セキュリティ対策の第一歩、「リスクの可視化」を担う脆弱性診断サービスの裏側に迫る

近年、企業規模を問わずサイバー攻撃の脅威は深刻化しています。しかし中小企業においては、コストや専門知識、リソースの不足からセキュリティ対策が後手に回りがちです。こうした状況下で対策を進める場合、重要なのが「リスクの可視化」です。限られた予算の中で闇雲に対策を検討するのではなく、まずは現状を正確に把握し、対策を講じる箇所を正しく選定することが不可欠です。

この「リスクの可視化」を実現してくれるのが「脆弱性診断」です。

今回は、サイバーキュリティラボを運営するUSEN ICT Solutionsでも取り扱いのある脆弱性診断サービス「SecurityBlanket」の開発・提供元、株式会社M&Kの矢口様にお話をうかがいました。中小企業が抱えるセキュリティ対策上の課題や弱点を明らかにしつつ、脆弱性診断がもたらす具体的なメリットや費用対効果、そして診断後の手厚いフォローアップ体制について、担当者の視点から深く掘り下げていきます。

現在はお客様のセキュリティ対策をご支援するコンサルタントとして活動しています。

当社の脆弱性診断サービス「SecurityBlanket」は、診断対象や診断手法によりいくつかの選択肢があるのですが、お客様のご予算やスケジュール、その他解決したい課題などご要望をお伺いしながら最適な診断をご案内しています。

当社は、サイバーセキュリティに関する総合対策企業として2007年に創業しました。世の中のIT化が進み、サイバーセキュリティに対する脅威についても徐々に関心が高まりだした時期です。

ただ、その当時の脆弱性診断と言えば専門のエンジニアがひとつひとつ手探りで確認していく方法が主流で、診断費用も非常に高額となるケースがほとんどでした。一部の海外製品には自動診断が可能なツールも登場し始めていましたが、診断精度や信頼性への懸念、事前設定の難易度といった問題から国内の一般企業においては導入障壁が高いものでした。さらにユーザーインタフェースやレポートもほとんどが英語表記のみだったため、日本国内では決して利便性が良いものではありませんでした。

当社の「SecurityBlanket」は、これらの課題を解決することを目的として高品質な脆弱性診断を、より安価にそして専門家ではない方でも簡単な操作で利用できるサービスを提供したいという想いで自社開発しました。純国産の診断ツールとして完全日本語対応しており、インターフェースの操作性や診断結果レポートの読みやすさにもこだわっています。

まずは診断対象に関する特徴や実装されている機能などを把握し、診断手法を決定します。具体的には、ツール診断が可能であるか、ツール診断のみでお客様のご要件を満たすか、重点的に診断すべき機能はあるかなどを確認していきます。

また、診断対象がテスト環境か本番環境かによっても確認する内容は変わってきます。特に本番環境を診断する場合は、お客様側に発生しうる影響を洗い出す必要があります。これらの工程は、ご提案時に実施するプロセスであり、諸々の確認結果をお客様にお伝えした上でご契約いただいています。

その後の診断準備に関しては、当社が保有する診断エンジンからの疎通確認、診断対象固有の設計に合わせたツールのチューニング、必要に応じた診断シナリオの作成などを行います。

当社サービスにおいての話になりますが、端的に言うと診断の範囲や深さが異なります。

ツールを使った自動診断は、必要十分な診断を安価に提供することを目的としています。そのため企業のコーポレートサイトなど、静的なコンテンツの定期診断などに向いています。費用も安価で短期間での診断が可能です。

一方、エンジニアが行う手動診断は、ツール診断では難しい動的なリクエストや、シナリオ性が高い複雑な遷移をもつシステムの診断に向いています。エンジニアがさまざまな観点から診断を行うため、ツール診断と比較して費用も日数も必要になります。

新規システムのリリース時や、大規模な改修後の診断に関しては手動診断、その後の定期診断はツール診断というご依頼をいただくケースも多いです。診断対象全体をツールで診断し、重要な機能や箇所に関してのみ手動診断を組み合わせるといったことも可能であり、診断対象の特性や保有する情報の内容などから最適な診断をご提案しています。

自社開発した独自ツールを使って診断を実施しています。ツールの詳細な仕様については非公開とさせていただいておりますが、基本的な脆弱性を検出するために必要十分な機能を実装しています。

ただ、やはりツール診断には限界があるのも事実です。エンジニアによる手動診断でしか対応できない機能が存在するなど、ツール診断だけでは不十分で手動診断を活用しての補足が推奨されるケースもあります。

お客様の予算やスケジュールなどの兼ね合いもありますので一概には言えませんが、当社ではお客様のご要望に最大限寄り添いつつ、可能な限り精度が高い診断が行えるよう最適な方法をご提案しています。このあたりは、サイバーセキュリティ対策企業として長年培ってきた経験とノウハウが活かされる部分だと思っています。

最近はどこの企業もセキュリティ意識が高まってきていますので、以前よりも全体の検出数は落ち着いてきている印象ですが、「クロスサイトスクリプティング^※1」や「SQLインジェクション^※2」といった古典的な脆弱性は今なお頻繁に見つかります。これらの基本的な脆弱性が放置されていると、悪意のある攻撃者に狙われやすい傾向があるので注意が必要です。

また、暗号化に関する脆弱性も多く見られます。これは脆弱性がすでに報告されている古いバージョンのソフトウェアを使い続けているケースがほとんどです。プラットフォームには暗号化以外にもさまざまなソフトウェアが組み込まれており、それらにも日々新たな脆弱性が発表されています。そのため、定期的なバージョンアップや確認の実施が推奨されます。

脆弱性とは少し異なりますが、クラウドサービスの利用における初歩的な設定ミスに起因する事故も増えてきています。例えばクラウドストレージの公開設定を誤り、誰でもアクセス可能な状態になっているような場合や、アカウントの権限設定が不適切で重要情報が漏えいしたりするケースがあげられます。

^{※1 Webアプリケーションの脆弱性の一つであり、攻撃者が悪意のあるスクリプトをWebページ上に埋め込んで実行させる攻撃手法
※2 Webアプリケーションの脆弱性を意図的に利用し、データベースに不正なコードを挿入して実行させる攻撃手法}

想定外という訳ではありませんが、意外と多いのが、ソースコード内に開発時の不要なコメントが残っているケースです。開発会社がお客様へ納品する前の最終確認として当社の診断をご利用いただく際、担当者の連絡先やメールアドレスといった個人情報がコメントとして残されていることがあります。

ただちに被害に結び付くかと言うとそうではないのですが、こうした「確認漏れ」によって意図せず外部に公開されてしまっている情報が悪用されるケースもありますので、留意すべき点であることは間違いありません。

例えば、WAFなどのセキュリティ対策製品が有効な状態になっている場合、診断に必要な通信が実際の診断対象まで到達できず、必要な情報が取得できないことがあります。その場合は、当然ですが診断結果に違いが出てきます。

診断の目的が「WAFが有効に働いているか？」を確かめたいといった場合には、このような手法を選択することもありますが、通常は一時的に機能を無効にした状態で実際の診断対象に潜在する脆弱性を確認することを推奨しています。

なお、クラウド型WAFなどの多くは提供事業者側の規約にて機能を有効にしたままでの脆弱性診断を禁止しており、診断の際には事前の確認や承認が必要な場合がありますので留意してください。

まずは当たり前ですが、「読みやすさ」や「わかりやすさ」にはかなりこだわりを持っています。レポートを確認する担当者のほとんどはセキュリティの専門家ではないため、検出された脆弱性の概要や対策について簡潔に理解いただけるように意識しています。

また、診断結果をもとにシステム改修などの計画を立てる際、潤沢な人的リソースを割ける企業は多くありません。そこで当社のレポートでは、限られた時間やリソースの中で効率よく改修作業を行ってもらえるよう、脆弱性の特徴や危険度をベースにした対策の優先順位を明示しています。

さらに、エンジニアが手動で検出した脆弱性に関しては、その再現手順などもお伝えするようにしています。

先ほども触れましたが、当社のレポートでは危険度の高いものから優先的に対応できるよう対策の優先順位を明確に記載しています。さらに必要に応じて報告会を開催し、実際に診断を担当したエンジニアから検出した脆弱性の詳細説明とその後の対策についてアドバイスを行っています。

その後のサポートでは、お客様専用のテクニカルサポート窓口を設け、お客様からの質問にお答えしています。また、お客様側で改修が完了した際にはご要望に応じて再診断を実施し、適切な対策だったかを確認をいたします。

なお、システム的な制約や組織の運用上の事情などにより脆弱性に対する根本的な改修などが難しい場合もあります。そのような場合は代替策として、セキュリティソリューション導入支援や製品選定支援を行うなど、お客様の状況に合わせた最適な対策をサポートしています。

サイバー攻撃に関する傾向として現在は企業規模や業種・業態などに関係なく被害が発生しています。特に「サプライチェーン攻撃」の増加は、その傾向を如実に示しています。

サプライチェーン攻撃では本来のターゲットである大企業を狙うために、その取引先や下請け企業など比較的小規模でセキュリティ対策が手薄と思われるところが侵入口として狙われます。加えて無作為にウイルスなどをばら撒くための踏み台にされるケースも少なくありません。そのため、どのような企業であってもサイバー攻撃に対しての油断は禁物だと考えます。

また、セキュリティ対策にかかるコストは企業の価値や大切な情報を守るための投資と捉えるべきだと当社は考えています。

しかしながら、多くの中小企業においては、潤沢な予算がないのが実情だと思います。セキュリティ対策にはゴールが無く、やろうと思えばどこまでもできますが、過剰な投資は必要ありません。重要なのは、守るべきものを見極め、それに対して必要十分な対策を検討することです。

いずれにしてもセキュリティ事故が発生した場合には、その対応費用や損害賠償、企業価値失墜による遺失利益など、セキュリティ対策にかける費用とは比較にならないほどの損失が発生する可能性があるということを、企業は「経営課題」として認識しておく必要があります。

サイバーセキュリティ対策の範囲は多岐に渡りますが「企業の大切な情報を守る」という意味では、「組織的」「人的」「物理的」「技術的」といったさまざまな要素の対策をバランスよく検討する必要があります。

中小企業のセキュリティ対策の課題や弱点として、このバランスが保たれていないことが多く見受けられます。自社が保有する情報資産をしっかりと把握し、それらに対する脅威・リスクを分析した上で必要な対策を実装していくことが必要です。

なお、本日のテーマである脆弱性診断は、「技術的」な対策の一部でしかありませんので、その他の要素についてもリスクを可視化しておくことを推奨します。

先ほどもお伝えした通り、脆弱性診断はあくまでも「技術的」な対策の一部ではありますが、リスクを可視化する手段としては大変有効なものです。外部に公開しているサイトや、ネットワーク経由で利用可能なシステムなどは、常にサイバー攻撃のリスクに晒されていると言っても過言ではありません。これらのリスクを可視化し、脆弱性に対する対策をしっかりと実践することで、想定される被害の多くは未然に防ぐことができます。特に、SaaSでサービス提供している事業者やECサイトを運営している場合、定期的な診断を実施することはお客様からの信頼感や企業価値の向上にも繋がります。

費用対効果については色々な考え方がありますが、実際にセキュリティ事故が発生した際の損害と比較するのが一番わかりやすいのではないかと思います。

診断費用そのものに関しては、成果物（レポートなど）が費用に見合うものなのかという点が重要かと思います。当社の診断サービスをご利用いただいたお客様からは、レポート内容について一定の評価をいただいています。

セキュリティ対策支援は、お客様の企業価値を守るための重要な仕事だと思っています。診断の精度や報告内容に関しては責任を持ってお伝えしていますが、サイバーセキュリティに関する脅威は日々変化していますので、当社の診断を受けたからと言って絶対に安全であると言えないのが難しい点ですね。

だからこそですが、当社サービスをご利用いただいたお客様が報告内容に満足され、後日再診断の依頼をいただいた時には、お客様のお役に立てていることを実感しやりがいを感じます。

一般的な脆弱性に関しては、世界的に使われている「CVE」と呼ばれる脆弱性のデータベースがありますので、その状況を適宜確認しています。ツール診断に関しては、それらのアップデート情報を自社の診断エンジンにも反映していきます。

あとは、日々研鑽としか言いようがないのですが、新たな脅威や新種のマルウェアなどに関する情報や知識、それに対する診断手法の確立などは、エンジニアチームの定例会で共有して社内でスキルトランスファーしています。同業他社やパートナー企業との情報交換も重要ですね。

そうですね、現在はエンジニアによる手動診断でしか検出できないような脆弱性に対しても、ツールによる診断で対応できるよう検出技術の改善や、さらなる精度の向上を目指していきたいと考えています。

近年ではWebアプリケーションの技術も進歩しており、さまざまなコンテンツの作成や動的遷移が可能になってきていますが、新たな技術には必ず新たな脆弱性が潜在しています。それらを専門家ではない方でも直感的に診断できるようなサービスを提供できるようにしたいなと思っています。

レポートに関しても、検出された脆弱性の危険度だけの評価ではなく、その時々のサイバー攻撃のトレンドに合わせて、被害に合う可能性などの評価もお伝えできるようにしたいと思っています。

本日は技術的な対策である脆弱性診断を中心にお話ししましたが、セキュリティ対策全般で言うのであれば、「人的な対策」の重要性を意識することが大切です。

世の中で発生しているセキュリティ事故の要因として、人のうっかりミス、意図的な不正など人が絡んでいる事象は非常に多いです。人が対応する以上、常に完璧はあり得ません。だからこそ事故が起こることを前提に、平時から備えておく必要があります。日々の業務の中においては、人の限界を技術で補うようなソリューションの導入も有効です。

そして、セキュリティ対策において、最も重要なのは、PDCAのサイクルを継続することです。現行の対策を定期的に見直し、必要に応じて是正していく必要があることを忘れないでください。定期的な「評価」と、評価に基づく「強化」を繰り返し実践することにより、安心・安全な企業活動が実現します。

現代の企業活動において、セキュリティ対策は大切な資産や企業価値を守るための重要な施策です。しかし、近年サイバー攻撃は巧妙化の一途をたどっており、対策に必要な知識や技術、運用なども多岐にわたるようになりました。

そのため、セキュリティ対策を企業の経営課題として認識し、組織全体であらゆる側面を考慮したバランスの良い対策を立案、実践していく必要があります。しかしながら、一連のセキュリティ対策を一企業内で完結できるケースは非常に稀であり、人的リソースについても課題を抱えている組織がほとんどではないでしょうか。

当社のようなセキュリティ対策専門企業は、そのような課題やお悩みを抱える組織・ご担当者様を強力にサポートいたしますのでお困りのことがあれば、ぜひお気軽にご相談ください。