、どのような対策をとればよいのか、その手段についてBBSecの視点から解説いたします。

拡大するランサムウェア、国内の医療機関がターゲットに

近年、国内の医療機関を狙ったランサムウェアによるサイバー攻撃が相次いで報告されています。令和4年上期に都道府県警察から警視庁に報告があった被害報告のうち、「医療、福祉」は全体の一割近くとなっており、今後拡大していくことが懸念されています。

【ランサムウェア被害企業・団体等の業種別報告件数】

直近で起こった国内の医療機関を狙ったランサムウェアによる具体的な被害事例は以下の通りです。

**【医療機関を狙ったランサムウェアによる被害事例】**
年月	地域	被害概要
2021/5	大阪府	医療用画像参照システムがダウンし、CTやMRIなどの画像データが閲覧できない障害が発生*9
2021/10	徳島県	電子カルテを含む病院内のデータが使用（閲覧）不能となった*2
2022/1	愛知県	電子カルテが使用（閲覧）できなくなり、バックアップデータも使用不能な状態となった*3http://www.kreh.or.jp/2022/01/19/3837/
2022/4	大阪府	院内の電子カルテが一時的に使用（閲覧）不能となった
2022/5	岐阜県	電子カルテが一時的に停止したほか、最大11万件以上の個人情報流出の可能性が確認された*4
2022/6	徳島県	電子カルテおよび院内LANシステムが使用不能となった*5
2022/10	静岡県	電子カルテシステムが使用不能となった*6
2022/10	大阪府	電子カルテシステムに障害が発生し、ネットワークが停止。電子カルテが使用（閲覧）不能となった*7

このように病院の電子カルテなどを扱う医療情報システムが狙われてしまった場合、業務の根幹を揺るがす大きな問題となり、最悪の場合は、長期間にわたるシステムの停止を余儀なくされてしまう可能性があります。そのため、医療機関にとって、サイバー攻撃のターゲットとなってしまうことは非常に大きなリスクと考えられます。

医療業界が狙われる理由は、医療情報はブラックマーケットにおいて高額で売買されているため、攻撃者にとって「カネになるビジネス」になるからです。「事業の停止が直接生命に関わる」という点でも、身代金要求に応じさせるうえでの強力な要因になります。

医療業界が狙われる理由について、SQAT.jpでは以下の記事でもご紹介しています。
こちらもあわせてご覧ください。
「狙われる医療業界―「医療を止めない」ために、巧妙化するランサムウェアに万全の備えを」

業種問わず狙われる―サプライチェーン攻撃によるランサムウェアの被害

前述した2022年10月の大阪府の病院を狙った事例では、その後、11月に同病院へ給食を提供している委託事業者のサービスを通じて、ネットワークに侵入された可能性が高いと報道がありました。これはランサムウェアを感染させるためにサプライチェーン攻撃を行ったということになります。

こうしたサプライチェーンの脆弱性を利用したランサムウェアの被害は、医療業界だけの話ではありません。特定の業種に限らず、標的となる企業を攻撃するために、国内外の関連会社や取引先などのセキュリティ上の弱点を突く攻撃は珍しくないように見受けられます。

**【サプライチェーンを狙ったランサム攻撃による被害事例】**
年月	被害概要
2021/4	光学機器・ガラスメーカーの米国子会社がランサムウェアの被害により、顧客情報など300GBのデータを窃取されたことを攻撃グループのリークサイトに掲載される*8
2022/4	情報通信機器等の製造を行う企業と同社の子会社がランサムウェアの被害を受け、従業員の個人情報のデータを暗号化され、復号不可能になった*9
2022/3	自動車部品メーカーの米州のグループ会社がランサムウェアによる不正アクセスを受け、北米及び南米地域の生産や販売などの事業活動に一時支障が起きた*10
2022/3	国内大手自動車メーカーの部品仕入先企業が狙われ、自動車メーカーの業務停止につながった*11

業務委託元企業がしっかりとセキュリティ意識をもって対策を行っていても、関連する業務委託先のさらに再委託先などのセキュリティの対策に必要なリソースの確保が難しい企業の脆弱性が狙われるため、一か所でもほころびがあるとサプライチェーンに含まれる全企業・組織に危険が及ぶ恐れがあります。

ランサムウェア被害にあってしまった場合のリスク

ランサムウェアによる影響範囲と具体例は以下の通りです。

国内でランサムウェア被害にあった企業・団体等について、警視庁のアンケート調査によると、2割以上が復旧までに1ヶ月以上かかり、5割以上が調査・復旧費用に1000万円以上の費用を要したという調査結果を報告しました。

【復旧に要した期間と調査・復旧費用の総額】

米国での調査においてもランサムウェア攻撃によるデータ侵害の平均コストは454万米ドルでこれはデータ侵害全体での平均総コストを上回っていることに加えて、原因の特定に237日、封じ込めるまでに89日と合計ライフサイクルは326日となっており、全体の平均より大幅に長くかかっていると報告しました。

【ランサムウェア攻撃のデータ侵害の平均コストと特定し封じ込めるまでの平均時間】

ランサムウェアによる感染を防ぐため対策の見直しを

企業・団体等においてランサムウェアの感染経路には様々なケースがあります。そのため、以下の対策を多重的に行い、被害を最小限に抑えていく必要があります。

1.　データやファイル、システムの定期的なバックアップの実施
2.　企業・組織のネットワークへの侵入対策
　　ファイアウォールやメールフィルタ設定により不審な通信をブロック
　　不要なサービスの無効化、使用しているサービスのアクセス制限
3.　攻撃・侵入されることを前提とした多層防御
4.　OSやアプリケーション・ソフトウエア、セキュリティソフトの定義ファイルを常に最新の状態にアップデートする
5.　強固なパスワードのみを許容するなど適切なパスワードの設定と管理を行う

3.攻撃・侵入されることを前提とした多層防御について、SQAT.jpでは以下の記事でもご紹介しています。こちらもあわせてご覧ください。
「APT攻撃・ランサムウェア―2021年のサイバー脅威に備えを―」

また、各業界向けに発行されているセキュリティ対策ガイドラインなどを参考にし、自組織の対策の見直しをすることも重要です。

【参考情報：各業界のセキュリティ関連ガイドライン等】

■（重要インフラ14分野向け）
NISC「重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針」
■（医療業界向け）
厚生労働省「医療情報システムの安全管理に関するガイドライン」
経済産業省・総務省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」
■（金融業向け）
FISC「金融機関等コンピュータシステムの安全対策基準・解説書等」
■（交通関連企業向け）
国土交通省「国土交通省所管重要インフラにおける情報セキュリティ確保に係るガイドライン等」
■（教育業界向け）
文部科学省「教育情報セキュリティポリシーに関するガイドライン等」

他人事ではない、ランサムウェア攻撃のリスク

冒頭で述べたランサムウェア攻撃をはじめ、特に重要インフラ14分野※においては人命や財産などに深刻な被害をもたらす恐れがあります。たとえ自社が該当しない業種であっても、同じサプライチェーン上のどこかに重要インフラ事業者がいるのではないでしょうか。つまり、ランサムウェア攻撃というものは常にその被害に遭う可能性があるものと認識する必要があります。

※重要インフラ14分野…重要インフラとは、他に代替することが著しく困難なサービスのこと。その機能が停止、低下又は利用不可能な状態に陥った場合に、わが国の国民生活又は社会経済活動に多大なる影響を及ぼすおそれが生じるもののことを指す。内閣府サイバーセキュリティ戦略本部「重要インフラの情報セキュリティ対策に係る行動計画」では、「重要インフラ分野」として、「情報通信」、「金融」、「航空」、「空港」、「鉄道」、「電力」、「ガス」、「政府・行政サービス（地方公共団体を含む）」、「医療」、「水道」、「物流」、「化学」、「クレジット」及び「石油」の14分野を特定している。

ランサムウェア攻撃への備えとして、前述のような様々な対策を講じるにあたって、まずは現状のセキュリティ対策状況を把握するための一つの手段として、セキュリティ診断などを実施することをおすすめします。

BBSecでは

当社では以下のようなご支援が可能です。

＜企業・組織のネットワークへの侵入対策＞

＜攻撃・侵入されることを前提とした多層防御＞

＜セキュリティ教育＞

標的型攻撃メール訓練

Security Report TOPに戻る
TOP-更新情報に戻る

2022年10月28日2024年3月13日

備えあれば憂いなし！サイバー保険の利活用

サイバー攻撃による被害は増加の一途をたどっています。一般社団法人日本損害保険協会の調査によると、国内企業の約4割以上がサイバー攻撃被害に対する不安を抱えています。そのような不安に備える「サイバー保険」をご存じでしょうか。本記事ではサイバー攻撃を受けた場合に発生するコスト・損失に触れつつ、サイバー保険について解説し、セキュリティ対策の見直し方法についてご紹介いたします。

他人事ではない！増加するサイバー攻撃による被害

サイバー攻撃による被害は増加の一途を辿っており、昨今は企業規模・業界問わず被害に遭う可能性があります。

国内では特にパソコンに保存したファイルやハードディスクを暗号化して、身代金を要求する不正プログラムである「ランサムウェア」による感染被害が多発しています。企業・団体等におけるランサムウェア被害として、令和４年上半期に都道府県警察から警察庁に報告のあった件数は114件であり、令和２年下半期以降、右肩上がりで増加しています。

【企業・団体におけるランサムウェア被害の報告件数の推移】

【サプライチェーンの脆弱性を悪用した攻撃の事例】のサムネ — 出典：警察庁（令和4年9月15日）「令和４年上半期におけるサイバー空間をめぐる脅威の情勢等について」
https://www.npa.go.jp/publications/statistics/cybersecurity/

実際、一般社団法人日本損害保険協会の調査*12によると、国内企業の多くはコロナ渦でテレワークの導入が進んでおり、サイバー攻撃を受ける可能性について約4割の企業が「高まった」と回答しています。しかし同時に4割以上の企業がサイバーリスク対策における課題について「現在行っている対策が十分なのかわからない」と回答しており、リスクの高まりを認識しながらもセキュリティ対策への自信のなさがうかがえます。

特に中小企業の場合は、セキュリティに対する知識や対策に必要な資源が限られているため、原因の特定や対策の実施が困難なケースも少なくありません。こういった背景からサプライチェーン上の脆弱な企業を狙われ、サプライチェーン全体が被害を受ける事案も見受けられます。

サイバー攻撃の被害を受けてしまうと、個人情報の漏えい、機密データの改竄、サーバ停止やシステムの破壊などが発生する可能性があり、事業継続に影響を与えかねない脅威となります。

国内で発生したサイバーインシデント事例

2022年に国内で起こったサイバー攻撃の事例は以下の通りです。

**【国内サイバーインシデント事例】**
年月	被害概要	原因
2022/1	県の災害情報管理システムから津波に関する緊急速報メール大量送信*2	プログラム設定ミス
2022/3	アニメ製作会社が不正アクセスを受け複数の人気番組の放映スケジュールに影響*3	システム障害
2022/3	代行申請企業の従業員がEmotetに感染し、情報漏洩となりすまし被害*4https://jp-ac-info.jp/info20220317/	マルウェア感染
2022/3	国内メーカーホームページへの不正アクセスによりメールアドレス流出（約1万件）*5https://www.be-s.co.jp/notice/4168	SQLインジェクション
2022/5	比較情報サイト運営等を行う企業がクラウドサービスの設定ミスにより最長6年間個人情報を不用意に公開（約5,000件）*6https://www.a-tm.co.jp/news/29297/	クラウド設定ミス
2022/5	国内人材情報企業の資格検定申込サイトに対する海外からの攻撃でメールアドレス流出(約29万件)*7	SQLインジェクション
2022/8	組合直売店のネットショップ専用パソコンがEmotetに感染して顧客氏名やメールアドレス等流出（約50,000件）*8	マルウェア感染

【サプライチェーンの脆弱性を悪用した攻撃の事例】

2022年3月1日に国内大手自動車メーカーの部品仕入先企業が同社の外部取引先企業との専用通信に利用していたリモート接続機器の脆弱性をきっかけとして不正アクセスを受け、この影響により自動車メーカーが国内全14工場28ラインを停止させる事態となったこのサイバー攻撃は大手企業を狙ったサプライチェーン攻撃とみられる*9

データ侵害発生時にかかるコスト

機密情報等の漏洩が発生すると、その復旧作業に莫大なコストがかかります。復旧コスト自体も年々増加傾向にあるほか、データ侵害により信用失墜につながることで、深刻なビジネス上の被害を引き起こします。実際にデータ侵害による平均総コストの内、システム復旧や顧客の再獲得などにかかった割合は38%にものぼるとのことです。

【4つのカテゴリ別データ侵害の平均総コスト(単位:100万米ドル)】

サイバー攻撃を受けた場合に生じる費用・金銭的損失

サイバー事故が発生した際に生じる費用は大きく分けて3つあります。

企業の経営者はこういったサイバー攻撃により発生する費用を未然に防ぐため、以下のようなガイドラインなども参考にしつつ、企業の追うべき責任について理解しておくことが重要です。

【参考情報：ガイドライン】
・一般社団法人日本経済団体連合会
　「サイバーリスクハンドブック　取締役向けハンドブック日本版」
・内閣官房内閣サイバーセキュリティセンター（NISC）
　「サイバーセキュリティ関係法令Q&A ハンドブック Ver1.0」

サイバー保険とは

前述のような費用を包括的に補償する役割を果たすのが「サイバー保険」です。
保険に加入することで、最悪の事態が起きた場合でも幅広い補償とサポートがうけられることで事業活動継続の命綱となります。（※補償の内容はサービスによって異なります。）

サイバー保険の加入率は海外では増加傾向にあり、米国の企業で5割近く、英国では約4割に上る*10とのことです。これに対して、日本国内では大企業・中小企業共に加入率は１割以下との報告*11がありますが、サイバーセキュリティを取り巻く状況を鑑みると、今後国内でも認知・普及が広まっていくことが考えられます。

サイバー保険の有効性

これまで見てきたようにサイバー攻撃によるリスクは、金銭的損害、機会損失、信用失墜などがあります。事業活動継続のためには、こういったリスクに対してどう対処していくかをリスクの影響度や深刻度などに応じて自身で判断する必要があります。

**【主なリスク対策方法】**
リスク対策の種類	概要	対策例
リスクの回避	リスクの発生確率を低くする	・外部からのアクセスを許可しない・物理的にもシステム接続を不可能にする・クレジットカード情報などの個人情報を保存しない・収集しない
リスクの低減	リスク発生による影響を小さくする	・通信の暗号化の強度を高くする・認証機構を堅牢にし、セキュアな多要素認証を強制する
リスクの移転	リスクの影響を第三者に移す	サイバー保険への加入
リスクの受容	リスクの発生を認め、何もしない	対策をしない

万が一の金銭的な損失に備え、自社ではなく保険会社という他者に補償させるという「リスクの移転」手段の1つとして有効なのが、サイバー保険です。

今一度セキュリティ対策の見直しを

サイバー攻撃手法は日々更新されており、さらに取引先や子会社などを含むサプライチェーンを踏み台にした攻撃など、どんなにセキュリティ対策を実施していても自組織のみではインシデント発生を防ぎきれないのが実情です。脆弱性診断の定期的な実施といった基本的なセキュリティ対策を行うとともに、万が一インシデントが発生してしまった場合の備えとして信頼できる第三者の専門企業に相談することをおすすめします。

サイバー保険付帯脆弱性診断サービスの紹介

サイバー保険付帯の対象となる脆弱性診断

BBSecのSQAT^® 脆弱性診断サービスすべてが対象となります。また、複数回脆弱性診断を実施した場合、最新の診断結果の報告日から1年間有効となります。

またBBSecでは緊急対応支援サービスも提供しています。突然の大規模攻撃や情報漏えいの懸念等、緊急事態もしくはその可能性が発生した場合は、BBSecにご相談ください。セキュリティのスペシャリストが、御社システムの状況把握、防御、そして事後対策をトータルにサポートさせていただきます。

Security Report TOPに戻る
TOP-更新情報に戻る

2022年10月5日2023年7月20日

＜インタビュー＞門林雄基氏／奈良先端科学技術大学院大学サイバーレジリエンス構成学研究室教授【後編】

国内外問わずセキュリティイベントに多くご登壇し、弊社で毎月1回開催している社内研修で、最新動向をレクチャーいただいている奈良先端科学技術大学院大学の門林教授。そんな門林教授に2022年のセキュリティニュースを振り返っていただき、今後の動向や予測について語っていただきました。前・後編の2回のうち、後編をお届けします。

（聞き手：BBSec SQAT.jp編集部）

サイバー攻撃の多様性

新たな攻撃の予想

━━今年はこれまでもすでに発見されていたが放置されてきた脆弱性が再発見されたり、新たに発見されたりした脆弱性を悪用したサイバー攻撃が話題になりました。それを踏まえ、今後新たな流行として予想される攻撃や今の時点で考えられる攻撃がありましたらどんなものがありますでしょうか？

門林：色々起きてますが、犯罪教唆にならない範囲で考えますと、クラウドとかでしょうか。クラウドはかなり巨大になってきていますので、問題は起きるかなとは思いますね。やはり色んな方がクラウドを使っていますよね。

━━そうですね。最近はテレワークの導入率も6割程度という調査結果も出ているという風に聞きます。

門林： 結局そのクラウドの方がちゃんとやっているから安全というように事業者の方はよくおっしゃるんですが、中小から大企業までみんながクラウドを使っているということは、当然反社もハッカー集団もクラウドを使っているわけです。だから隣のテナントは反社かもしれないという状況で、企業も何万社とあって、クラウド事業者側でもみえてないです。

見通しが明るくない話ばかりになりますが、クラウドはほんとに色んな問題を抱えて走っています。もちろんその問題を抱えたうえでリスクを潰しながらオペレーションできればいいんですが。これもやはり10年ほどやってきている話で、進展も激しいですし、色々積み重なっています。結局古い問題がなくならないので、我々専門家も日々話題にする脆弱性で、これ10年前にも同じ話あったよねというのがもう頻繁に出てくるわけです。ですのでクラウドに関しても、おそらく5年前とか10年前にあった脆弱性のぶり返しと新しい攻撃キャンペーンが組み合わさるとなんか起こるだろうなと思います。

今できる共通の対策

━━今後もありとあらゆる攻撃が予想されるということがお話伺っていてわかりました。それぞれの攻撃に対しては、対策をとっていく、防御していくことが重要になってくることかと思いますが、今できる共通の対策として、まず何をすべきでしょうか？

門林：基本に忠実にやるということしかないです。新しいトピックだけ追いかける人が多いですが、サイバーセキュリティという領域が生まれてもう30年です。脆弱性データベースの整備も始まって30年くらいたっていると思います。で、そのなかに10年選手、5年選手あるいは15年選手の脆弱性があるわけです。マルウェアもわざわざ古いマルウェアを使うという攻撃もあるんです。古いマルウェアだと最近のアンチウィルスソフトでは検知しないからあえて使うなどという色々な話があって、結局新しいことだけに注目してニュースを追って新しい製品を買ってというようにやっていると、5年前とか10年前の脆弱性に足をすくわれると思うんです。ですのでここはもう基本に忠実にやるしかないわけです。

セキュリティ全般の話ですが、やはり30年分の蓄積があるので、それを検証できるだけのスキルを持っていなければいけないですし、なんなら製品ベンダーさんの方が基本的な話を知らなかったりしますからね。

どんな対策が有効？

━━リスク管理の原則という話も少し出ましたが、企業においては情報資産の棚卸しというところも重要になってくると思います。弊社では脆弱性診断サービスを提供していますが、こういったサイバー攻撃への対策として、脆弱性診断サービスは有効に働くでしょうか？

門林：この業界はぽっと出だと私は危ないと思っています。セキュリティ診断会社が裏で反社と繋がっていて脆弱性診断を結果流していたという話もあり得ない話ではないので、ちゃんとした会社に依頼するということが私は大事だなと思ってます。

BBSecさんはもう22年くらいやっているとのことですが、やっぱりそれくらいやってる会社じゃないとかなり重要なシステムの脆弱性診断とか任せられないんじゃないかなと思いますし、それだけやってらっしゃる会社さんだからこそ、昔の脆弱性や最近の脆弱性、あるいは5年10年前の脆弱性というところも経験があって、ある意味チェック漏れといいますか、抜け漏れみたいなのもないと思うんです。やはり脆弱性診断みたいな、セキュリティの話で”水を漏らさず”みたいなところに尽きると思うんです。水を漏らさずどういう風に検査するかというともう経験値が全てだと思うんです。色々なシステムを検査してきた経験値というのが今にいきていると思いますし、そういうの無しに最近できた会社なんですよといって診断されても、そこの製品、俺だったら簡単に迂回できるなと思ってしまいますね。

終わりに…

これからセキュリティ業界に携わりたい方に向けて

━━ありがとうございました。では最後に、これまでのトピックスを振り返りつつ、これからセキュリティ業界に携わって働いていきたいという方やすでにもう業界で経験がある方でこれからもっとステップアップしていきたいというSQAT.jp読者に対して、門林先生からのメッセージをいただければと思います。

門林：サイバーセキュリティというと、プログラミングとかそういうのに詳しい人だけと思われがちなんですが、そうではないんだということです。もう今は総力戦になってますので、プログラミングやセンサーに詳しい人も歓迎ですし、あるいは人間の心理とか社会学とかのスキルとかそういうのに詳しい人も歓迎ですし。結局人間の脆弱性、ソフトウェア・ハードウェアの脆弱性など色々なものがあるなかで、それらすべてに相対していかなければならないわけです。プログラミングやマルウェア解析がすごいという人だけではなくて、いろんな人に来ていただきたいなと思いますね。

あともう一つ大事なのは、やはり優しさです。パソコンに詳しい、俺はプログラミングがすごいだけではなくて、実際サイバー攻撃にやられてしまった現場に行っても、「大丈夫ですか？」とできる人、例えば、「ランサムウェアの現場大変ですね、何とか復号しましょう」、というように。きれいじゃない現場というのがたくさんあるように、これから人間の失敗の顛末みたいな所も目にすると思います。各社・各業界の事情もありつつ、失敗の形跡もありつつ、そういう所で火消しをする、手続きの話をするというかたちになるので、結局その現場に入る人、セキュリティの業界に入る人はやっぱり弱者の側に立たないといけないんです。

CTFとかそういうものをやってると優秀な人こそ勝つという感じの発想の人もいると思うんですが、私は、そういうゲーム的な「俺はサッカーが上手いからすごいんだ」という人が来てくれるよりは、むしろ消防あるいは看護婦・お医者さんのような弱者・敗者に寄り添うセンス、かつプログラミング・技術もできる、法律もハードウェアもできるといった、そういう人間としてのキャパシティーをもった人に来ていただきたいなと思います。「俺はこのツールが使えるんだすごいだろ」という感じの人はたくさんいる気がするので、そうではない側の人、人としての優しさを備えてかつテクノロジー・法律といった様々なスキルを研鑽していこうと思える人にきてほしいですね。

━━弊社は脆弱性診断診断サービス以外にもインシデント対応やコンサルティングの提供もしているので、そういう意味でも、技術力だけじゃなく、人間性みたいなところも比較的重要になってくるのかなと個人的にも思います。本日はありがとうございました。

ーENDー
前編はこちら

門林雄基氏
奈良先端科学技術大学院大学サイバーレジリエンス構成学研究室教授
国内外でサイバーセキュリティの標準化に取り組む。日欧国際共同研究NECOMAプロジェクトの日本研究代表、WIDEプロジェクトボードメンバーなどを歴任。

2022年9月1日2024年3月13日

攻撃者が狙う重要情報の宝庫！
―スマホアプリのセキュリティ―

私たちが日常的に利用するスマホアプリのサービスは、開発者によって多様な機能が連携され、提供されています。しかしスマートフォンは、サイバー攻撃のターゲットになってしまう魅力的な重要情報の宝庫となっており、攻撃者に狙われることも多いです。本記事では、なぜスマホアプリが狙われるのか？スマホアプリのもつ脆弱性情報のご紹介をしつつ、セキュリティ対策にむけた考え方を解説していきます。

なぜスマホアプリは攻撃者に狙われるのか

一人一台以上のスマートフォンを所持・活用しているのが当たり前とされる現代において、私たちは日常的に様々なスマホアプリを利用しています。それらのスマホアプリがサービスとして提供されている裏では、スマートフォンが備えている多様な機能とスマホアプリとが開発者によって連携され、それによりスマホアプリのサービス提供が実現しています。利用者がアプリ上でのみ操作を行っているつもりでも、実際はアプリとスマートフォンの持つ機能が連携することで、便利なサービスを利用できているのです。

しかし便利な一方で、スマホアプリはサイバー攻撃のターゲットとされることも多くあります。なぜならスマホアプリは以下の3つの特徴を持っているためです。

重要情報の宝庫

スマホアプリではWebアプリよりも多くの重要情報が扱われます。例えば連絡先情報、メールや通信のログ、GPS（位置情報）、決済情報、さらには利用者が何を好むかといった趣味嗜好など個人に関する情報が多様に含まれています。これらの情報が集まっているスマホアプリは、攻撃者にとっては魅力的な重要情報の宝庫といえます。

もし攻撃者に狙われた場合、これらの重要情報が漏洩してしまう可能性があります。

ユーザ側での端末管理

Webアプリではサービス提供者が管理しているサーバ側で情報を保持していましたが、スマホアプリでは各ユーザ端末側に情報が保持されているものが多くあります。Webアプリの場合はサービス提供者側がセキュリティソリューションを活用したりすることでセキュリティ対策を行っていましたが、スマホアプリのように各ユーザ端末側で情報が保持されている場合、セキュリティ対策の実施はユーザ個人に依存するため、セキュリティ対策が十分に行われていないこともあります。特にスマートフォンに関するセキュリティ対策情報は、パソコンのセキュリティ対策に比べてユーザにあまり認知されていないため、ユーザのセキュリティ意識がパソコンよりも薄い状況にあります。

もしスマートフォンのセキュリティ対策が十分にされていなかった場合、脆弱な状態や設定のまま放置され、そのままアプリ連携や端末間での共有がなされることで、ユーザが意図しない手段や経由により不正アクセスが行われる可能性があります。

常時外部と接続状態

Webアプリはブラウザからアクセスしますが、スマホアプリではアプリごとに独自開発された機能によってアクセスします。また、スマートフォンは常時電源がオンになっており、インターネットにも常時接続されている状態です。

そのため、例えばあるスマホアプリで非暗号化通信での情報のやり取りなどが行われて重要情報が外部から見えるような状態であった場合に、常時接続状態であるスマートフォンは攻撃者に狙われる隙が生まれやすくなってしまいます。これにより不正利用・操作や、通信内容の盗聴・情報改竄が行われる可能性があります。

攻撃者にとって重要情報の宝庫であるのにも関わらず、セキュリティ対策がユーザ側に依存し、また常時インターネットに接続状態となっているため、攻撃の隙も生まれやすい。これがスマホアプリが攻撃者に狙われやすい理由です。またBYOD（Bring Your Own Device）を導入している企業も増えてきたため、個人のスマートフォンが攻撃されることで、企業への攻撃の踏み台にされる可能性もあります。

スマホアプリにおける情報漏洩の事例

実際に近年起きたスマホアプリにおける情報漏洩は下記のようなものがあります。

スマホアプリにおける脆弱性の届出状況

IPAおよびJPCERT/CCが発表している「ソフトウェア等の脆弱性関連情報に関する届出状況[2022年第2四半期（4月～6月）]」によると、2022年の第2四半期（4月～6月）までで届出が出されている脆弱性を製品種類に分けて集計すると、スマホアプリの脆弱性はソフトウェア製品全体の8％となっており、ウェブアプリケーションソフトとルータに次いで多く検出されている結果となりました。スマホアプリ開発段階で脆弱性を見落とされて、そのままリリースされてしまった場合、スマホアプリを利用するすべての人々に影響が及ぶ可能性があり、情報漏洩事故につながってしまう恐れがあります。

スマホアプリのセキュリティの対策にむけて

誰もがスマートフォンを利用しているからこそ、実際に被害に遭う可能性を誰しもが持っています。また、攻撃の影響は多くの人々に及ぶことが想定されます。ユーザ目線では被害を受けないための、またスマホアプリを提供する側目線では被害を防ぐためのセキュリティ対策を心掛けることが重要でしょう。

今回はスマホアプリを提供する上で重要な考え方や手段を大きく3つご紹介します。

脆弱性情報の収集

脆弱性情報を取りまとめている機関*12等から定期的に脆弱性情報を収集し、セキュリティの最新情報や対策方法を取り入れることで、普段からセキュリティに対する意識を高める必要があります。

セキュアコーディングを意識した開発

セキュアコーディングとは開発段階で攻撃に耐え得る堅牢なプログラムを書くことを指します。セキュアコーディングのガイドライン「Androidアプリのセキュア設計・セキュアコーディングガイド」を活用することで、スマホアプリ開発段階から脆弱性の有無を知り、より早い対策を実施することができます。また、より早い段階で対策ができれば、リリース後の手戻りやコストの発生も防ぐことができます。このようなシフトレフトを実践することも重要な考え方の一つです。

セキュアなアプリケーション開発の考え方について、SQAT.jpでは以下の記事でご紹介しています。
こちらもあわせてご覧ください。
「Webアプリケーション開発プロセスをセキュアに ―DevSecOps実現のポイント―」

信頼できる第三者機関の脆弱性診断サービスを実施

企業として実施できるセキュリティ対策として、信頼できる第三者機関による脆弱性診断が挙げられます。第三者の専門家からの診断を受けることで、現状の問題点や対応の優先順位などリスクを可視化することができるため、早急に効率よく対策を実施するのに役立ちます。

APIのセキュリティ対策

スマホアプリと切っても切れないものとして、API（Application Programming Interface）が存在します。スマホアプリはAPIを経由してサーバとやり取りをしているケースが多く、セキュリティ対策を行ううえでAPIを無視することはできません。

APIにおいてもWebアプリと同様に様々なセキュリティリスクが存在しますので、スマホアプリ、Webアプリと同様に最適なセキュリティ対策をとることが大切です。

APIのセキュリティに関する10大リスク

APIにおけるセキュリティ対策を講じるうえで役立つ情報として、Webアプリケーションセキュリティに関する国際的コミュニティOWASP（Open Web Application Security Project）が公開している「OWASP API Security Top 10」があります。

SQAT.jpでは以下の記事でご紹介しています。あわせてご覧ください。
「APIのセキュリティ脅威とは」

スマホアプリ脆弱性診断とは

「スマホアプリのセキュリティ対策」に既述した脆弱性診断サービスですが、そういったサービスの活用がなぜ必要なのでしょうか。その理由は図の通りです。

スマホアプリ診断で検出される脆弱性項目例

例えば弊社のスマホアプリ診断において検出数の多い脆弱性項目としては、下記のようなものがあります。このような脆弱性はなかなか開発段階で自社の目線からすべて網羅するのは難しく、脆弱性診断サービスを使うことで効率よく発見することが可能です。

重要情報の漏洩

＜例＞
・スマートフォン内部の記憶媒体領域（ストレージ等）に認証情報が保存されている
・スマホアプリからサーバ側に通信を行う際に、URLパラメータ等が暗号化されていないままの状態であるために認証情報が露呈している

重要情報がスマホアプリ側だけではなく、ユーザのスマートフォン内部など他の領域で確認できる状態であるために、攻撃者に情報が漏洩してしまう可能性があります。

不正な行動・操作が可能

＜例＞
・信頼境界へのアクセスが厳密に制御されていない状態である
・外部アクセスの制御不備などにより、スマホアプリの権限外のユーザによるアクセス制御が可能である

スマホアプリではAPIや他のアプリとの連携、スマートフォン内部の記憶領域など、外部との通信が頻繁に行われます。その中で、信頼できない外部からのアクセスを制御するといった対策が厳密に行われていないために、攻撃者から不正な操作の実行や、データ改竄および不正利用される可能性があります。

難読化処理の未対応

＜例＞プログラムコードが難読化されていないため、リバースエンジニアリングによるソースコード解析が可能な状態である

攻撃者により、スマホアプリの機能およびロジック分析が行われた場合、弱点をついた攻撃手法の分析や技術情報の解析につながる可能性があります。

誰もがスマートフォンを利用している今、攻撃の被害が多くの人々に影響を及ぼす可能性があるからこそ、スマホアプリにおいて次の攻撃につながる情報が漏洩したり、スマホアプリの改竄が行われたりする可能性を摘んでおくことが、スマホアプリを提供するうえで重要となります。

スマホアプリ脆弱性診断に＋α

開発者視点でのスマホアプリの品質管理、セキュアコーディング、セキュリティ設定のチェックにはソースコード診断サービスもあわせて実施することを推奨しています。スマホアプリに潜在する脆弱性をソースコードレベルで診断することで、さらなるセキュリティ向上にお役立ちできます。

スマホアプリの進化にあわせた対策を

スマホアプリは様々なかたちで利用され、日々利便性が向上されています。それに伴い開発・提供者側はより高度な機能を活用し、扱う分野や範囲も広がってきています。すでに述べてきたように、機能の利便性の反面、Webアプリと比べてスマホアプリは独自のリスクを抱えています。そのため、基本的なセキュリティ対策はもちろん、より強固なセキュリティ対策を行うことが、サイバー攻撃を防ぐカギとなります。

Security Report TOPに戻る
TOP-更新情報に戻る

2022年7月6日2024年3月26日

セキュリティ診断の必要性とは？

「セキュリティ診断」とは何か？セキュリティ診断には脆弱性診断、ソースコード診断、ペネトレーションテストなどの方法があります。今回は、企業にセキュリティ診断が不可欠な背景を説明します。また、診断以外のセキュリティ対策にも触れます。

サイバー攻撃や組織における管理またはシステムの設定不備・不足等が原因となり、機密情報等の漏洩事故および事件が相次いで発生しています。東京商工リサーチの調べによれば、上場企業とその子会社で起きた個人情報漏洩または紛失事故・事件件数は2021年で137件となり過去最多を更新しました。*2実際に企業がデータ侵害などの被害を受けてしまい、機密情報等の漏洩が発生してしまうと、システムの復旧作業に莫大なコストがかかるほか、データ侵害によるインシデントが信用失墜につながることで、深刻なビジネス上の被害を引き起こします。被害を最小限に抑えるために、適切な事故予防、攻撃対策をとっていくことは、企業の重要な業務のひとつとなっています。

セキュリティ対策やセキュリティ診断は、企業にとっていまや基幹業務に不可欠であり、社会的責任でもあります。この記事ではセキュリティ診断の内容と必要性などを解説します。

セキュリティ診断とは？その必要性

セキュリティ診断とは、システムのセキュリティ上の問題点を洗い出す検査のことを指します。脆弱性診断、脆弱性検知、など呼び方もさまざまで、また対象によってソースコード診断、システム診断、Webアプリケーション診断、ペネトレーションテストなどに分類されます。

なお、複数の診断方法のうち、同様の診断をセキュリティベンダーや診断ツール提供者がそれぞれ微妙に異なる名称で呼んでいるケースもあります。

「セキュリティ診断」という用語は、単に「脆弱性診断」を指すこともあれば、セキュリティに関するさまざまな診断や評価全体を包括して「セキュリティ診断」と呼ぶ広義の使い方もあります。

「セキュリティ」には、情報セキュリティだけではなく、デジタル社会へのリスク対応全般が含まれる場合もありますが、「セキュリティ診断」という用語は、企業など組織の事業における（情報）セキュリティリスクの低減を主な目的とした検査のことをいいます。

資産である情報の「機密性」「完全性」「可用性」を守るため、セキュリティ診断を行うことで、情報セキュリティの観点からみた構造上の欠陥や、組織体制、あるいは運用上の弱点を見つけることができます。発見された問題に対し優先順位をつけて対策を実施することで、より堅牢なシステム・環境・体制を構築することができます。

企業に求められる情報セキュリティ対策の例

企業が実施するセキュリティ対策のうち、よく話題にあがるものをいくつかピックアップして説明します。

不正アクセス対策

不正アクセスとは、本来アクセス権限を持たない者が、何らかの手段を用いて第三者の情報にアクセスすることをいいます。なりすましや不正侵入といった形が一般的です。不正アクセスによって、個人情報や知的財産が奪われる、サーバやシステムが停止するなど、企業活動に影響するリスクが生じます。不正アクセスに対しては、「不正アクセス行為の禁止等に関する法律（不正アクセス禁止法）」によって、アクセス管理者にも次の管理策を行う義務が課されています（ただし、罰則はありません）。
・識別符号の適切な管理
・アクセス制御の強化
・その他不正アクセス行為から防御するために必要な措置
セキュリティ診断を通じてシステムに存在する弱点を洗い出し、発生箇所を特定することで、こうした不正侵入などへの対策を立てやすくする効果があります。

脆弱性対策

脆弱性とは、一つ以上の脅威によって付け込まれる可能性のある資産または管理策の弱点をいいます。脅威とは、「システム又は組織に損害を与える可能性がある、望ましくないインシデントの潜在的な原因」で、いわばシステムにおけるバグのようなものです。それらの脆弱性は、「危険度を下げる」「蔓延を防ぐ」「影響度を下げる」ことで、悪用されにくくすることができます。

脆弱性対策とは、これらの角度からシステムの欠陥をつぶしていく行為ともいえます。利用しているソフトウェアの既知の脆弱性をアップデートやパッチの適用で常に最新版に保ったりすることや、システム開発の場面でそもそも脆弱性を作りこまないように開発することなどが、その典型例です。

標的型攻撃対策

近年、「高度標的型攻撃（APT）」と呼ばれる、新しいタイプの攻撃が警戒されるようになりました。もともと、標的型攻撃とは、特定の企業や組織に狙いを定めてウイルスメールを送るなどの攻撃を仕掛けるものでしたが、高度標的型攻撃は、特定のターゲットに対して長期間の調査と準備を行い、ときには社内のネットワーク構成図や会社組織図、キーパーソンの休暇の取得状況まで調べ上げたうえで、サイバー攻撃を仕掛けてきます。

従来、標的型攻撃の対策としてはセキュリティ意識を高める訓練が主でしたが、今では「侵入されること」を前提に、セキュリティ機器を使った多層防御システムを構築することの大切さが、広く認識されるようになってきました。高度標的型攻撃に特化したセキュリティ診断を受けることで、攻撃被害スコープを可視化したり、脅威リスクのシミュレーションを行うことができます。

運用を含むリスクアセスメント

システムが技術的に強固に守られていても、アクセス用のIDとパスワードを付箋紙に書いてモニターに貼り付けていたら、安全は保たれるべくもありません。

システムなど技術的側面からだけでなく、作業手順や業務フロー、作業環境、組織のルールなどの運用面も含めてリスク評価を行うことを「リスクアセスメント」と呼びます。リスクアセスメントを通じて、リスクの棚卸による現状把握ができ、優先順位をつけて改善策を講じていくことが可能になります。

セキュリティ診断の方法と種類

セキュリティ診断の分類はいくつかあります。
＜診断対象による分類＞
　・Webアプリケーション脆弱性診断
　・ネットワーク脆弱性診断
　・ソースコード診断
　・スマホアプリ脆弱性診断
　・ペネトレーションテスト
　・クラウドセキュリティ設定診断
　・IoT診断

＜ソースコードや設計書の開示の有無による分類＞
　・ホワイトボックステスト
　・ブラックボックステスト

＜診断実施時にプログラムを動かすかどうかによる分類＞
　・動的解析
　・静的解析

ホワイトボックステスト／ブラックボックステスト、動的解析／静的解析については、SQAT.jpの以下の記事でご紹介しています。こちらもあわせてご覧ください。
「脆弱性診断の必要性とは？ツールなど調査手法と進め方」

Webアプリケーションセキュリティ診断

Webアプリケーションに対して行う診断です。事業活動に欠かせないWebサイトはデータの宝庫です。ハッキング対象の約7割がWebサイトであるともいわれています。ひとたびデータ侵害が起こると、事業継続に影響を与えかねないインシデントを引き起こすリスクがあります。

ネットワークセキュリティ診断

サーバ、データベース、ネットワーク機器を対象として脆弱性診断やテスト、評価を行います。搭載されているOS、ファームウェア、ミドルウェアなどのソフトウェアについて、最新版か、脆弱性がないか、設定に不備がないかなどを確認します。ネットワークの脆弱性対策をすることで、サーバの堅牢化を図る、不正アクセスを防止するなどの効果を得られます。

ソースコードセキュリティ診断

WEBアプリケーションは、プログラムの集合体であり、脆弱性はプログラム処理におけるバグであるといえます。入力チェックやロジック制御に、バグ（考慮不足）があるから、想定しない不具合が発生すると考え、プログラムコード（ソースコード）を調べていくのがソースコード診断です。ソースコード診断はプログラムに対するセキュリティ観点でのチェックであるとともに、開発工程の早い段階で、脆弱性を検出することが可能になります。

セキュリティ診断で未然に事故を防ごう

セキュリティ診断のひとつとして挙げた脆弱性診断には、さまざまな診断ツールが存在しており、無料で入手できるものもあります。しかしツールの選定や習熟には一定の経験や知見が求められ、そもそも技術面だけでは企業のセキュリティを確保することはままなりません。セキュリティの専門会社の支援を受けて、客観的な評価やアドバイスを受けるのも有効な手段です。

セキュリティ専門会社による脆弱性診断を実施することで、日々変化する脅威に対する自システムのセキュリティ状態を確認できるため、適時・適切の対策が可能です。予防的コントロールにより自組織のシステムの堅牢化を図ることが事業活動継続のためには必須です。

まとめ

Webアプリケーションセキュリティ診断、ネットワークセキュリティ診断、ソースコード診断、セキュリティに関するさまざまな診断やテストが存在する
不正アクセスなどの攻撃を防ぐためシステムの脆弱性を見つけて対策することが必須
技術的対策だけでセキュリティを担保することは難しい
人間の脆弱性や業務運用までを含む包括的な視点で組織にひそむリスクを洗い出すことも重要

Security Report TOPに戻る
TOP-更新情報に戻る

2022年6月28日2024年2月29日

診断結果にみる情報セキュリティの現状
～2021年下半期　診断結果分析～

SQAT® Security Report 2022年春夏号

BBSecの診断について

当社では、Webアプリケーション、ネットワーク（プラットフォーム）に対する脆弱性診断をはじめとして、スマホアプリ、パブリッククラウド、ソースコード、IoT、ペネトレーションテスト、標的型ランサムウェア攻撃におけるリスク可視化等、様々な局面における診断サービスを提供している。こうした診断による検出・分析結果は、メリハリある的確なセキュリティ対策の実施にお役立ていただいている。

診断品質向上のために

当社の脆弱性診断サービスは、独自開発ツールによる効率的な自動診断と、セキュリティエンジニアによる高精度の手動診断を組み合わせて実施している。検出された脆弱性に対するリスク評価のレベル付けは、右表のとおり。

高い網羅性のある脆弱性の検出、お客様のシステム特性に応じたリスクレベル評価、個別具体的な解決策の提供が行えるよう、セキュリティエンジニアおよびセキュリティアナリストが高頻度で診断パターンを更新することで、診断品質の維持・向上に努めている。

2021年下半期診断結果

Webアプリ/NW診断実績数

2021年7月から12月までの6ヶ月間に、当社では14業種延べ560企業・団体、3,949システムに対して、システム脆弱性診断を行った（Webアプリケーション/ネットワーク診断のみの総数）。前期2021年上半期（1月～6月）より、診断対象システム数は300件近く増加した。

9割のシステムに脆弱性

「Webアプリケーション診断結果」の棒グラフのとおり、Webアプリケーション診断では、なんらかの脆弱性が存在するシステムの割合が9割前後で推移し続けている。検出された脆弱性のうち、危険度レベル「高」以上（緊急・重大・高）の割合は21.0％で、検出された脆弱性全体のおよそ5件に1件がリスクレベルの高いもの、ということになる。前期の高レベル以上の割合は23.9％だったため今期微減だが、ほぼ横ばいと言える。

「ネットワーク診断結果」の棒グラフでは、脆弱性なしと評価されたシステムが４割強を占めている。しかしながら、検出された脆弱性に占める危険度高レベル以上の脆弱性の割合は30.8%にのぼり、検出脆弱性のおよそ3件に1件が危険度の高い項目、ということになる。前期の高レベル以上の割合は28.3％だったため今期微増だが、ほぼ横ばいである。

以上のとおり、全体的な脆弱性検出率については、前期と比較して大きな変化はない。当サイトでは、「2021年下半期カテゴリ別脆弱性検出状況」とし、検出された脆弱性を各カテゴリに応じて分類しグラフ化している。

Webアプリケーション診断結果

高リスク以上の脆弱性ワースト10

5つに分類された各カテゴリの検出割合（「2021年下半期カテゴリ別脆弱性検出状況」掲載の円グラフ参照）については、前期とほぼ変わらず、各カテゴリにおける脆弱性の検出数ごとの数量も大幅な変動はなかった。リスクレベル高以上の脆弱性で検出数が多かったものを順に10項目挙げてみると、下表のような結果となった。

代表的な脆弱性はいまだ健在

上位ワースト10はいずれも、Webアプリケーションのセキュリティ活動を行っている国際的非営利団体OWASP（Open Web Application Security Project）が発行している「OWASP Top 10（2021）」に含まれていることがわかる。

ワースト1となった「クロスサイトスクリプティング」（以下、XSS）はWebアプリケーションにおける脆弱性の代表格とも言える。認知度の高い脆弱性でありながら、いまだに根絶されていない。XSSが存在するシステムには、ワースト2の「HTMLタグインジェクション」が共に検出されることが多い。出力データの検証が適切に実施されていないことがうかがえる。

ワースト6の「SQLインジェクション」もまた、メジャーな脆弱性の1つだ。XSSと同じく入出力制御に問題がある。昨今でもなお、SQLインジェクションによる情報漏洩事例が報告されている。データベースの不正操作を許せば、事業活動に必要なデータをすべて消去されるといった最悪の事態も発生しうるため、放置するのは非常に危険である。

独立行政法人情報処理推進機構（IPA）および一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）に対する届出においても、XSSが58%と約6割を占め、SQLインジェクションもそれに次ぐ多さとのことだ。*2

いずれの脆弱性も、セキュアなWebアプリケーション構築を実践できていないことを証明するものだ。開発の上流工程において、そうした脆弱性が作りこまれないような対策を行うことが大切である。

ネットワーク診断結果

高リスク以上の脆弱性ワースト10

ネットワーク診断結果に関しても、5つに分類された各カテゴリの検出割合（「2021年下半期カテゴリ別脆弱性検出状況」掲載の円グラフ参照）において、前期と比較して特段目立つような差は見られなかった。ただ、「通信の安全性に関する問題」に関しては、「推奨されない暗号化方式の受け入れ」「推奨されないSSL/TLS方式の使用」「脆弱な証明書の検出」に分類される脆弱性項目が、それぞれ200件前後ずつ増加していることがわかった。

リスクレベル高以上の脆弱性で検出数が多い10項目は下表のとおりである。

推奨されないバージョンのSSL/TLS

先に述べた、前期より検出数が増加している「通信の安全性に関する問題」のうち、「推奨されないバージョンのSSL/TLSのサポート」はリスクレベル高以上である。これは、SSL2.0、3.0、またはTLS1.0、1.1を使用した暗号化通信が許可されている場合に指摘している項目で、今期ワースト1の検出数だ。CRYPTREC作成/IPA発行の「TLS 暗号設定ガイドライン」は、2020年7月に第3.0.1版が公開されている。こちらを参考に、SSLの全バージョンとTLS1.1以下を無効にし、もし、TLS1.2、なるべくなら1.3の実装がまだであれば、早急に対応する必要がある。

カテゴリ別の検出結果詳細についてはこちら

Security Report TOPに戻る
TOP-更新情報に戻る

2022年6月9日2024年2月29日

OWASP Top 10
―世界が注目するWebアプリケーションの重大リスクを知る―

2021年9月、4年ぶりに「OWASP Top 10 2021」が公開されました。国際的なセキュリティ啓発コミュニティであるOWASP（オワスプ：Open Web Application Security Project）が、悪用のしやすさ、検出のしやすさ、技術面への影響度などを考慮して重大なリスクを選び出したものになります。「OWASP Top 10」はWebサイトのセキュリティ対策のポイントに、参考にされることが多いガイドラインの一つですが、どのようなセキュリティリスクが挙げられているのかご存知でしょうか？本記事では、OWASP Top 10の各リスクのカテゴリ毎に脆弱性例と対策案をまとめ、最後に弊社視点での脆弱性対策の推奨案をご紹介いたします。

「OWASP Top 10」とは

OWASPは、Webアプリケーションセキュリティに関する研究、診断ツールの開発、ガイドラインの発行、イベント開催といった活動を行う国際的なオープンソース・コミュニティです。「OWASP Top 10」は、Webアプリケーションにおいて、重大と見なされるセキュリティリスクを選定し、解説したものです。2003年以降定期的に発行されており、2021年9月、前回の「OWASP Top 10 2017」より4年ぶりとなる「OWASP Top 10 2021」が公開されました。

「OWASP Top 10 2021」を紐解く

では、どういったリスクが最新のTop 10に挙げられているのか、見ていきましょう（以下、「前回」とは、「OWASP Top 10 2017」を指す）。

プロトコルバージョンの対応策や暗号技術の活用方法について、SQAT.jpでは以下の記事でご紹介しています。
こちらもあわせてご覧ください。
「Webサイトのセキュリティ強化を！TLSバージョンアップの対応にむけて」
「暗号技術を安全に活用するために―今、やっておくべきセキュリティ対策―」

セキュアな開発ライフサイクル・CI/CDのセキュリティ対策について、SQAT.jpでは以下の記事でご紹介しています。こちらもあわせてご覧ください。
「Webアプリケーション開発プロセスをセキュアに―DevSecOps実現のポイント―」

脆弱性を悪用した攻撃の脅威

攻撃者にとって、機密を含む様々な情報を取り扱っているWebアプリケーションは宝の山であり、魅力的なターゲットです。Webアプリケーションにおいて、脆弱性が放置されていると、サイバー攻撃の足掛かりとして利用されてしまいます。

脆弱性を悪用された例は、被害者企業の業種、規模を問わず、発生し続けています。被害を受けると、直接的な金銭被害のほか、顧客や取引先の信用失墜等、事業活動に深刻な影響を及ぼす恐れがあります。

SQLインジェクションの脆弱性について、SQAT.jpでは以下の記事でご紹介しています。こちらもあわせてご覧ください。
「SQLインジェクションの脆弱性、企業が問われる2つの責任とは」

設計・開発段階で作りこまれる脆弱性

Webアプリケーションにおけるセキュリティリスクは、もちろんOWASP Top 10ばかりではありません。OWASPほか、NIST、IPAなどが公開している各種セキュリティガイドラインを活用して、Webアプリケーションに脆弱性を作りこまないようにすることが重要です。開発にあたっては、仕様どおり動作しないという欠陥・不具合であるバグの解消はもちろんですが、セキュリティ上の欠陥・不具合である脆弱性にも対処する必要があります。

しかしながら、現実には脆弱性を完全にゼロにしてシステムをリリースするのは、非常に困難であるのもまた事実です。設計・開発の段階で、気の遠くなるような数のセキュリティ脅威、攻撃パターンをすべて検討・想定・対応し切ることは不可能だからです。

つまり、セキュリティを考慮した設計・開発の実施は大前提としつつ、脆弱性は意図せず作りこまれてしまうものであることも認識しておく必要があるでしょう。

脆弱性診断の活用

では、意図せず作りこまれてしまう脆弱性に、どう対処すればいいでしょうか。それには脆弱性診断を実施することが、最も有効な手段の一つと言えます。

脆弱性診断によって、システムにどのような脆弱性があり、どの程度のリスクがあるのか可視化され、その優先度に応じてセキュリティ対策を検討・実施することができます。

なお、弊社では「企業の対策すべき脆弱性入門」と題したウェビナーで、弊社脆弱性診断の検出結果を基に対応緊急度の高い脆弱性について取り上げております。参考にしていただけましたら幸いです。

脆弱性診断を効果的に活用するには、システムの機能や取り扱う情報の重要度に応じて、実施時期や頻度を考慮することも大切です。セキュリティ事情は常に変化しています。日々新たな脆弱性が発見され、サイバー攻撃も巧妙化する一方です。また、何年も前に報告されたのに放置されがちな脆弱性が、改めて悪用されることもあります。健康診断と同様、脆弱性診断も定期的に実施することが重要なのです。

脆弱性対策有効な手段について、SQAT.jpでは以下の記事でご紹介しています。こちらもあわせてご覧ください。
「今、危険な脆弱性とその対策―2021年上半期の診断データや攻撃事例より―」

また、「SQAT^® Security Report」では、セキュリティ事情に関するトピックをお伝えしております。情報収集の一助としてご活用ください。

参考情報：

BBSecの脆弱性診断サービス

弊社では、お客様のニーズに合わせて、様々な脆弱性診断サービスを提供しております。システムの特徴やご事情に応じてどのような診断を行うのが適切かお悩みの場合も、ぜひお気軽にご相談ください。

「毎日/週など短いスパンで定期診断して即時に結果を知りたい」

デイリー自動脆弱性診断「Cracker Probing-Eyes^®」は、脆弱性の検出結果を、お客様側での簡単な操作で、日々確認できます。導入のための設備投資が不要で、コストを抑えつつ手軽に診断できます。世界的なセキュリティ基準をベースにした弊社独自基準を設け、シグネチャの見直しも弊社エンジニアが定期的に行うことで、信頼性の高い診断を実現しております。

「システム特性に応じた高精度な診断をしたい」

対象システムの機能が複雑である、特にミッションクリティカルであるなどの理由により、広範囲かつより網羅性の高い診断をご希望の場合は、弊社エンジニアが手動で実施する「SQAT^®脆弱性診断サービス」をおすすめします。 Webアプリケーション、ネットワークはもちろんのこと、ソースコード診断やクラウドの設定に関する診断など、診断対象やご事情に応じて様々なメニューをご用意しております。

Security Report TOPに戻る
TOP-更新情報に戻る

BBSecの脆弱性診断

2022年下半期診断結果

Webアプリ/NW診断実績数

9割のシステムに脆弱性

Webアプリケーション診断結果

高リスク以上の脆弱性ワースト10

長年知られた脆弱性での攻撃

ネットワーク診断結果

高リスク以上の脆弱性ワースト10

SNMPにおけるデフォルトのコミュニティ名の検出

脆弱性の放置が命取りに～「Nデイ脆弱性」が狙われる

既存の脆弱性を狙った事例

Webサイトは最大の攻撃ベクター

定期的な診断実施を可能にする脆弱性診断ツールの活用

継続的なセキュリティ対策を実現するために

BBSecでは

＜SQAT診断サービスの特長＞

＜デイリー自動脆弱性診断 －Cracker Probing-Eyes®－＞

BBSecの脆弱性診断

2022年上半期診断結果

Webアプリ/NW診断実績数

9割のシステムに脆弱性

Webアプリケーション診断結果

高リスク以上の脆弱性ワースト10

長年知られた脆弱性での攻撃

ネットワーク診断結果

高リスク以上の脆弱性ワースト10

推奨されないバージョンのSSL/TLS

拡大するランサムウェア、国内の医療機関がターゲットに

業種問わず狙われる―サプライチェーン攻撃によるランサムウェアの被害

ランサムウェア被害にあってしまった場合のリスク

ランサムウェアによる感染を防ぐため対策の見直しを

【参考情報：各業界のセキュリティ関連ガイドライン等】

他人事ではない、ランサムウェア攻撃のリスク

BBSecでは

＜企業・組織のネットワークへの侵入対策＞

＜攻撃・侵入されることを前提とした多層防御＞

＜セキュリティ教育＞

他人事ではない！増加するサイバー攻撃による被害

国内で発生したサイバーインシデント事例

データ侵害発生時にかかるコスト

サイバー攻撃を受けた場合に生じる費用・金銭的損失

サイバー保険とは

サイバー保険の有効性

今一度セキュリティ対策の見直しを

サイバー保険付帯脆弱性診断サービスの紹介

サイバー保険付帯の対象となる脆弱性診断

サイバー攻撃の多様性

新たな攻撃の予想

今できる共通の対策

どんな対策が有効？

終わりに…

これからセキュリティ業界に携わりたい方に向けて

なぜスマホアプリは攻撃者に狙われるのか

重要情報の宝庫

ユーザ側での端末管理

常時外部と接続状態

スマホアプリにおける情報漏洩の事例

スマホアプリにおける脆弱性の届出状況

スマホアプリのセキュリティの対策にむけて

脆弱性情報の収集

セキュアコーディングを意識した開発

信頼できる第三者機関の脆弱性診断サービスを実施

APIのセキュリティ対策

APIのセキュリティに関する10大リスク

スマホアプリ脆弱性診断とは

スマホアプリ診断で検出される脆弱性項目例

重要情報の漏洩

不正な行動・操作が可能

難読化処理の未対応

スマホアプリ脆弱性診断に＋α

スマホアプリの進化にあわせた対策を

セキュリティ診断とは？ その必要性

企業に求められる情報セキュリティ対策の例

不正アクセス対策

脆弱性対策

標的型攻撃対策

運用を含むリスクアセスメント

セキュリティ診断の方法と種類

Webアプリケーションセキュリティ診断

＜デイリー自動脆弱性診断－Cracker Probing-Eyes^®－＞

セキュリティ診断とは？その必要性