第22回:シリーズ『情報セキュリティ』(1/2)

知っておきたい! 脆弱性を漏れなく見つける秘訣

本シリーズ「情報セキュリティ」では前回、“今、企業が留意すべきセキュリティ上の脅威”として「脆弱性」について紹介しました。今回は、企業のシステムに潜在する脆弱性を正しく見える化する方法をお伝えします。

「脆弱性」対策は、なぜ難しいのか?

前回触れたとおり、ITシステムにおける「脆弱性」とは、サイバー攻撃による悪用の可能性があるソフトウェア上の欠陥、あるいはウイークポイントを指しています。

この脆弱性をサイバー攻撃に突かれると、例えば、Webサイトが改ざんされ、詐欺行為やウイルス感染を目的にした不正サイトへの誘導に悪用されたり、サーバー内の顧客情報や取引情報といった重要情報が窃取/改ざん/破壊されたりするリスクがあります。

あるショッピングサイトの事例では、Webサイトが不正アクセスに遭い、保存されていたクレジットカード情報などの個人情報が漏えいし、顧客への賠償や営業機会喪失など多大な被害が発生しました。このとき攻撃者が用いた手法は「SQLインジェクション攻撃」と呼ばれ、アプリケーションのセキュリティ上の不備を意図的に利用したもので、脆弱性を突いた攻撃の一例といえます。また、あるレンタルサーバー提供会社では、不正アクセスによってサーバー上の200以上のWebサイトが改ざんされる事件が過去に発生しています。このときは「OSコマンド・インジェクション攻撃」という手法が用いられ、Webアプリケーションの脆弱性が標的にされました。先の例と同様に、対応にかかる人件費など多大な被害が生じたことは言うまでもありません。

こうした被害を未然に防ぐため、Webサイトや社内システムに潜在する脆弱性に対しては、修正プログラムを適用するなどの対策を漏れなく講じることが重要であり、それが、セキュリティ対策の基本の一つと言えます。

ただし、ソフトウェア製品やWebサイトの新しい脆弱性は高い頻度で発見されており(前回の記述を参照)、新たな脆弱性が発見されるたびに、その情報と自社のシステムやWebサイトを構成するソフトウェアとを突き合わせ、適切な措置を講じていくのは容易なことではありません。そのため、脆弱性対策に抜け漏れや見逃しが発生してしまうことがあります。それゆえに、いずれかのタイミングで、自社のシステムに脆弱性が潜在しているかどうかを点検することが必要とされます。

ただし、そうした点検を行うのも簡単なことではありません。というのも、サイバー攻撃の手法にはさまざまな種類があり、点検すべき項目が多岐にわたるからです。言い換えれば、システムやWebサイトの脆弱性を正しく診断するには、サイバー攻撃について技術的な理解と知識、点検のノウハウが必要とされるわけです。

しかも、サイバー攻撃の手法は、絶えず変化しており、次から次へと新しい手法が登場してきます。その動向を常にウォッチし、適切に対応するのは相応の労力と知識を要する作業です。また、市場には、システムの脆弱性診断を効率化するツールもありますが、ツールによる点検だけでは、最新の攻撃手法に対応し切れない場合があります。

このような脆弱性診断の難度と手間は、システムの規模が大きくなればなるほど、そしてシステムの構造が複雑なものになればなるほど膨らんでいきます。

脆弱性診断サービスを使うという選択

では、社内システムやWebサイトの脆弱性を漏れなく、しっかりと点検するにはどうするのが適切と言えるのでしょうか。

その答えの一つは、外部の専門家に脆弱性診断を委ねることであり、その考え方に基づくかたちで、パナソニック ソリューションテクノロジーでは、「システム脆弱性診断サービス」を提供しています。

これは、パナソニックの社内システムやWebサイトに対する脆弱性診断を実施し、豊富な実績を積み上げてきたセキュリティ専門部隊が、外部のお客様に向けて展開しているサービスです。診断ツールと手作業の両面から診断を実施し、診断ツールだけでは対応しきれない最新の攻撃手法にもいち早く対応できるという特徴を備えています。

また、攻撃者の視点や立場に立った攻撃パターンでの診断が可能で、お客様が独自に機能拡張したWebサイトや画面遷移の複雑なWebアプリケーションにも対応しています。

さらにもう一つ、このサービスの優れたポイントとして挙げられるのは、サイバーセキュリティに関する知見とノウハウを生かして、発見した脆弱性の危険度/緊急度のラベルづけを行うことです。

脆弱性への対処はスピードが要求されるセキュリティ施策ですが、社内システムやWebサイトに認められたすべての脆弱性に一挙に対応するのは、人的リソースの観点からいって困難な場合があります。その中で、危険度/緊急度の低い脆弱性への対処までを一度に行おうとするのは効率的とは言えません。その意味でも、脆弱性の洗い出しとともに、それぞれの危険度/緊急度を見える化することが大切であり、それによって効果的、かつスピーディーに対処の施策を打つことが可能になるのです。

このほか、システム脆弱性診断サービスでは、再現手順と実証コード、修正案などの提供・提示や、修正コード再診断などのサービスも提供しています。

バックナンバー

商品に関するお問い合わせ

パナソニック ソリューションテクノロジー株式会社 お問い合わせ受付窓口
電話番号: 0570-087870
    受付時間: 9時00分~17時30分 (土・日・祝・当社指定休業日を除く)

お問い合わせイメージ お問い合わせイメージ

※ 記載されている会社名、商品名は各社の商標または登録商標です。なお、本文中では™、®マークは基本的に明記していません。