第22回：シリーズ『情報セキュリティ』（2／2）

サービスの診断メニューは、大きく①「Webアプリ診断」、②「プラットフォーム診断」、③「組み込み機器診断」、④「ソースコード診断」の4つに分かれます。

このうち、Webアプリ診断は、Webサイトの脆弱性を攻撃者の視点／立場に立って診断することで、重大事故の発生を未然に防ぐサービスです。診断項目は多岐にわたりますが、その主な項目は以下のとおりです。

• 認証関連診断：Webサイトにおける利用者認証の脆弱性診断
• アクセス制御関連診断：アクセス制御に関する脆弱性診断
• データベースへの攻撃診断：データベース攻撃に対する脆弱性診断
• インジェクション攻撃診断：SQLインジェクションをはじめ、OSコマンドインジェクション、メールヘッダー／HTMLヘッダーインジェクションなどの脆弱性診断
• クロスサイト攻撃診断：クロスサイトスクリプティング攻撃に対する脆弱性診断

上に示すような攻撃は、Webサイトの脆弱性を狙ったサイバー攻撃として多く発生するものです。ただし、これらの攻撃がどのようなもので、最新の手法としてどういった攻撃が登場しているかの知識がなければ、それらに対する脆弱性は正しく診断できません。

その点、パナソニック ソリューションテクノロジーのセキュリティ専門部隊には、パナソニックのWebサイトの脆弱性診断で培ってきた知識と経験、ノウハウがあります。それをフルに生かしながら、お客様のWebサイトの脆弱性をあぶり出し、その危険度／深刻度を正確に割り出すことができます。また、システム脆弱性診断サービスでは、危険度／深刻度の高い脆弱性については、その詳細に関する報告を行い、脆弱性に関する説明とともに、修正方法のサンプルなども明示し、お客様によるすみやかな対処へとつなげていきます（図1）。

一方、プラットフォーム診断とは、OSやミドルウェアの脆弱性を診断するサービスであり、「不要なサービスの稼働状況確認」「既知の脆弱性の残存確認」「設定不備の確認」といったサービスを提供します。

今日の企業システムでは、商用のOS／ミドルウェアのみならず、オープンソースソフトウェア（OSS）のOS／ミドルウェアが広く使われています。それぞれのOS／ミドルウェアに新たな脆弱性が発見される頻度は高く、更新も短いサイクルで繰り返されます。それだけに、すでに発見／公表されている脆弱性（既知の脆弱性）に対して修正プログラムを適用するのを忘れてしまい、サイバー攻撃のリスクにさらされることがあります。そうしたリスクも含めて、OS／ミドルウェアの脆弱性を総合的に評価するのが、プラットフォーム診断です。

このほか、組み込み機器診断では監視カメラやIP電話など、昨今、サイバー攻撃の格好の標的にされ始めたIoT機器（前回の記述を参照）の脆弱性を診断します。また、ソースコード診断は、ソフトウェアのプログラムコードにセキュリティ上の問題点がないかどうかを洗い出すサービスです。

以上のとおり、システム脆弱性診断サービスを活用することで、社内業務で使うシステムはもとより、Webサイトや組み込み機器、さらには自社開発のソフトウェアに至るまで、多様なシステムの脆弱性を把握することが可能になります。

ただし、自社のシステムの脆弱性を把握するだけで脆弱性対策は終わりません。脆弱性対策は継続的な取り組みであり、システムの“健康診断”を行い、問題箇所を特定してそれに対処したのちには、脆弱性がない状態を保つために、自社で利用するすべてのソフトウェアが常に“最新の状態”にあるよう必要な更新を欠かさず行い、かつ、脆弱性に関する情報を常にウォッチし、修正プログラムの適用に漏れがないようにしなければなりません。

とはいえ、それを心がけていても、脆弱性対策に漏れが出ることは起こりえます。とりわけ、Webサイトの場合、アプリケーションの変更や刷新、新規追加が比較的短いサイクルで行われるはずです。そのときに新たな脆弱性が生まれてしまう可能性があるほか、新しい攻撃手法の出現によって新たな対策が必要になる場合もあります。

したがって、普段から健康に気遣っている方が、定期的な健康診断も受けるのと同じように、企業のシステムについても、定期的な脆弱性診断を受けるのが、セキュリティの確保には有効と言えます。身体の健康状態を保つ場合と同様に、システムについても、“かかりつけ医”による健康チェックを定期的に受ける──。システム脆弱性診断サービスの活用と併せて、その施策の採用についても検討されてはいかがでしょうか。